Documentação do Oracle Cloud Infrastructure

Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no Autonomous Database no OCI Vault

Execute estas etapas de pré-requisito para usar chaves gerenciadas pelo cliente no Autonomous Database no OCI Vault:

  1. Crie um Oracle Cloud Infrastructure Vault.
    1. Abra a Console do Oracle Cloud Infrastructure clicando no ícone de navegaçãopróximo ao Oracle Cloud.
    2. No menu de navegação esquerdo do Oracle Cloud Infrastructure, clique em Identidade e Segurança.
    3. Em Key Management & Secret Management, clique em Vault.
    4. Selecione um Vault existente ou crie um novo Vault.

      Para obter mais detalhes, consulte Criando um Vault.

  2. Crie uma Chave Mestra de Criptografia no Vault.
    Observação

    Você deve usar estas opções ao criar a chave:

    • Forma da Chave: Algoritmo: AES (Chave simétrica usada para Criptografar e Decriptografar)

    • Forma da Chave: Tamanho: 256 bits

    Para obter mais informações, consulte Criando uma Chave de Criptografia Principal e Visão Geral do Serviço Key Management.

  3. Crie instruções de grupo dinâmico e política para o grupo dinâmico a fim de permitir o acesso aos recursos do Oracle Cloud Infrastructure (Vaults e Chaves).
    Esta etapa depende se o vault está na mesma tenancy que a instância do Autonomous Database ou em outra tenancy:

Você deve replicar o vault e as chaves para usar chaves de criptografia gerenciadas pelo cliente com o Autonomous Data Guard com um banco de dados Stand-by remoto. Só há suporte para Chaves de Criptografia Gerenciadas pelo Cliente com um único stand-by do Autonomous Data Guard entre regiões. Não há suporte para vários stand-bys entre regiões porque o Oracle Cloud Infrastructure Vault só suporta replicação para uma região remota.

Para obter mais informações, consulte:

Tópico principal: Gerenciar Chaves Mestras de Criptografia no OCI Vault

Criar Grupo Dinâmico e Políticas para Chaves Gerenciadas pelo Cliente com o Vault na Mesma Tenancy do Banco de Dados

Crie um grupo dinâmico e políticas para fornecer acesso ao vault e às chaves para chaves gerenciadas pelo cliente quando o vault e as chaves estiverem na mesma tenancy que a instância do Autonomous Database.

  1. Crie um grupo dinâmico para tornar a chave de criptografia mestra acessível à instância do Autonomous Database.
    1. Na console do Oracle Cloud Infrastructure, clique em Identidade, Segurança.
    2. Em Identidade, clique em Domínios e selecione um domínio de identidades (ou crie um novo domínio de identidades).
    3. Em Domínio de identidades, clique em Grupos dinâmicos.
    4. Clique em Criar grupo dinâmico e informe um Nome, uma Descrição e uma regra.

      • Criar Grupo Dinâmico para um banco de dados existente:

        Você pode especificar que uma instância do Autonomous Database faça parte do grupo dinâmico. O grupo dinâmico no exemplo a seguir inclui apenas o Autonomous Database cujo OCID está especificado no parâmetro resource.id: 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Crie um Grupo Dinâmico para um banco de dados que ainda não foi provisionado:

        Quando você está criando o grupo dinâmico antes de provisionar ou clonar uma instância do Autonomous Database, o OCID do novo banco de dados ainda não está disponível. Para esse caso, crie um grupo dinâmico que especifique os recursos em um determinado compartimento: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Clique em Criar.
  2. Crie instruções de política para o grupo dinâmico a fim de permitir o acesso aos recursos (vaults e chaves) do Oracle Cloud Infrastructure.
    1. Na console do Oracle Cloud Infrastructure, clique em Identidade & Segurança e clique em Políticas.
    2. Para gravar políticas para um grupo dinâmico, clique em Criar Política e informe um Nome e uma Descrição.
    3. Use o Construtor de Políticas para criar uma política de vault e chaves na tenancy local.

      Por exemplo, o seguinte permite que os membros do grupo dinâmico DGKeyCustomer1 acessem os vaults e as chaves no compartimento chamado training: 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Esta política de amostra se aplica a um único compartimento. Você pode especificar que uma política se aplique à sua tenancy, a um compartimento, a um recurso ou a um grupo de recursos.

      Para usar chaves gerenciadas pelo cliente com o Autonomous Data Guard com um stand-by remoto, a seguinte política também é necessária: 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. Clique em Criar para salvar a política.

Criar Grupo Dinâmico e Políticas para Chaves Gerenciadas pelo Cliente com o Serviço Vault em Tenancy Diferente do Banco de Dados

Execute estas etapas para usar chaves gerenciadas pelo cliente quando a instância e os vaults e chaves do Autonomous Database estiverem em diferentes tenancies.

