전용 Exadata 인프라에서 Autonomous Database와 함께 Oracle Key Vault 사용 준비

Oracle Key Vault는 기업 내 키 및 보안 객체 관리를 중앙 집중화하도록 구축된 풀 스택 보안 강화 소프트웨어 어플라이언스입니다. Oracle Key Vault는 고객이 프로비저닝한 관리형 시스템이며 Oracle Cloud Infrastructure 관리형 서비스의 일부가 아닙니다. 온프레미스 Oracle Key Vault(OKV)를 고객 관리형 데이터베이스 클라우드 서비스와 통합하여 중요한 데이터를 온프레미스로 보호할 수 있습니다.

관련 항목

필요 조건

  1. OKV가 설정되고 Oracle Public Cloud 클라이언트 네트워크에서 네트워크에 액세스할 수 있는지 확인합니다. OKV 서버에 액세스하기 위해 클라이언트 네트워크에서 송신할 포트 443, 5695 및 5696을 엽니다.
  2. OKV 사용자 인터페이스에서 REST 인터페이스가 사용으로 설정되었는지 확인합니다.
  3. "OKV REST 관리자" 사용자를 생성합니다. 원하는 정규화된 사용자 이름을 사용할 수 있습니다(예: "okv_rest_user"). Cloud@CustomerOracle Database Exadata Cloud at CustomerAutonomous Database의 경우 동일하거나 다른 REST 사용자를 사용합니다. 이러한 데이터베이스는 동일하거나 다른 온프레미스 OKV 클러스터에서 키 관리될 수 있습니다. Oracle Database Exadata Cloud at Customer에는 create endpoint 권한이 있는 REST 사용자가 필요합니다. Cloud@CustomerAutonomous Database에는 create endpointcreate endpoint group 권한을 가진 REST 사용자가 필요합니다.
  4. OKV에 연결하고 키 저장소를 구성하는 데 필요한 OKV 관리자 자격 증명 및 IP 주소를 수집합니다. 자세한 내용은 키 저장소 생성을 참조하십시오.
  5. 클라이언트 네트워크에서 송신할 포트 443, 5695 및 5696을 열어 OKV 서버에 액세스합니다.
  6. Oracle Public Cloud 배포 시 컴퓨트 호스트가 다른 VCN에 있는 경우 VPN(빠른 연결 또는 서비스형 VPN) 또는 모든 VCN 피어링을 사용하여 적절한 네트워크 경로를 설정하여 OKV가 Autonomous Database에 대한 네트워크 액세스 권한을 갖는지 확인합니다.

OCI 저장소 서비스에서 저장소 생성 및 저장소에 암호 추가를 통해 OKV REST 관리자 비밀번호 저장

전용 Exadata 인프라 배포는 Oracle Database를 등록하고 OKV에서 전자 지갑을 요청하기 위해 Oracle Database가 프로비저닝될 때마다 REST를 통해 OKV와 통신합니다. 따라서 OKV 서버에 등록하려면 Exadata 인프라가 REST 관리 인증서에 액세스해야 합니다. 이러한 인증서는 OCI의 Oracle Vault Service에 암호로 안전하게 저장되며 필요할 때만 전용 Exadata 인프라 배치에서 액세스할 수 있습니다. 필요한 경우 인증서가 암호로 보호된 전자 지갑 파일에 저장됩니다.

OCI 저장소에서 암호에 액세스하기 위한 키 저장소에 대한 동적 그룹 및 정책 문 생성

OCI 저장소에서 암호에 액세스할 수 있는 권한을 키 저장소 리소스에 부여하려면 해당 리소스를 식별하는 IAM 동적 그룹을 생성한 다음, OCI 저장소 및 암호에서 생성한 암호에 이 동적 그룹 액세스 권한을 부여하는 IAM 정책을 생성합니다.

동적 그룹을 정의할 때 키 저장소를 포함하는 컴파트먼트의 OCID를 지정하여 키 저장소 리소스를 식별합니다.

  • 키 저장소 리소스를 포함하는 컴파트먼트의 OCID를 복사합니다. 이 OCID는 구획의 구획 세부정보 페이지에서 찾을 수 있습니다.
  • Oracle Cloud Infrastructure 문서동적 그룹 관리에 설명된 지침에 따라 동적 그룹을 생성합니다. 다음 지침을 따르는 경우 이 형식의 일치 규칙을 입력합니다.
    ALL {resource.compartment.id ='<compartment-ocid>'}

    여기서 <compartment-ocid>는 키 저장소 리소스를 포함하는 구획의 OCID입니다.

동적 그룹을 생성한 후 컴파트먼트 계층 위의 컴파트먼트에서 저장소 및 암호를 포함하는 컴파트먼트보다 높은 IAM 정책으로 이동(또는 생성)합니다. 그런 다음 이 형식의 정책 문을 추가합니다.

allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>

여기서 <dynamic-group>은 생성한 동적 그룹의 이름이고 <vaults-and-secrets-compartment>은 저장소와 암호를 생성한 컴파트먼트의 이름입니다.

OCI 저장소 서비스의 암호를 사용할 데이터베이스 서비스에 대한 정책 문 생성

OCI 저장소의 암호를 사용하여 OKV REST 인터페이스에 로그인할 수 있는 Autonomous Database 서비스 권한을 부여하려면 컴파트먼트 계층에서 OCI 저장소 및 암호를 포함하는 컴파트먼트보다 높은 상위 컴파트먼트의 IAM 정책으로 이동(또는 생성)하십시오. 그런 다음 이 형식의 정책 문을 추가합니다. 

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

여기서 <vaults-and-secrets-compartment>은 OCI 저장소 및 암호를 생성한 컴파트먼트의 이름입니다.

OCI Vault가 설정되고 IAM 구성이 마련되면 이제 OCI에 Oracle Key Vault 'Key Store'를 배치하고 이를 전용 Exadata VM 클러스터와 연관시킬 준비가 된 것입니다.