Preparar-se para usar o Oracle Key Vault com o Autonomous Database on Dedicated Exadata Infrastructure

O Oracle Key Vault é um appliance de software com segurança reforçada e pilha completa, criado para centralizar o gerenciamento de chaves e objetos de segurança dentro da empresa. O Oracle Key Vault é um sistema gerenciado e provisionado pelo cliente que não faz parte dos serviços gerenciados do Oracle Cloud Infrastructure. Você pode integrar o Oracle Key Vault (OKV) local com serviços de nuvem de banco de dados gerenciados pelo cliente para proteger seus dados críticos no local.

Tópicos Relacionados

Pré-requisitos

  1. Certifique-se de que o OKV esteja configurado e que a rede esteja acessível na rede cliente do Oracle Public Cloud. Abra as portas 443, 5695 e 5696 para saída na rede do cliente para acessar o servidor OKV.
  2. Verifique se a interface REST está ativada na interface do usuário do OKV.
  3. Crie o usuário "Administrador REST do OKV". Você pode usar qualquer nome de usuário qualificado de sua escolha, por exemplo, "okv_rest_user". Para o Autonomous Database no Cloud@Customer e no Oracle Database Exadata Cloud at Customer, use os mesmos usuários REST ou usuários diferentes. Esses bancos de dados podem ser gerenciados por chave em clusters OKV locais iguais ou diferentes. O Oracle Database Exadata Cloud at Customer precisa de um usuário REST com privilégio create endpoint. O Autonomous Database no Cloud@Customer precisa do usuário REST com privilégios create endpoint e create endpoint group.
  4. Colete credenciais do administrador e endereço IP do OKV, que são necessários para estabelecer conexão com o OKV e configurar o armazenamento de chaves. Consulte Criar um Armazenamento de Chaves para obter orientação.
  5. Abra as portas 443, 5695 e 5696 para saída na rede do cliente para acessar o servidor OKV.
  6. Nas implantações do Oracle Public Cloud, certifique-se de que o OKV tenha acesso de rede ao Autonomous Database definindo rotas de rede adequadas com VPN (conexão rápida ou VPN como Serviço) ou qualquer pareamento de VCN se o host de computação estiver em outra VCN.

Criar um Vault no OCI Vault Service e adicionar um segredo ao Vault para armazenar a senha do administrador REST do OKV

Sua implantação Dedicada do Exadata Infrastructure se comunica com o OKV por meio do REST sempre que um Oracle Database é provisionado para registrar o Oracle Database e solicitar uma wallet no OKV. Portanto, a infraestrutura do Exadata precisa acessar as credenciais de administrador REST para se registrar no servidor OKV. Essas credenciais são armazenadas com segurança no Oracle Vault Service no OCI como um Segredo e acessadas pela implantação Dedicada do Exadata Infrastructure somente quando necessária. Quando necessário, as credenciais são armazenadas em um arquivo de wallet protegido por senha.

Criar um Grupo Dinâmico e uma Instrução de Política de Armazenamento de Chaves para Acessar o Segredo no OCI Vault

Para conceder aos seus recursos de Armazenamento de Chaves permissão para acessar o Segredo no OCI Vault, você cria um grupo dinâmico de IAM que identifica esses recursos e, em seguida, cria uma política de IAM que concede a esse grupo dinâmico acesso ao Segredo criado nos Vaults e Segredos do OCI.

Ao definir o grupo dinâmico, você identifica os recursos do Armazenamento de Chaves especificando o OCID do compartimento que contém o Armazenamento de Chaves.

  • Copie o OCID do compartimento que contém o recurso do Armazenamento de Chaves. Você pode encontrar esse OCID na página Detalhes do Compartimento.
  • Crie um grupo dinâmico seguindo as instruções em Gerenciando Grupos Dinâmicos na Documentação do Oracle Cloud Infrastructure. Ao seguir estas instruções, digite uma regra correspondente deste formato:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    em que <compartment-ocid> é o OCID do compartimento que contém o recurso de Armazenamento de Chaves.

Depois de criar o grupo dinâmico, navegue até (ou crie) uma política de IAM em um compartimento superior na hierarquia ao compartimento que contém vaults e segredos. Em seguida, adicione uma instrução de política deste formato:

allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>

em que <dynamic-group> é o nome do grupo dinâmico que você criou e <vaults-and-secrets-compartment> é o nome do compartimento no qual você criou seus vaults e segredos.

Criar uma instrução de política do Database Service para usar o segredo no OCI Vault Service

Para conceder ao serviço do Autonomous Database permissão para usar o segredo no OCI Vault para fazer log-in na interface REST do OKV, navegue até (ou crie) uma política de IAM em um compartimento mais alto na hierarquia do compartimento do que o compartimento que contém os Vaults e Segredos do OCI. Em seguida, adicione uma instrução de política deste formato: 

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

em que <vaults-and-secrets-compartment> é o nome do compartimento no qual você criou seus Vaults e Segredos do OCI.

Depois que o OCI Vault estiver configurado e a configuração de IAM estiver em vigor, você agora está pronto para implantar o 'Armazenamento de Chaves' do Oracle Key Vault no OCI e associá-lo ao Cluster de VMs Dedicadas do Exadata.