Nesse caso, você precisa fornecer valores de OCID ao alterar para chaves gerenciadas pelo cliente. Além disso, você precisa definir grupos dinâmicos e políticas que permitam que a instância do Autonomous Database use vaults e chaves em outra tenancy.

  1. Copie o OCID principal da chave de criptografia.
  2. Copie o OCID do vault.
  3. Copie o OCID da tenancy (a tenancy remota que contém vaults e chaves).
  4. Na tenancy com a instância do Autonomous Database, crie um grupo dinâmico.
    1. Na console do Oracle Cloud Infrastructure, na tenancy com a instância do Autonomous Database, clique em Identidade e Segurança.
    2. Em Identidade, clique em Domínios e selecione um domínio de identidades (ou crie um novo domínio de identidades).
    3. Em Domínio de identidades, clique em Grupos dinâmicos.
    4. Clique em Criar grupo dinâmico e informe um Nome, uma Descrição e uma regra.

      • Criar Grupo Dinâmico para um banco de dados existente:

        Você pode especificar que uma instância do Autonomous Database faça parte do grupo dinâmico. O grupo dinâmico no exemplo a seguir inclui apenas o Autonomous Database cujo OCID está especificado no parâmetro resource.id: 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Crie um Grupo Dinâmico para um banco de dados que ainda não foi provisionado:

        Quando você está criando o grupo dinâmico antes de provisionar ou clonar uma instância do Autonomous Database, o OCID do novo banco de dados ainda não está disponível. Para esse caso, crie um grupo dinâmico que especifique os recursos em um determinado compartimento: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Clique em Criar.
  5. Na tenancy com a instância do Autonomous Database, defina as políticas para permitir o acesso a vaults e chaves (em que os vaults e as chaves estão em outra tenancy).
    1. Na console do Oracle Cloud Infrastructure, clique em Identidade, Segurança.
    2. Em Identidade clique em Políticas.
    3. Para gravar uma política, clique em Criar Política.
    4. Na página Criar Política, informe um Nome e uma Descrição.
    5. Na página Criar Política, selecione Mostrar editor manual.
    6. No construtor de políticas, adicione políticas para que a instância do Autonomous Database possa acessar vaults e chaves localizados na outra tenancy. Adicione também políticas para o grupo do IAM ao qual o usuário do IAM pertence para que a Console do Oracle Cloud Infrastructure da instância do Autonomous Database possa mostrar detalhes sobre a chave que reside em outra tenancy.

      Por exemplo, na política genérica, chame a tenancy com a instância do Autonomous Database Tenancy-1 e a tenancy com vaults e chaves, Tenancy-2:

      Copie a seguinte política e substitua as variáveis e os nomes pelos valores definidos, em que o nome do grupo dinâmico ADB-DynamicGroup é o grupo dinâmico criado na Etapa 4: 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      Por exemplo, o seguinte permite que os membros do grupo dinâmico DGKeyCustomer1 acessem os vaults e chaves remotos na tenancy chamada training2: 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. Clique em Criar para salvar a política.
  6. Copie o OCID da tenancy (a tenancy que contém a instância do Autonomous Database).
  7. Copie o OCID do Grupo Dinâmico (para o Grupo Dinâmico criado na Etapa 4).
  8. Na tenancy remota com vaults e chaves, defina um grupo dinâmico e políticas para permitir que a instância do Autonomous Database acesse vaults e chaves.
    1. Na console do Oracle Cloud Infrastructure, clique em Identity & Security.
    2. Em Identidade clique em Políticas.
    3. Para criar uma política, clique em Criar Política.
    4. Na página Criar Política, informe um Nome e uma Descrição.
    5. Na página Criar Política, selecione Mostrar editor manual.
    6. No construtor de políticas, adicione políticas e um grupo dinâmico para fornecer acesso ao grupo dinâmico na tenancy com a instância do Autonomous Database (Tenancy-1), de modo que a instância do Autonomous Database possa usar os vaults e as chaves na Tenancy-2. Também é necessário adicionar políticas para permitir que o grupo de usuários acesse o vault e as chaves para exibir informações na Console do Oracle Cloud Infrastructure para a instância do Autonomous Database em outra tenancy.

      Use o Construtor de Políticas para criar um grupo dinâmico e uma política para vaults e chaves. 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      Por exemplo, defina o seguinte na tenancy remota para permitir que os membros do grupo dinâmico DGKeyCustomer1 e o grupo REMGROUP acessem os vaults e as chaves remotos na tenancy chamada training2: 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. Clique em Criar para salvar a política.