Gerenciar Chaves de Criptografia Principais no Oracle Key Vault
O Autonomous AI Database suporta chaves de TDE (Transparent Data Encryption) gerenciadas pelo cliente que residem no Oracle Key Vault (OKV).
Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no Oracle Key Vault
Descreve as etapas de pré-requisito para usar chaves de criptografia mestras gerenciadas pelo cliente que residem no Oracle Key Vault (OKV) no Autonomous AI Database.
Requisitos:
-
A instância do Autonomous AI Database deve usar pontos finais privados.
-
O Autonomous AI Database suporta instâncias do OKV que estão em redes privadas e podem ser acessadas na mesma rede em que o Autonomous AI Database reside.
Consulte Gerenciamento de VCN e Sub-rede e Implantando o Oracle Key Vault em uma Instância de Computação de VM do Oracle Cloud Infrastructure para obter mais informações.
Limitação:
- O OKV não é suportado em stand-bys entre regiões do Autonomous Data Guard.
Siga estas etapas:
-
Crie um ponto final do OKV, uma wallet e uma chave principal de TDE.
-
Acesse a instância do OKV.
-
Copie o Endereço IP público ou o Endereço IP privado na página de detalhes da instância do OKV e cole-o em um browser.
-
Na página de log-in da instância do OKV, informe o nome de usuário e a senha.
-
-
Crie e registre um ponto final do OKV.
-
Clique em Pontos Finais na home page do OKV.
-
Clique em Adicionar na página de detalhes Pontos Finais e informe um nome para o ponto final.
-
Permita que todas as outras definições sejam padronizadas e clique em Registrar.
Por exemplo:

Descrição da ilustração sec_okv_epregister.png
Consulte Adicionando, Excluindo ou Reinscrevendo Pontos Finais para obter mais informações.
-
-
Criar uma wallet
A wallet do OKV contém a chave de criptografia mestra de TDE.
-
Na home page do OKV, navegue até a página Chaves e Wallets.
-
Para Carteiras na página Chaves e Carteiras, clique em Criar.
-
Informe o nome da wallet no campo Nome e clique em Salvar.
Por exemplo:

Descrição da ilustração sec_okv_wallet.png
Consulte Criando uma Wallet Virtual para obter mais informações.
-
-
Crie uma Chave de Criptografia Principal de TDE na wallet.
-
Selecione Chaves e Segredos e clique em Criar.
-
Para Chaves de Aplicativo, selecione Chave de Criptografia Principal de TDE.
-
Para Extrátil, selecione Verdadeiro.
-
Certifique-se de que a Data de Desativação esteja vazia.
Por exemplo:

