Gerenciar chaves mestras de criptografia no AWS Key Management Service

O Autonomous Database oferece suporte a chaves TDE (Transparent Data Encryption) gerenciadas pelo cliente que residem no AWS Key Management Service (KMS).

Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no AWS Key Management Service
Descreve as etapas de pré-requisitos para usar chaves de criptografia principais gerenciadas pelo cliente que residem no Amazon Web Services (AWS) Key Management Service (KMS) no Autonomous Database.
Usar Chaves de Criptografia Gerenciadas pelo Cliente no Autonomous Database com o AWS Key Management Service
Mostra as etapas para criptografar seu Autonomous Database usando chaves de criptografia principais gerenciadas pelo cliente que residem no AWS Key Management Service (KMS).

Tópico principal: Gerenciar Chaves de Criptografia no Autonomous Database

Pré-requisitos para usar chaves de criptografia gerenciadas pelo cliente no AWS Key Management Service

Descreve as etapas de pré-requisito para usar chaves de criptografia principais gerenciadas pelo cliente que residem no Amazon Web Services (AWS) Key Management Service (KMS) no Autonomous Database.

Limitações:

O AWS KMS só é suportado em regiões comerciais.
O acesso entre tenancies, em que a instância do Autonomous Database e o AWS KMS estão em diferentes tenancies, não é suportado.
O AWS KMS não é suportado em standbys entre regiões.
O AWS KMS não é suportado em clones atualizáveis.

Siga estas etapas:

Crie uma política da AWS que conceda acesso de leitura ao AWS KMS.

Consulte Criando uma política de IAM para acessar o AWS KMS para obter instruções e Executar Pré-requisitos de Gerenciamento da AWS para Usar ARNs (Amazon Resource Names) para obter mais informações.

Por exemplo, a política ADBS_AWS_Policy1 foi criada:

Descrição da ilustração sec_aws_policy.png

A política ADBS_AWS_Policy1 inclui permissão para acessar o KMS.

Descrição da ilustração sec_aws_perm.png
Criar uma atribuição da AWS e anexá-la.

Consulte Criando uma atribuição do IAM para acessar os serviços da AWS para obter instruções.

Por exemplo, uma atribuição ADBS_AWS_Role1 foi criada:

Descrição da ilustração sec_aws_role.png

Neste exemplo, a política ADBS_AWS_Policy1 está anexada à atribuição ADBS_AWS_Role1:

Descrição da ilustração sec_aws_att_policy.png

Na página de detalhes da política, para este exemplo, a atribuição é listada em Anexada como política de permissões:

Descrição da ilustração sec_aws_att_role.png
Especifique um Relacionamento de Confiança para a atribuição.

Edite o Relacionamento Confiável da Atribuição da AWS para incluir o ARN do Usuário da Oracle e um ID Externo (OCID da tenancy) para obter segurança adicional.
1. No Autonomous Database, consulte CLOUD_INTEGRATIONS.
  Por exemplo:
```
SELECT * FROM CLOUD.INTEGRATIONS;
```
```
SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
aws_arn           arn:aws:iam:…:user/oraclearn
```
  A view CLOUD_INTEGRATIONS está disponível para o usuário ADMIN ou para um usuário com a atribuição DWROLE.
2. Copie o PARAM_VALUE para aws_user_arn e salve o valor de uma etapa subsequente.
3. Obtenha o OCID da tenancy, necessário para o ID Externo.
  
  Na console do OCI, clique em seu Perfil e selecione Tenancy para ir até a página de detalhes da tenancy. Copie o OCID da tenancy e salve-o para uma etapa subsequente.
  
  Por exemplo:
  
  Descrição da ilustração sec_aws_ocid.png
4. No portal da AWS, navegue até as Entidades confiáveis da atribuição e role até a instrução "Principal".
5. Para "Principal", especifique "AWS" como o ARN do Usuário Oracle salvo e, para "Condition", especifique "sts:ExternalId" como o OCID salvo.
  
  Por exemplo:
  
  Descrição da ilustração sec_aws_trustrel.png

Tópico principal: Gerenciar Chaves de Criptografia Principais no AWS Key Management Service

Usar Chaves de Criptografia Gerenciadas pelo Cliente no Autonomous Database com o AWS Key Management Service

Mostra as etapas para criptografar seu Autonomous Database usando chaves de criptografia principais gerenciadas pelo cliente que residem no AWS Key Management Service (KMS).

Siga estas etapas:

Execute as etapas obrigatórias de pré-requisito da chave de criptografia gerenciada pelo cliente conforme necessário. Consulte Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no AWS Key Management Service para obter detalhes.
Crie uma instância do Autonomous Database que use a definição de chave de Criptografia padrão de Criptografar usando uma chave gerenciada pela Oracle. Consulte Provisionar uma Instância do Autonomous Database para obter mais informações.

Observação

As definições de chave de criptografia para chaves gerenciadas pelo cliente no AWS Key Vault não estão disponíveis durante o processo de criação da instância do Autonomous Database. As opções estão disponíveis após o provisionamento ao editar a instância.
Na página Detalhes da instância do Autonomous Database, clique em Mais ações e selecione Gerenciar chave de criptografia.

Observação

Se você já estiver usando chaves gerenciadas pelo cliente no AWS KMS e quiser rotacionar as chaves TDE, siga estas etapas e selecione outra chave (uma diferente da chave de criptografia principal selecionada no momento).
Na página Gerenciar chave de criptografia, selecione criptografar usando uma chave gerenciada pelo cliente.
No menu suspenso Tipo de chave, selecione Amazon Web Services (AWS).

Descrição da ilustração sec_aws.png
Informe o URI do Ponto Final do Serviço.

O URI do Ponto Final de Serviço é a região da AWS onde o AWS KMS está localizado.
1. Vá para o portal da AWS, navegue até o KMS onde sua chave está localizada.
2. Localize o nome da região listado na barra superior do portal.
  
  Por exemplo, esse KMS está na região chamada Ohio:
  
  Descrição da ilustração sec_aws_region.png
3. Procure o ponto final correspondente à região. Vá para pontos finais e cotas do AWS Key Management Service e localize o ponto final do nome da região da AWS em que seu AWS KMS está localizado.
  
  Por exemplo, se o nome da região da AWS for Ohio, o ponto final será kms.us-east-2.amazonaws.com.
4. Informe o ponto final para o URI do Ponto Final do Serviço.
Informe o ARN ou Alias da Chave.
1. Navegue até a página de detalhes principais no portal da AWS. Copie o alias ou ARN da chave.
  
  Por exemplo, o apelido para ADBS_TestAWSKMSKey é selecionado:
  
  Descrição da ilustração sec_aws_alias.png
2. Informe o Alias ou ARN da chave no campo ARN ou Alias da Chave.
  Se inserir o alias, coloque o prefixo alias/ na entrada. Por exemplo, se o alias for ADBS_TestAWSKMSKey, digite:
```
alias/ADBS_TestAWSKMSKey
```
  Se você inserir o ARN, nenhum prefixo será necessário. Por exemplo, se o ARN for arn.aws.kms.us-east-2:37807956...bd154, informe:
```
arn.aws.kms.us-east-2:37807956...bd154
```
Informe a Função ARN (Opcional).
1. Navegue até a página de detalhes da atribuição no portal da AWS.
2. Copie o ARN da função.
  
  Por exemplo, o ARN de ADBS_AWS_Role1 é copiado:
  
  Descrição da ilustração sec_aws_arn_role.png
3. Informe o ARN copiado no campo Atribuição ARN.
Informe o ID Externo (Opcional).

Para o ID Externo, digite tenant_ocid.
Clique em Salvar.

Por exemplo:

Descrição da ilustração sec_aws_save.png

O Estado do ciclo de vida é alterado para Atualizando. Quando a solicitação é concluída, o Estado do ciclo de vida mostra Disponível.

Depois que a solicitação for concluída, na Console do Oracle Cloud Infrastructure, as informações da chave serão mostradas na página de detalhes da instância do Autonomous Database sob o cabeçalho Criptografia.

Por exemplo:

Descrição da ilustração sec_aws_done.png

Consulte Observações para Usar Chaves Gerenciadas pelo Cliente com o Autonomous Database para obter mais informações.

Tópico principal: Gerenciar Chaves de Criptografia Principais no AWS Key Management Service

Documentação do Oracle Cloud Infrastructure