Usar o Oracle Key Vault com o Autonomous AI Database na Infraestrutura Dedicada do Exadata

O Oracle Key Vault é um appliance de software com segurança reforçada e pilha completa, criado para centralizar o gerenciamento de chaves e objetos de segurança dentro da empresa. O Oracle Key Vault é um sistema gerenciado e provisionado pelo cliente que não faz parte dos serviços gerenciados do Oracle Cloud Infrastructure. Você pode integrar seu Oracle Key Vault (OKV) on-premises com serviços de nuvem de banco de dados gerenciados pelo cliente para proteger seus dados críticos on-premises.

Pré-requisitos

  1. Certifique-se de que o OKV esteja configurado e de que a rede esteja acessível na rede cliente do Oracle Public Cloud. Abra portas 443, 5695 e 5696 para saída na rede cliente para acessar o servidor do OKV.

  2. Verifique se a interface REST está ativada na interface do usuário do OKV.

  3. Crie o usuário "Administrador REST do OKV". Você pode usar qualquer nome de usuário qualificado de sua escolha, por exemplo, "okv_rest_user". Para o Autonomous AI Database on Cloud@Customer e o Oracle Database Exadata Cloud@Customer, use os mesmos usuários REST ou usuários diferentes. Esses bancos de dados podem ser gerenciados por chave nos mesmos clusters OKV on-premises ou em clusters diferentes. O Oracle Database Exadata Cloud@Customer precisa do usuário REST com o privilégio create endpoint. O Autonomous AI Database on Cloud@Customer precisa do usuário REST com privilégios create endpoint e create endpoint group.

  4. Colete credenciais do administrador e endereço IP do OKV, que são necessários para estabelecer conexão com o OKV e configurar o armazenamento de chaves. Consulte Criar um Armazenamento de Chaves para obter orientação.

  5. Abra as portas 443, 5695 e 5696 para saída na rede do cliente para acessar o servidor OKV.

  6. Em implantações do Oracle Public Cloud, certifique-se de que o OKV tenha acesso de rede ao Autonomous AI Database definindo rotas de rede adequadas com VPN (Fast connect ou VPN as a Service) ou qualquer pareamento de VCN se o host de computação estiver em outra VCN.

Criar um Vault no Serviço OCI Vault e Adicionar um Segredo ao Vault para Armazenar a Senha de Administrador REST do OKV

Sua implantação do Exadata Infrastructure Dedicado se comunica com o OKV por REST toda vez que um Oracle Database é provisionado para registrar o Oracle Database e solicitar uma wallet no OKV. Portanto, a infraestrutura do Exadata precisa de acesso às credenciais de administrador REST para se registrar no servidor OKV. Essas credenciais são armazenadas com segurança no Oracle Vault Service no OCI como Segredo e acessadas pela sua implantação do Dedicated Exadata Infrastructure somente quando necessário. Quando necessário, as credenciais são armazenadas em um arquivo de wallet protegido por senha.

Criar uma Instrução de Política para que o Serviço de Banco de Dados Use Segredo do Serviço OKV Vault

Para conceder a permissão do serviço Autonomous AI Database para usar o segredo no OCI Vault para fazer log-in na interface REST do OKV, navegue até (ou crie) uma política de IAM em um compartimento superior na hierarquia do compartimento do que o compartimento que contém seus Vaults e Segredos do OCI. Em seguida, adicione uma instrução de política deste formato:

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

em que <vaults-and-secrets-compartment> é o nome do compartimento no qual você criou seus Vaults e Segredos do OCI.

Depois que o OCI Vault estiver configurado e a configuração de IAM estiver em vigor, agora você estará pronto para implantar seu Oracle Key Vault 'Key Store' no OCI e associá-lo ao Cluster da VM Dedicada do Exadata.

Atualizar Grupo de Pontos Finais do OKV

Você pode atualizar o grupo de pontos finais do OKV na página Detalhes de um ACD.

Opcionalmente, você também pode adicionar um nome de grupo de pontos finais do OKV com a área de armazenamento de chaves do OKV ao provisionar o ACD ou posterior.

Para atualizar o grupo de pontos finais do OKV em um ACD, certifique-se de que:

Para atualizar o nome do grupo de pontos finais do OKV:

Gerenciar Pontos Finais do OKV

Excluir Pontos Finais do Oracle Key Vault

Depois de encerrar um ACD, exclua os pontos finais correspondentes ao ACD do OKV. Os pontos finais do OKV são criados no momento do provisionamento do ACD por ACD por nó do cluster. A exclusão dos pontos finais correspondentes a um ACD encerrado mantém o OKV organizado e ajuda durante a rotação do certificado da CA do OKV.

A exclusão de um ponto final o remove permanentemente do Oracle Key Vault. No entanto, os objetos de segurança que foram criados ou submetidos a upload anteriormente por esse ponto final permanecerão no Oracle Key Vault. Da mesma forma, os objetos de segurança associados a esse ponto final também permanecem. Para excluir ou reatribuir permanentemente esses objetos de segurança, você deve ser um usuário com a atribuição de Administrador de Chaves ou autorizado a mesclar esses objetos gerenciando privilégios da wallet. O software de ponto final baixado anteriormente no ponto final também permanece no ponto final até que o administrador o remova.

Você não pode excluir um ponto final que esteja no estado PENDING, a menos que seja o usuário que o criou. Você deve excluí-lo no nó no qual ele foi criado. Consulte Excluindo Um ou Mais Pontos Finais para obter mais detalhes.

Inscrevendo Pontos Finais Novamente

O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure não suporta a Reinscrição de pontos finais do OKV prontos para uso. Para reinscrever pontos finais do OKV, entre em contato com as equipes de operações do Autonomous AI Database.

Conteúdo Relacionado

Criar e Gerenciar Armazenamentos de Chaves