Usar o Oracle Key Vault com o Autonomous AI Database na Infraestrutura Dedicada do Exadata

O Oracle Key Vault é um appliance de software com segurança reforçada e pilha completa, criado para centralizar o gerenciamento de chaves e objetos de segurança dentro da empresa. O Oracle Key Vault é um sistema gerenciado e provisionado pelo cliente que não faz parte dos serviços gerenciados do Oracle Cloud Infrastructure. Você pode integrar o Oracle Key Vault (OKV) local com serviços de nuvem de banco de dados gerenciados pelo cliente para proteger seus dados críticos no local.

Pré-requisitos

  1. Certifique-se de que o OKV esteja configurado e que a rede esteja acessível na rede cliente do Oracle Public Cloud. Abra as portas 443, 5695 e 5696 para saída na rede do cliente para acessar o servidor OKV.
  2. Verifique se a interface REST está ativada na interface do usuário do OKV.
  3. Crie o usuário "Administrador REST do OKV". Você pode usar qualquer nome de usuário qualificado de sua escolha, por exemplo, "okv_rest_user". Para o Autonomous AI Database no Cloud@Customer e no Oracle Database Exadata Cloud at Customer, use os mesmos usuários REST ou usuários diferentes. Esses bancos de dados podem ser gerenciados por chave nos mesmos clusters OKV on-premises ou em clusters diferentes. O Oracle Database Exadata Cloud at Customer precisa do usuário REST com o privilégio create endpoint. O Autonomous AI Database no Cloud@Customer precisa do usuário REST com privilégios create endpoint e create endpoint group.
  4. Colete credenciais do administrador e endereço IP do OKV, que são necessários para estabelecer conexão com o OKV e configurar o armazenamento de chaves. Consulte Criar um Armazenamento de Chaves para obter orientação.
  5. Abra as portas 443, 5695 e 5696 para saída na rede do cliente para acessar o servidor OKV.
  6. Em implantações do Oracle Public Cloud, certifique-se de que o OKV tenha acesso à rede para o Autonomous AI Database definindo rotas de rede adequadas com VPN (Fast connect ou VPN as a Service) ou qualquer pareamento de VCN se o host de computação estiver em outra VCN.

Criar um Vault no OCI Vault Service e adicionar um segredo ao Vault para armazenar a senha do administrador REST do OKV

Sua implantação Dedicada do Exadata Infrastructure se comunica com o OKV por meio do REST sempre que um Oracle Database é provisionado para registrar o Oracle Database e solicitar uma wallet no OKV. Portanto, a infraestrutura do Exadata precisa acessar as credenciais de administrador REST para se registrar no servidor OKV. Essas credenciais são armazenadas com segurança no Oracle Vault Service no OCI como um Segredo e acessadas pela implantação Dedicada do Exadata Infrastructure somente quando necessária. Quando necessário, as credenciais são armazenadas em um arquivo de wallet protegido por senha.

Atualizar Grupo de Pontos Finais do OKV

Você pode atualizar o grupo de pontos finais do OKV na página Detalhes de um ACD.

Opcionalmente, você também pode adicionar um nome de grupo de pontos finais do OKV com a área de armazenamento de chaves do OKV ao provisionar o ACD ou posterior.

Para atualizar o grupo de pontos finais do OKV em um ACD, certifique-se de que:
  • O grupo de pontos finais do OKV tem acesso à wallet do OKV correspondente.
  • Os pontos finais do OKV correspondentes ao ACD fazem parte do grupo de Pontos Finais do OKV.
  • O grupo de pontos finais do OKV tem acesso de leitura à(s) wallet(s) padrão(is) dos pontos finais.
Para atualizar o nome do grupo de pontos finais do OKV:
  • Vá para a página Detalhes do ACD. Para obter instruções, consulte Exibir Detalhes de um Autonomous Container Database.
  • Clique em Editar ao lado do nome do Grupo de Pontos Finais do OKV em Criptografia.
  • Escolha um Armazenamento de Chaves na lista e informe um nome para o grupo de pontos finais do OKV. O nome do grupo de pontos finais deve estar em todas as letras maiúsculas e pode incluir números, hifens (-) e sublinhados (_) e começar com uma letra maiúscula.
  • Clique em Salvar.

Gerenciar Pontos Finais do OKV

Excluir Pontos Finais do Oracle Key Vault

Depois de encerrar um ACD, exclua os pontos finais correspondentes ao ACD do OKV. Os pontos finais do OKV são criados no momento do provisionamento do ACD por ACD por nó do cluster. A exclusão dos pontos finais correspondentes a um ACD encerrado mantém o OKV organizado e ajuda durante a rotação do certificado da CA do OKV.

A exclusão de um ponto final o remove permanentemente do Oracle Key Vault. No entanto, os objetos de segurança que foram criados ou submetidos a upload anteriormente por esse ponto final permanecerão no Oracle Key Vault. Da mesma forma, os objetos de segurança associados a esse ponto final também permanecem. Para excluir ou reatribuir permanentemente esses objetos de segurança, você deve ser um usuário com a atribuição de Administrador de Chaves ou autorizado a mesclar esses objetos gerenciando privilégios da wallet. O software de ponto final baixado anteriormente no ponto final também permanece no ponto final até que o administrador o remova.

Não é possível excluir um ponto final que esteja no estado PENDING, a menos que você seja o usuário que o criou. Você deve excluí-lo no nó no qual ele foi criado. Consulte Excluindo Um ou Mais Pontos Finais para obter mais detalhes.

Inscrevendo Pontos Finais Novamente

O Oracle Autonomous AI Database na Infraestrutura Dedicada do Exadata não suporta a Reinscrição de pontos finais do OKV prontos para uso. Para reinscrever os pontos finais do OKV, entre em contato com as equipes de operações do Autonomous AI Database.