Descreve as etapas de pré-requisito para usar chaves de criptografia principais gerenciadas pelo cliente no Autonomous Database que residem no Azure Key Vault.

1. Crie uma instância do Autonomous Database que use a definição de chave de Criptografia padrão de Criptografar usando uma chave gerenciada pela Oracle. Consulte Provisionar uma Instância do Autonomous Database para obter mais informações.
   Observação
   
   As definições de chave de criptografia para chaves gerenciadas pelo cliente no Azure Key Vault não estão disponíveis durante o processo de criação. As opções estão disponíveis após o provisionamento ao editar a instância.
2. Crie um Vault de Chaves do Azure com uma chave principal de Criptografia de Dados Transparente (TDE).

   Consulte Sobre o Vault de Chaves do Azure para obter mais informações.

3. Ative a autenticação do controlador de serviços do Azure com o Diretório do Azure tenant_id para permitir que sua instância do Autonomous Database acesse o Azure Key Vault.
   1. Obtenha seu ID de tenant do Microsoft Azure Active Directory.

      
      
      Descrição da ilustração sec_az_tenant_id.png
      

      Consulte Como encontrar o ID de tenant do Azure Active Directory para obter mais informações.

   2. Conecte-se à sua instância como ADMIN.
   3. Ative o controlador de serviços do Azure com DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. O valor de azure_tenantid é o ID do Diretório do Azure obtido na etapa anterior.
      Por exemplo:

      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Isso ativa a autenticação do controlador de serviços do Azure e cria um aplicativo do Azure para o Autonomous Database no portal do Azure. Consulte Ativar o Controlador de Serviços do Azure para obter mais informações.

4. Forneça o consentimento do aplicativo do Azure para acessar recursos do Azure no Autonomous Database.
   1. No Autonomous Database, consulte CLOUD_INTEGRATIONS.

      Por exemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      A view CLOUD_INTEGRATIONS está disponível para o usuário ADMIN ou para um usuário com a atribuição DWROLE.

   2. Em um browser, abra o URL de consentimento do Azure especificado pelo parâmetro azure_consent_url.

      Por exemplo, copie o azure_consent_url dos resultados da consulta e digite o URL no browser:

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      A página Permissões solicitadas é aberta e mostra uma solicitação de consentimento, semelhante à seguinte:

      
      Descrição da ilustração azure_consent.png
5. Obtenha o nome do aplicativo do Azure.
   1. No Autonomous Database, consulte CLOUD_INTEGRATIONS.

      Por exemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;

   2. Copie o valor client_id incluído no consent_url.

      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

   3. Pesquise no client_id no portal do Azure. O ID do aplicativo é exibido em Microsoft Entra ID.

      
      
      Descrição da ilustração sec_az_app_name.png
      

   4. Copie o ID do aplicativo. Esse valor é usado nas etapas subsequentes para permitir que esse aplicativo acesse chaves no Vault de Chaves do Azure.
6. Designe as atribuições necessárias para que o aplicativo Azure acesse o Vault de Chaves do Azure.
   1. No portal do Azure, navegue até as políticas de Acesso do Vault de Chaves do Azure.

      A lista de aplicativos com acesso a este vault é exibida.

   2. Na página Políticas de acesso, clique em + Criar para criar uma política de acesso para o aplicativo acessar esse vault de chaves.

      
      
      Descrição da ilustração sec_az_acc_pol.png
      

   3. Para Permissões na página Criar uma política de acesso, selecione todas as permissões de Chave, incluindo: Operações de Gerenciamento de Chaves, Operações de Criptografia, Operações de Chave Privilegiada e Operações de Política de Rotação e clique em Próximo.
   4. Para Principal, pesquise o nome do aplicativo.
   5. Selecione o nome do aplicativo exibido e clique em Próximo.
   6. Para Aplicativo (opcional), selecione Próximo.
   7. Para Verificar + criar, verifique os detalhes da política e clique em Criar.

      
      
      Descrição da ilustração sec_az_create_pol.png
      

   8. Na página de detalhes do Vault de Chaves do Azure, clique em Atualizar e procure o nome do aplicativo. Ele está incluído na lista exibida de aplicativos com permissão para acessar chaves neste Vault de Chaves do Azure.

   Consulte Designar uma Política de acesso do Key Vault para obter mais informações.

Mostra as etapas para criptografar seu Autonomous Database usando chaves de criptografia principais gerenciadas pelo cliente que residem no Azure Key Vault.

1. Execute as etapas obrigatórias de pré-requisito da chave mestra gerenciadas pelo cliente. Consulte Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no Vault de Chaves do Azure.
2. Na página Detalhes, na lista suspensa Mais ações, selecione Gerenciar chave de criptografia.
   Observação
   
   

   Se você já estiver usando chaves TDE (Transparent Data Encryption) gerenciadas pelo cliente armazenadas no Azure Key Vault e quiser rotacionar as chaves, siga estas etapas e selecione outra chave (selecione uma diferente da chave TDE principal selecionada no momento).

3. Na página Gerenciar chave de criptografia, selecione criptografar usando uma chave gerenciada pelo cliente.
4. No menu suspenso Tipo de chave, selecione Microsoft Azure.

   
   
   Descrição da ilustração sec_azure.png
   

5. No campo URI do Vault, digite o URI do Vault do Azure.
   1. No portal do Azure, navegue até o Vault de Chaves do Azure.
   2. Selecione a página Visão Geral do Vault de Chaves do Azure e copie o URI do Vault exibido.

      
      
      Descrição da ilustração sec_az_vault_uri.png
      

   3. Informe o URI do Azure Vault copiado no campo URI do Vault na página Gerenciar chave de criptografia do Autonomous Database.
6. No campo Nome da chave, informe o nome do Nome da Chave do Azure.
   1. No portal do Azure, navegue até o Vault de Chaves do Azure e selecione Chaves. Uma lista de chaves deste vault é exibida.
   2. Na lista de chaves exibidas, copie o Nome da Chave que você deseja usar.

      
      
      Descrição da ilustração sec_az_key_name.png
      

   3. Digite o nome da chave do Azure copiado no campo Nome da chave na página Gerenciar chave de criptografia do Autonomous Database.
7. Clique em Salvar.