Descrição da ilustração sec_okv_key.png
- Para Associação à Wallet, clique em Selecionar Wallet.
-
Na lista exibida de wallets, selecione a wallet criada na etapa anterior e clique em Fechar.
-
Clique em Criar. A Chave de Criptografia Principal de TDE é criada e exibida em Conteúdo do Wallet.
-
-
Modifique o ponto final para tornar a wallet criada anteriormente a wallet padrão.
-
Navegue até a página de detalhes do ponto final.
-
No painel Wallet Padrão, selecione Escolher Wallet.
-
Na página Escolher Wallet, selecione a wallet criada anteriormente e clique em Selecionar.
-
Clique em Salvar.
-
-
Ativar serviços Restful.
Observação
Observação: Os serviços restful devem ser ativados na instância do OKV para que o comando curl seja executado com sucesso, em uma etapa subsequente, para fazer download da wallet.-
Na home page do OKV, selecione a guia Sistema.
-
No painel de navegação esquerdo, clique em Setting .
-
Em System Configuration, selecione Restful services.
-
Clique em Todos e em Salvar.
-
-
-
Provisione uma instância do Autonomous AI Database com as seguintes definições necessárias:
-
Para Escolher acesso à rede, selecione Somente acesso ao ponto final privado.
-
Para Rede virtual na nuvem, selecione a VCN em que essa instância do banco de dados está sendo executada.
-
Para Sub-rede, selecione a sub-rede privada na qual essa instância do banco de dados está sendo executada.
-
Para Grupos de segurança de rede (NSGs), selecione o grupo de segurança.
-
Para definições de Chave de criptografia, defina como padrão Criptografia usando uma chave gerenciada pela Oracle. Essas definições são alteradas para chaves gerenciadas pelo cliente no OKV, após a conclusão dessas etapas de pré-requisito. As chaves gerenciadas pelo cliente são desativadas durante o provisionamento da instância. Consulte Usar Chaves de Criptografia Gerenciadas pelo Cliente no Autonomous AI Database com o Oracle Key Vault para obter detalhes.
-
-
Estabeleça conexão com a instância do Autonomous AI Database e crie um diretório para a wallet do OKV.
-
Estabeleça conexão com a instância do Autonomous AI Database do Ponto Final Privado como o usuário ADMIN.
Por exemplo, estabeleça conexão com a instância do banco de dados OKVDEMO1:
<pre class="copy"><code>SQL> connect ADMIN/*<password>*@OKVDEMO1_low</code></pre> -
Crie um objeto de diretório na instância do Autonomous AI Database.
Por exemplo:
<pre class="copy"><code>SQL> create directory okv_dir as 'okvdir';</code></pre> -
Verifique se o diretório foi criado.
Por exemplo, as instruções a seguir criam o objeto de diretório
OKV_DIRe os resultados da instrução exibem o nome do diretório (OKV_DIR) e o caminho do diretório (/u03/dbfs/<path data>/data/okvdir).<pre class="copy"><code>SQL> connect ADMIN/<*admin password*>#@OKVDEMO1_low Connected SQL> SQL> create directory okv_dir as 'okvdir'; Directory created. SQL> select * from dba_directories where directory_name = 'OKV_DIR'; OWNER --------------------------------------------------------------------- DIRECTORY_NAME --------------------------------------------------------------------- DIRECTORY_PATH --------------------------------------------------------------------- ORIGIN_CON_ID ------------- SYS OKV_DIR /u03/dbfs/<*path data*>/data/okvdir SQL></code></pre>
-
-
Faça download da wallet do Ponto Final para o objeto de diretório criado na instância do Autonomous AI Database. Esta wallet não é a wallet de TDE virtual no OKV que contém a chave de criptografia mestra de TDE. Esta wallet contém os certificados necessários para estabelecer uma conexão mTLS 1.2 entre o OKV e o Autonomous AI Database.
-
Faça download da wallet do ponto final da instância do OKV.
Execute o seguinte comando em uma instância de computação que esteja na mesma rede que o OKV:
<pre class="copy"><code>curl -k -X POST --location https**:**//*OKV server*:5695/okv/cloud/utility/endpoint/download/sso --data "token=*Enrollment Token*" --output cwallet.sso</code></pre>Onde:
-
OKV serveré o FQDN (Fullly Qualified Domain Name) ou endereço IP privado. Se você estiver usando uma VM do OCI para hospedar o OKV, esse valor poderá ser obtido na página de detalhes da instância do OCI OKV na guia Rede na VNIC Principal. -
Enrollment Tokené o token de inscrição do ponto final encontrado na página Pontos Finais.
Por exemplo:
<pre class="copy"><code>$ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso --data "token=H5r8NzqxopYOgkZC" --output cwallet.sso % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 3697 100 3675 100 22 2157 12 0:00:01 0:00:01 --:--:-- 2172 ls -altr ./cwallet.sso -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso</code></pre>Após o download da wallet, o ponto final na instância do OKV muda de REGISTERED para ENROLLED.
-
-
Faça upload da wallet para o Object Storage.
Faça upload do arquivo da wallet da sua máquina local para o bucket do Object Storage usando Fazer Upload do Objeto. Consulte Fazendo Upload de um Objeto para um Bucket para obter mais informações.
-
No Object Storage, gere um URL de PAR (Solicitação Pré-Autenticada) para o arquivo da wallet submetido a upload. Consulte Criando uma Solicitação Pré-Autenticada no Serviço Object Storage para obter mais informações.
-
Na VM, estabeleça conexão com a instância do banco de dados como usuário ADMIN.
-
Na instância do banco de dados, execute o procedimento
DBMS_CLOUD.GET_OBJECTpara fazer download da wallet do serviço Object Storage para o diretório da wallet da instância do banco de dados.Por exemplo:
<pre class="copy"><code>BEGIN DBMS_CLOUD.GET_OBJECT( object_uri => '*<PAR URL>*', directory_name => '*<wallet_dir>*'); END; /</code></pre>-
Onde:
-
object_urié o URL da PAR gerado para o arquivo da wallet no serviço Object Storage. -
directory_nameé o nome do diretório da wallet criado na instância do banco de dados.
Consulte Procedimento e Função GET_OBJECT para obter mais informações.
-
-
-
Exclua a wallet do serviço Object Storage.
-
-
Copie o valor Identificador Exclusivo da coluna Detalhes do Conteúdo da Wallet.
-
Extraia o DN do certificado.
Execute o seguinte comando para recuperar o DN do certificado:
<pre class="copy"><code>$ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'</code></pre> Output <pre class="copy"><code>CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us</code></pre>Aqui, CN é o DN do certificado.
Como alternativa, você pode recuperar os detalhes do DN do certificado na console do OKV.
-
Acesse a instância do OKV e clique na guia Sistema.
-
No painel de navegação esquerdo, clique em Settings em System (Sistema).
-
Em Certificados, clique em Certificados de serviço.
-
Na seção Certificado da CA Atual, localize Nome Comum (DN do certificado) e use esse valor como o DN do certificado em vez de executar o comando
opensslacima.
-
-
Usar Chaves de Criptografia Gerenciadas pelo Cliente no Autonomous AI Database com o Oracle Key Vault
Mostra as etapas para criptografar seu Autonomous AI Database usando chaves de criptografia mestras gerenciadas pelo cliente que residem no Oracle Key Vault (OKV).
Siga estas etapas:
-
Execute as etapas necessárias de pré-requisito da chave de criptografia gerenciada pelo cliente conforme necessário. Consulte Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no Oracle Key Vault para obter detalhes.
-
Na página Detalhes da instância do Autonomous AI Database, clique em Mais ações e selecione Gerenciar chave de criptografia.

