Gerenciar Chaves de Criptografia Principais no Azure Key Vault

Descreve as etapas de pré-requisito para usar chaves de criptografia mestras gerenciadas pelo cliente no Autonomous Database que residem no Azure Key Vault.

1. Crie uma instância do Autonomous Database que use a definição de chave de Criptografia padrão Criptografar usando uma chave gerenciada pela Oracle. Consulte Provisionar uma Instância do Serviço Autonomous Database para mais informações.
   Observação
   
   As definições de chave de criptografia para chaves gerenciadas pelo cliente no Azure Key Vault não estão disponíveis durante o processo de criação. As opções estão disponíveis após o provisionamento, durante a edição da instância.
2. Crie um Azure Key Vault com uma chave mestra de Criptografia Transparente de Dados (TDE).

   Consulte Sobre o Serviço Key Vault do Azure para obter mais informações.

3. Ative a autenticação do controlador de serviços do Azure com o Diretório Azure tenant_id para permitir que sua instância do Autonomous Database acesse o Azure Key Vault.
   1. Obtenha o ID do tenant do Microsoft Azure Active Directory.

      
      
      Descrição da ilustração sec_az_tenant_id.png
      

      Consulte Como localizar o ID do tenant do Azure Active Directory para obter mais informações.

   2. Conecte-se à sua instância como ADMIN.
   3. Ative o controlador de serviços do Azure com o DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. O valor de azure_tenantid é o ID do Diretório do Azure que você obteve na etapa anterior.
      Por exemplo:

      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Isso permite a autenticação do controlador de serviços do Azure e cria um aplicativo do Azure para o Autonomous Database no portal do Azure. Consulte Ativar Azure Service Principal para obter mais informações.

4. Fornecer o consentimento do aplicativo Azure para acessar recursos do Azure no Autonomous Database.
   1. Na consulta do Autonomous Database CLOUD_INTEGRATIONS.

      Por exemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      A view CLOUD_INTEGRATIONS está disponível para o usuário ADMIN ou para um usuário com a atribuição DWROLE.

   2. Em um browser, abra o URL de consentimento do Azure especificado pelo parâmetro azure_consent_url.

      Por exemplo, copie o azure_consent_url dos resultados da consulta e informe o URL no browser:

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      A página Permissões solicitadas é aberta e mostra uma solicitação de consentimento, semelhante à seguinte:

      
      Descrição da ilustração azure_consent.png
5. Obtenha o nome do aplicativo do Azure.
   1. Na consulta do Autonomous Database CLOUD_INTEGRATIONS.

      Por exemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;

   2. Copie o valor client_id incluído na consent_url.

      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

   3. Pesquise no client_id no portal do Azure. O ID do aplicativo é exibido no ID do Microsoft Entra.

      
      
      Descrição da ilustração sec_az_app_name.png
      

   4. Copiar o ID do aplicativo. Esse valor é usado nas etapas subsequentes para permitir que esse aplicativo acesse as chaves no Azure Key Vault.
6. Designe as atribuições necessárias para que o aplicativo Azure acesse o Azure Key Vault.
   1. No portal do Azure, navegue até as políticas de Acesso do Azure Key Vault.

      A lista de aplicativos com acesso a esse vault é exibida.

   2. Na página Políticas de acesso, clique em + Criar para criar uma política de acesso para que o aplicativo acesse esse vault de chaves.

      
      
      Descrição da ilustração sec_az_acc_pol.png
      

   3. Para Permissões na página Criar uma política de acesso, selecione todas as permissões de Chave, incluindo: Operações de Gerenciamento de Chaves, Operações de Criptografia, Operações de Chave Privilegiada e Operações de Política de Rotação e clique em Próximo.
   4. Para Principal, pesquise o nome do aplicativo.
   5. Selecione o nome do aplicativo exibido e clique em Próximo.
   6. Para Aplicativo (opcional), selecione Próximo.
   7. Para Revisar + criar, verifique os detalhes da política e clique em Criar.

      
      
      Descrição da ilustração sec_az_create_pol.png
      

   8. Na página de detalhes do Azure Key Vault, clique em Atualizar e procure o nome do aplicativo. Ele está incluído na lista exibida de aplicativos com permissão para acessar chaves neste Azure Key Vault.

   Consulte Designar uma Política de acesso ao Key Vault para obter mais informações.

Mostra as etapas para criptografar o Autonomous Database usando chaves de criptografia mestras gerenciadas pelo cliente que residem no Azure Key Vault.

1. Execute as etapas necessárias de pré-requisito da chave principal gerenciada pelo cliente. Consulte Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no Serviço Azure Key Vault.
2. Na página Detalhes, da lista drop-down Mais ações, selecione Gerenciar chave de criptografia.
   Observação
   
   

   Se você já estiver usando chaves TDE (Transparent Data Encryption) gerenciadas pelo cliente armazenadas no Azure Key Vault e quiser rotacionar as chaves, siga estas etapas e selecione outra chave (selecione uma chave diferente da chave TDE principal selecionada no momento).

3. Na página Gerenciar chave de criptografia, selecione Criptografar usando uma chave gerenciada pelo cliente.
4. Na lista drop-down Tipo de chave, selecione Microsoft Azure.

   
   
   Descrição da ilustração sec_azure.png
   

5. No campo URI do Vault, informe o URI do Azure Vault.
   1. No portal do Azure, navegue até o Azure Key Vault.
   2. Selecione a página Visão Geral do Serviço Key Vault do Azure e copie o URI do Vault exibido.

      
      
      Descrição da ilustração sec_az_vault_uri.png
      

   3. Informe o URI copiado do Azure Vault no campo URI do Vault na página de chave de criptografia Gerenciar do Autonomous Database.
6. No campo Nome do código, informe o nome do Nome do Azure.
   1. No portal do Azure, navegue até o Azure Key Vault e selecione Chaves. Uma lista de chaves para este vault é exibida.
   2. Na lista de chaves exibidas, copie o Nome da Chave que você deseja usar.

      
      
      Descrição da ilustração sec_az_key_name.png
      

   3. Informe o nome da chave copiada do Azure no campo Nome da chave na página Gerenciar chave de criptografia do Autonomous Database.
7. Clique em Salvar.