Gerenciar chaves principais de criptografia no AWS Key Management Service

O Autonomous AI Database suporta chaves de TDE (Transparent Data Encryption) gerenciadas pelo cliente que residem no KMS (AWS Key Management Service).

Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no AWS Key Management Service

Descreve etapas de pré-requisito para usar chaves de criptografia mestras gerenciadas pelo cliente que residem no Amazon Web Services (AWS) Key Management Service (KMS) no Autonomous AI Database.

Limitações:

  • O AWS KMS só é suportado em regiões comerciais.

  • Não há suporte para o AWS KMS em stand-bys entre regiões do Autonomous Data Guard.

Siga estas etapas:

  1. Crie uma política da AWS que conceda acesso de leitura ao AWS KMS.

    Consulte Criando uma política do IAM para acessar o AWS KMS para obter instruções e Executar Pré-requisitos do AWS Management para Usar ADNs (Amazon Resource Names) para obter mais informações.

    Por exemplo, a política ADBS_AWS_Policy1 foi criada:

    Veja a seguir a descrição da ilustração sec_aws_policy.png

    Descrição da ilustração sec_aws_policy.png

    A política ADBS_AWS_Policy1 inclui permissão para acessar o KMS.

    Veja a seguir a descrição da ilustração sec_aws_perm.png

    Descrição da ilustração sec_aws_perm.png

  2. Crie uma função da AWS e anexe a política à função.

    Consulte Criando uma atribuição do serviço IAM para acessar serviços da AWS para obter instruções.

    Por exemplo, uma atribuição ADBS_AWS_Role1 foi criada:

    Veja a seguir a descrição da ilustração sec_aws_role.png

    Descrição da ilustração sec_aws_role.png

    Neste exemplo, a política ADBS_AWS_Policy1 está anexada à atribuição ADBS_AWS_Role1:

    Veja a seguir a descrição da ilustração sec_aws_att_policy.png

    Descrição da ilustração sec_aws_att_policy.png

    Na página de detalhes da política, para este exemplo, a atribuição é listada em Anexada como política de permissões:

    Veja a seguir a descrição da ilustração sec_aws_att_role.png

    Descrição da ilustração sec_aws_att_role.png

  3. Especifique um Relacionamento de Confiança para a função.

    Edite o Relacionamento de Confiança da Atribuição da AWS para incluir o ARN do Usuário da Oracle e um ID Externo (OCID da tenancy) para obter segurança adicional.

    1. Na consulta do Autonomous AI Database CLOUD_INTEGRATIONS.

      Por exemplo:

      SELECT * FROM CLOUD.INTEGRATIONS;
      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:...:user/oraclearn

      A view CLOUD_INTEGRATIONS está disponível para o usuário ADMIN ou para um usuário com a atribuição DWROLE.

    2. Copie o PARAM_VALUE para aws_user_arn e salve o valor para uma etapa subsequente.

    3. Obtenha o OCID da tenancy, necessário para o ID Externo.

      Na console do OCI, clique em seu Perfil e selecione Tenancy para ir para a página de detalhes da tenancy. Copie o OCID da tenancy e salve-o para uma etapa subsequente.

      Por exemplo:

      Veja a seguir a descrição da ilustração sec_aws_ocid.png

      Descrição da ilustração sec_aws_ocid.png

    4. No portal da AWS, navegue até as Entidades confiáveis da função e role até a instrução "Principal".

    5. Para "Principal", especifique "AWS" como o ARN do Usuário Oracle salvo e para "Condition", especifique "sts:ExternalId" como o OCID salvo.

      Por exemplo:

      Veja a seguir a descrição da ilustração sec_aws_trustrel.png

      Descrição da ilustração sec_aws_trustrel.png

Usar Chaves de Criptografia Gerenciadas pelo Cliente no Autonomous AI Database com o AWS Key Management Service

Mostra as etapas para criptografar o Autonomous AI Database usando chaves de criptografia mestras gerenciadas pelo cliente que residem no AWS Key Management Service (KMS).

Siga estas etapas:

  1. Execute as etapas necessárias de pré-requisito da chave de criptografia gerenciada pelo cliente conforme necessário. Consulte Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no AWS Key Management Service para obter detalhes.