Descrição da ilustração sec_okv_manage.png
Observação
Observação: Se você já estiver usando chaves gerenciadas pelo cliente no OKV e quiser rotacionar as chaves TDE, siga estas etapas e selecione outra chave (selecione uma chave diferente da chave de criptografia mestra selecionada no momento). No entanto, não é possível usar uma chave do OKV que tenha sido usada anteriormente na mesma instância do Autonomous AI Database. -
Na página Gerenciar chave de criptografia, selecione Criptografar usando uma chave gerenciada pelo cliente.
-
Na lista suspensa Tipo de chave, selecione Oracle Key Vault (OKV).
A caixa de diálogo Gerenciar chave de criptografia exibe as opções do Oracle Key Vault (OKV).

-
Digite as seguintes informações:
-
UUID do OKV: Informe o Identificador Exclusivo da chave mestra de TDE para a chave localizada na instância do OKV.
Para localizar este valor:
-
Acesse a instância do OKV e selecione Chaves e Wallets.
-
Clique no nome da wallet padrão do ponto final do Autonomous AI Database.
-
Role para Conteúdo da Wallet e copie o Identificador Exclusivo da coluna Detalhes.
Por exemplo:
<pre class="copy"><code>BC63511B-4B4A-411C-A71C-4AA90005F632 OKV Server URI: ok Certificate DN:</code></pre> Click the endpoint name, then click the green **Download (PEM format)**; this downloads the "CA.pem" to your computer. Extract the certificate DN with a command such as: <pre class="copy"><code>$ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'</code></pre>Por exemplo:
<pre class="copy"><code>CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us</code></pre> -
Clique no nome da wallet padrão do seu ponto final do Autonomous AI Database.
-
Role para Acesso ao Conteúdo da Wallet e copie o Identificador Exclusivo.

-
Cole o Identificador Exclusivo no campo UUID do OKV.
- URI do Servidor OKV - Informe o Nome de Domínio Totalmente Qualificado Interno ou o IP Privado encontrado na página de detalhes da instância do OKV.
Por exemplo, se estiver usando uma VM do OCI para hospedar o OKV, esse valor poderá ser encontrado na página de detalhes da instância do OKV em VNIC Principal:

Descrição da ilustração sec_okv_fqdn.png
-
DN do Certificado - Informe o DN (Nome Distinto) do seu certificado.
-
ID do Certificado (Opcional) - Informe o ID do certificado ou deixe em branco.
Observação
Observação: Este campo será opcional se o OKV for usado nas versões 21.9 e posteriores. Se estiver usando versões do OKV abaixo da versão 21.9, o ID do certificado será obrigatório. -
Nome do diretório - Informe o nome do diretório em que a wallet é salva na instância do Autonomous AI Database.
-
-
-
Clique em Salvar.
Quando o salvamento é concluído com sucesso, as definições de criptografia da instância do Autonomous AI Database são atualizadas para mostrar a chave gerenciada pelo cliente (Oracle Key Vault (OKV)) e o estado da solicitação de serviço é mostrado com sucesso.

Consulte Observações sobre como Usar Chaves Gerenciadas pelo Cliente com o Autonomous AI Database para obter mais informações.