Gerenciar chaves principais de criptografia no AWS Key Management Service
O Autonomous AI Database suporta chaves de TDE (Transparent Data Encryption) gerenciadas pelo cliente que residem no KMS (AWS Key Management Service).
Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no AWS Key Management Service
Descreve etapas de pré-requisito para usar chaves de criptografia mestras gerenciadas pelo cliente que residem no Amazon Web Services (AWS) Key Management Service (KMS) no Autonomous AI Database.
Limitações:
-
O AWS KMS só é suportado em regiões comerciais.
-
Não há suporte para o AWS KMS em stand-bys entre regiões do Autonomous Data Guard.
Siga estas etapas:
-
Crie uma política da AWS que conceda acesso de leitura ao AWS KMS.
Consulte Criando uma política do IAM para acessar o AWS KMS para obter instruções e Executar Pré-requisitos do AWS Management para Usar ADNs (Amazon Resource Names) para obter mais informações.
Por exemplo, a política
ADBS_AWS_Policy1foi criada:
Descrição da ilustração sec_aws_policy.png
A política
ADBS_AWS_Policy1inclui permissão para acessar o KMS.
-
Crie uma função da AWS e anexe a política à função.
Consulte Criando uma atribuição do serviço IAM para acessar serviços da AWS para obter instruções.
Por exemplo, uma atribuição
ADBS_AWS_Role1foi criada:
Descrição da ilustração sec_aws_role.png
Neste exemplo, a política
ADBS_AWS_Policy1está anexada à atribuiçãoADBS_AWS_Role1:
Descrição da ilustração sec_aws_att_policy.png
Na página de detalhes da política, para este exemplo, a atribuição é listada em Anexada como política de permissões:

-
Especifique um Relacionamento de Confiança para a função.
Edite o Relacionamento de Confiança da Atribuição da AWS para incluir o ARN do Usuário da Oracle e um ID Externo (OCID da tenancy) para obter segurança adicional.
-
Na consulta do Autonomous AI Database
CLOUD_INTEGRATIONS.Por exemplo:
SELECT * FROM CLOUD.INTEGRATIONS;SELECT * FROM CLOUD_INTEGRATIONS; PARAM_NAME PARAM_VALUE --------------- ------------------------------------------------------------------------------------------------------------------------------------------ aws_arn arn:aws:iam:...:user/oraclearnA view
CLOUD_INTEGRATIONSestá disponível para o usuárioADMINou para um usuário com a atribuiçãoDWROLE. -
Copie o
PARAM_VALUEparaaws_user_arne salve o valor para uma etapa subsequente. -
Obtenha o OCID da tenancy, necessário para o ID Externo.
Na console do OCI, clique em seu Perfil e selecione Tenancy para ir para a página de detalhes da tenancy. Copie o OCID da tenancy e salve-o para uma etapa subsequente.
Por exemplo:

-
No portal da AWS, navegue até as Entidades confiáveis da função e role até a instrução "Principal".
-
Para
"Principal", especifique "AWS" como o ARN do Usuário Oracle salvo e para"Condition", especifique "sts:ExternalId" como o OCID salvo.Por exemplo:

-
Usar Chaves de Criptografia Gerenciadas pelo Cliente no Autonomous AI Database com o AWS Key Management Service
Mostra as etapas para criptografar o Autonomous AI Database usando chaves de criptografia mestras gerenciadas pelo cliente que residem no AWS Key Management Service (KMS).
Siga estas etapas:
-
Execute as etapas necessárias de pré-requisito da chave de criptografia gerenciada pelo cliente conforme necessário. Consulte Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no AWS Key Management Service para obter detalhes.
-
Crie uma instância do Autonomous AI Database que use a definição de chave de Criptografia padrão Criptografar usando uma chave gerenciada pela Oracle. Consulte Provisionar uma Instância do Autonomous AI Database para obter mais informações.
Observação
Observação: As definições de chave de criptografia para chaves gerenciadas pelo cliente no AWS Key Vault não estão disponíveis durante o processo de criação da instância do Autonomous AI Database. As opções estão disponíveis após o provisionamento, durante a edição da instância. -
Na página Detalhes da instância do Autonomous AI Database, clique em Mais ações e selecione Gerenciar chave de criptografia.
Observação
Observação: Se você já estiver usando chaves gerenciadas pelo cliente no AWS KMS e quiser rotacionar as chaves TDE, siga estas etapas e selecione outra chave (selecione uma chave diferente da chave de criptografia mestra selecionada no momento). -
Na página Gerenciar chave de criptografia, selecione Criptografar usando uma chave gerenciada pelo cliente.
-
No menu suspenso Tipo de chave, selecione Amazon Web Services (AWS).

-
Informe o URI do Ponto Final do Serviço.
O URI do Ponto Final do Serviço é a região da AWS onde o AWS KMS está localizado.
-
Vá para o portal da AWS e navegue até o KMS onde sua chave está localizada.
-
Localize o nome da região listada na barra superior do portal.
Por exemplo, esse KMS está na região chamada Ohio:

-
Procure o ponto final correspondente à região. Vá para pontos finais e cotas do AWS Key Management Service e localize o ponto final do nome da região da AWS em que o AWS KMS está localizado.
Por exemplo, se o nome da região da AWS for
Ohio, o ponto final serákms.us-east-2.amazonaws.com. -
Informe o ponto final para o URI do Ponto Final do Serviço.
-
-
Informe o ARN ou Alias da Chave.
-
Navegue até a página de detalhes principais no portal da AWS. Copie o alias ou ARN da chave.
Por exemplo, o alias para
ADBS_TestAWSKMSKeyé selecionado:
-
Informe o Alias ou ARN da chave no campo ARN ou Alias da Chave.
Se estiver informando o Alias, coloque o prefixo
alias/na entrada. Por exemplo, se o alias forADBS_TestAWSKMSKey, informe:alias/ADBS_TestAWSKMSKeySe você inserir o ARN, nenhum prefixo será necessário. Por exemplo, se o ARN for
arn.aws.kms.us-east-2:37807956...bd154, informe:arn.aws.kms.us-east-2:37807956...bd154
-
-
Informe a Função ARN (Opcional).
-
Navegue até a página de detalhes da função no portal da AWS.
-
Copie o ARN da função.
Por exemplo, o ARN para
ADBS_AWS_Role1é copiado:
-
Informe o ARN copiado no campo Função do ARN.
-
-
Insira o ID Externo (Opcional).
Para o ID Externo, digite
tenant_ocid. -
Clique em Salvar.
Por exemplo:

Descrição da ilustração sec_aws_save.png
O Estado do ciclo de vida muda para Atualizando. Quando a solicitação é concluída, o Estado do ciclo de vida mostra Disponível.
Após a conclusão da solicitação, na Console do Oracle Cloud Infrastructure, as informações principais são mostradas na página de detalhes da instância do Autonomous AI Database sob o cabeçalho Criptografia.
Por exemplo:

Descrição da ilustração sec_aws_done.png
Consulte Observações sobre como Usar Chaves Gerenciadas pelo Cliente com o Autonomous AI Database para obter mais informações.