  2. Crie uma instância do Autonomous AI Database que use a definição de chave de Criptografia padrão Criptografar usando uma chave gerenciada pela Oracle. Consulte Provisionar uma Instância do Autonomous AI Database para obter mais informações.

    Observação

    Observação: As definições de chave de criptografia para chaves gerenciadas pelo cliente no AWS Key Vault não estão disponíveis durante o processo de criação da instância do Autonomous AI Database. As opções estão disponíveis após o provisionamento, durante a edição da instância.

  3. Na página Detalhes da instância do Autonomous AI Database, clique em Mais ações e selecione Gerenciar chave de criptografia.

    Observação

    Observação: Se você já estiver usando chaves gerenciadas pelo cliente no AWS KMS e quiser rotacionar as chaves TDE, siga estas etapas e selecione outra chave (selecione uma chave diferente da chave de criptografia mestra selecionada no momento).

  4. Na página Gerenciar chave de criptografia, selecione Criptografar usando uma chave gerenciada pelo cliente.

  5. No menu suspenso Tipo de chave, selecione Amazon Web Services (AWS).

    Veja a seguir a descrição da ilustração sec_aws.png

    Descrição da ilustração sec_aws.png

  6. Informe o URI do Ponto Final do Serviço.

    O URI do Ponto Final do Serviço é a região da AWS onde o AWS KMS está localizado.

    1. Vá para o portal da AWS e navegue até o KMS onde sua chave está localizada.

    2. Localize o nome da região listada na barra superior do portal.

      Por exemplo, esse KMS está na região chamada Ohio:

      Veja a seguir a descrição da ilustração sec_aws_region.png

      Descrição da ilustração sec_aws_region.png

    3. Procure o ponto final correspondente à região. Vá para pontos finais e cotas do AWS Key Management Service e localize o ponto final do nome da região da AWS em que o AWS KMS está localizado.

      Por exemplo, se o nome da região da AWS for Ohio, o ponto final será kms.us-east-2.amazonaws.com.

    4. Informe o ponto final para o URI do Ponto Final do Serviço.

  7. Informe o ARN ou Alias da Chave.

    1. Navegue até a página de detalhes principais no portal da AWS. Copie o alias ou ARN da chave.

      Por exemplo, o alias para ADBS_TestAWSKMSKey é selecionado:

      Veja a seguir a descrição da ilustração sec_aws_alias.png

      Descrição da ilustração sec_aws_alias.png

    2. Informe o Alias ou ARN da chave no campo ARN ou Alias da Chave.

      Se estiver informando o Alias, coloque o prefixo alias/ na entrada. Por exemplo, se o alias for ADBS_TestAWSKMSKey, informe:

      alias/ADBS_TestAWSKMSKey

      Se você inserir o ARN, nenhum prefixo será necessário. Por exemplo, se o ARN for arn.aws.kms.us-east-2:37807956...bd154, informe:

      arn.aws.kms.us-east-2:37807956...bd154
  8. Informe a Função ARN (Opcional).

    1. Navegue até a página de detalhes da função no portal da AWS.

    2. Copie o ARN da função.

      Por exemplo, o ARN para ADBS_AWS_Role1 é copiado:

      Veja a seguir a descrição da ilustração sec_aws_arn_role.png

      Descrição da ilustração sec_aws_arn_role.png

    3. Informe o ARN copiado no campo Função do ARN.

  9. Insira o ID Externo (Opcional).

    Para o ID Externo, digite tenant_ocid.

  10. Clique em Salvar.

    Por exemplo:

    Veja a seguir a descrição da ilustração sec_aws_save.png

    Descrição da ilustração sec_aws_save.png

    O Estado do ciclo de vida muda para Atualizando. Quando a solicitação é concluída, o Estado do ciclo de vida mostra Disponível.

Após a conclusão da solicitação, na Console do Oracle Cloud Infrastructure, as informações principais são mostradas na página de detalhes da instância do Autonomous AI Database sob o cabeçalho Criptografia.

Por exemplo:

Veja a seguir a descrição da ilustração sec_aws_done.png

Descrição da ilustração sec_aws_done.png

Consulte Observações sobre como Usar Chaves Gerenciadas pelo Cliente com o Autonomous AI Database para obter mais informações.