Gerenciar chaves principais de criptografia no AWS Key Management Service

O Autonomous Database suporta chaves de TDE (Transparent Data Encryption) gerenciadas pelo cliente que residem no KMS (AWS Key Management Service).

Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no AWS Key Management Service

Descreve etapas de pré-requisito para usar chaves de criptografia mestras gerenciadas pelo cliente que residem no Amazon Web Services (AWS) Key Management Service (KMS) no Autonomous Database.

Limitações:
  • O AWS KMS só é suportado em regiões comerciais.
  • Não há suporte para o AWS KMS em standbys do Autonomous Data Guard entre as regiões.

Siga estas etapas:

  1. Crie uma política da AWS que conceda acesso de leitura ao AWS KMS.

    Consulte Criando uma política do serviço IAM para acessar o AWS KMS para obter instruções e Executar Pré-requisitos do AWS Management para Usar ADNs (Amazon Resource Names) para obter mais informações.

    Por exemplo, a política ADBS_AWS_Policy1 foi criada:
    Veja a seguir a descrição da ilustração sec_aws_policy.png
    Descrição da ilustração sec_aws_policy.png

    A política ADBS_AWS_Policy1 inclui permissão para acessar KMS.
    Veja a seguir a descrição da ilustração sec_aws_perm.png
    Descrição da ilustração sec_aws_perm.png

  2. Crie uma função da AWS e anexe a política à função.

    Consulte Criando uma atribuição do serviço IAM para acessar serviços da AWS para obter instruções.

    Por exemplo, uma atribuição ADBS_AWS_Role1 foi criada:



    Neste exemplo, a política ADBS_AWS_Policy1 está anexada à atribuição ADBS_AWS_Role1:



    Na página de detalhes da política, para este exemplo, a atribuição é listada em Anexada como política de permissões:



  3. Especifique um Relacionamento de Confiança para a função.

    Edite o Relacionamento de Confiança da Atribuição da AWS para incluir o ARN do Usuário da Oracle e um ID Externo (OCID da tenancy) para obter segurança adicional.

    1. Na consulta do Autonomous Database CLOUD_INTEGRATIONS.

      Por exemplo:

      SELECT * FROM CLOUD.INTEGRATIONS;
      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:…:user/oraclearn

      A view CLOUD_INTEGRATIONS está disponível para o usuário ADMIN ou para um usuário com a atribuição DWROLE.

    2. Copie o PARAM_VALUE para aws_user_arn e salve o valor para uma etapa subsequente.
    3. Obtenha o OCID da tenancy, necessário para o ID Externo.

      Na console do OCI, clique em seu Perfil e selecione Tenancy para ir até a página de detalhes da tenancy. Copie o OCID da tenancy e salve-o para uma etapa subsequente.

      Por exemplo:



    4. No portal da AWS, navegue até as Entidades confiáveis da função e role até a instrução "Principal".
    5. Para "Principal", especifique "AWS" como o ARN do Usuário Oracle salvo e para "Condition", especifique "sts:ExternalId" como o OCID salvo.

Usar Chaves de Criptografia Gerenciadas pelo Cliente no Autonomous Database com o AWS Key Management Service

Mostra as etapas para criptografar o Autonomous Database usando chaves de criptografia mestras gerenciadas pelo cliente que residem no AWS Key Management Service (KMS).

Siga estas etapas:

  1. Execute as etapas necessárias de pré-requisito da chave de criptografia gerenciada pelo cliente conforme necessário. Consulte Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no AWS Key Management Service para obter detalhes.
  2. Crie uma instância do Autonomous Database que use a definição de chave de Criptografia padrão Criptografar usando uma chave gerenciada pela Oracle. Consulte Provisionar uma Instância do Serviço Autonomous Database para mais informações.
    Observação

    As definições de chave de criptografia para chaves gerenciadas pelo cliente no AWS Key Vault não estão disponíveis durante o processo de criação da instância do Autonomous Database. As opções estão disponíveis após o provisionamento, durante a edição da instância.
  3. Na página Detalhes da instância do Autonomous Database, clique em Mais ações e selecione Gerenciar chave de criptografia.
    Observação

    Se você já estiver usando chaves gerenciadas pelo cliente no AWS KMS e quiser rotacionar as chaves TDE, siga estas etapas e selecione outra chave (selecione uma chave diferente da chave de criptografia mestra selecionada no momento).
  4. Na página Gerenciar chave de criptografia, selecione Criptografar usando uma chave gerenciada pelo cliente.
  5. No menu suspenso Tipo de chave, selecione Amazon Web Services (AWS).
  6. Informe o URI do Ponto Final do Serviço.

    O URI do Ponto Final do Serviço é a região da AWS onde o AWS KMS está localizado.

    1. Vá para o portal da AWS e navegue até o KMS onde sua chave está localizada.
    2. Localize o nome da região listada na barra superior do portal.

      Por exemplo, esse KMS está na região chamada Ohio:



    3. Procure o ponto final correspondente à região. Vá para pontos finais e cotas do AWS Key Management Service e localize o ponto final do nome da região da AWS em que o AWS KMS está localizado.

      Por exemplo, se o nome da região da AWS for Ohio, o ponto final será kms.us-east-2.amazonaws.com.

    4. Informe o ponto final para o URI do Ponto Final do Serviço.
  7. Informe o ARN ou Alias da Chave.
    1. Navegue até a página de detalhes principais no portal da AWS. Copie o alias ou ARN da chave.

      Por exemplo, o alias para ADBS_TestAWSKMSKey é selecionado:



    2. Informe o Alias ou o ARN da chave no campo ARN ou Alias da Chave.
      Se estiver informando o Alias, coloque o prefixo alias/ na entrada. Por exemplo, se o alias for ADBS_TestAWSKMSKey, informe:
      alias/ADBS_TestAWSKMSKey
      Se você inserir o ARN, nenhum prefixo será necessário. Por exemplo, se o ARN for arn.aws.kms.us-east-2:37807956...bd154, informe:
      arn.aws.kms.us-east-2:37807956...bd154
  8. Informe a Função ARN (Opcional).
    1. Navegue até a página de detalhes da função no portal da AWS.
    2. Copie o ARN da função.

      Por exemplo, o ARN para ADBS_AWS_Role1 é copiado:



    3. Informe o ARN copiado no campo Função do ARN.
  9. Insira o ID Externo (Opcional).

    Para o ID Externo, digite tenant_ocid.

  10. Clique em Salvar.

O Estado do ciclo de vida muda para Atualizando. Quando a solicitação é concluída, o Estado do ciclo de vida mostra Disponível.

Após a conclusão da solicitação, na Console do Oracle Cloud Infrastructure, as informações principais são mostradas na página de detalhes da instância do Autonomous Database sob o cabeçalho Criptografia.

Por exemplo: