Documentação do Oracle Cloud Infrastructure

Pré-requisitos para usar chaves de criptografia gerenciadas pelo cliente no Autonomous Database no OCI Vault

Execute estas etapas de pré-requisito para usar chaves gerenciadas pelo cliente no Autonomous Database no OCI Vault:

  1. Crie um Oracle Cloud Infrastructure Vault.
    1. Abra a Console do Oracle Cloud Infrastructure clicando em ícone de navegaçãoao lado do Oracle Cloud.
    2. No menu de navegação esquerdo do Oracle Cloud Infrastructure, clique em Identidade e Segurança.
    3. Em Gerenciamento de Chaves e Gerenciamento de Segredos, clique em Vault.
    4. Selecione um Vault existente ou crie um novo.

      Para obter mais detalhes, consulte Criando um Vault.

  2. Criar uma Chave Principal de Criptografia no Vault.
    Observação

    Use estas opções ao criar a chave:

    • Forma da Chave: Algoritmo: AES (Chave simétrica usada para criptografar e descriptografar)

    • Forma da Chave: Tamanho: 256 bits

    Para obter mais informações, consulte Criando uma Chave de Criptografia Principal e Visão Geral do Gerenciamento de Chaves.

  3. Crie instruções de grupo dinâmico e política para o grupo dinâmico para permitir o acesso aos recursos (Vaults e Chaves) do Oracle Cloud Infrastructure.
    Esta etapa depende se o vault está na mesma tenancy da instância do Autonomous Database ou em outra tenancy:

Replique o vault e as chaves para usar chaves de criptografia gerenciadas pelo cliente com o Autonomous Data Guard com um banco de dados Stand-by remoto. Só há suporte para Chaves de Criptografia Gerenciadas pelo Cliente com um único stand-by do Autonomous Data Guard entre regiões. Não há suporte para vários standbys entre regiões porque o Oracle Cloud Infrastructure Vault só suporta replicação para uma região remota.

Para obter mais informações, consulte:

Tópico principal: Gerenciar Chaves de Criptografia Principais no OCI Vault

Criar Grupo Dinâmico e Políticas para Chaves Gerenciadas pelo Cliente com o Vault na Mesma Tenancy do Banco de Dados

Crie grupo dinâmico e políticas para fornecer acesso ao vault e às chaves gerenciadas pelo cliente quando o vault e as chaves estiverem na mesma tenancy da instância do Autonomous Database.

  1. Crie um grupo dinâmico para tornar a chave de criptografia principal acessível à instância do Autonomous Database.
    1. Na console do Oracle Cloud Infrastructure, clique em Identidade e Segurança.
    2. Em Identidade, clique em Domínios e selecione um domínio de identidades (ou crie um novo domínio de identidades).
    3. Em domínio de identidades, clique em Grupos dinâmicos.
    4. Clique em Criar grupo dinâmico e digite um Nome, uma Descrição e uma regra.

      • Criar Grupo Dinâmico para um banco de dados existente:

        Você pode especificar que uma instância do Autonomous Database faça parte do grupo dinâmico. O grupo dinâmico no exemplo a seguir inclui apenas o Autonomous Database cujo OCID é especificado no parâmetro resource.id: 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Criar um Grupo Dinâmico para um banco de dados que ainda não foi provisionado:

        Quando você estiver criando o grupo dinâmico antes de provisionar ou clonar uma instância do Autonomous Database, o OCID do novo banco de dados ainda não estará disponível. Nesse caso, crie um grupo dinâmico que especifique os recursos em um determinado compartimento: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Clique em Criar.
  2. Grave instruções de política para o grupo dinâmico para permitir o acesso aos recursos (vaults e chaves) do Oracle Cloud Infrastructure.
    1. Na console do Oracle Cloud Infrastructure, clique em Identidade e Segurança e em Políticas.
    2. Para gravar políticas para um grupo dinâmico, clique em Criar Política e digite um Nome e uma Descrição.
    3. Use o Criador de Política para criar uma política para vault e chaves na tenancy local.

      Por exemplo, a seguir, os membros do grupo dinâmico DGKeyCustomer1 podem acessar os vaults e as chaves no compartimento training: 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Essa política de amostra se aplica a um único compartimento. Você pode especificar que uma política se aplique à sua tenancy, a um compartimento, a um recurso ou a um grupo de recursos.

      Para usar chaves gerenciadas pelo cliente com o Autonomous Data Guard com um stand-by remoto, a seguinte política também é necessária: 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. Clique em Criar para salvar a política.

Criar Grupo Dinâmico e Políticas para Chaves Gerenciadas pelo Cliente com o Vault em Tenancy Diferente do Banco de Dados

Execute estas etapas para usar chaves gerenciadas pelo cliente quando a instância e os vaults e as chaves do Autonomous Database estiverem em tenancies diferentes.

Nesse caso, você precisa fornecer valores de OCID quando alterar para chaves gerenciadas pelo cliente. Além disso, você precisa definir grupos dinâmicos e políticas que permitam que a instância do Autonomous Database use vaults e chaves em outra tenancy.

  1. Copie o OCID da chave de criptografia principal.
  2. Copie o OCID do vault.
  3. Copie o OCID da tenancy (a tenancy remota que contém vaults e chaves).
  4. Na tenancy com a instância do Autonomous Database, crie um grupo dinâmico.
    1. Na console do Oracle Cloud Infrastructure, na tenancy com a instância do Autonomous Database, clique em Identidade e Segurança.
    2. Em Identidade, clique em Domínios e selecione um domínio de identidades (ou crie um novo domínio de identidades).
    3. Em domínio de identidades, clique em Grupos dinâmicos.
    4. Clique em Criar grupo dinâmico e digite um Nome, uma Descrição e uma regra.

      • Criar Grupo Dinâmico para um banco de dados existente:

        Você pode especificar que uma instância do Autonomous Database faça parte do grupo dinâmico. O grupo dinâmico no exemplo a seguir inclui apenas o Autonomous Database cujo OCID é especificado no parâmetro resource.id: 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Criar um Grupo Dinâmico para um banco de dados que ainda não foi provisionado:

        Quando você estiver criando o grupo dinâmico antes de provisionar ou clonar uma instância do Autonomous Database, o OCID do novo banco de dados ainda não estará disponível. Nesse caso, crie um grupo dinâmico que especifique os recursos em um determinado compartimento: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Clique em Criar.
  5. Na tenancy com a instância do Autonomous Database, defina as políticas para permitir o acesso a vaults e chaves (em que os vaults e as chaves estão em outra tenancy).
    1. Na console do Oracle Cloud Infrastructure, clique em Identidade e Segurança.
    2. Em Identidade clique em Políticas.
    3. Para gravar uma política, clique em Criar Política.
    4. Na página Criar Política, informe um Nome e uma Descrição.
    5. Na página Criar Política, selecione Mostrar editor manual.
    6. No construtor de políticas, adicione políticas para que a instância do Autonomous Database possa acessar vaults e chaves localizados em outra tenancy. Adicione também políticas para o grupo do IAM ao qual o usuário do IAM pertence para que a Console do Oracle Cloud Infrastructure da instância do Autonomous Database possa mostrar detalhes sobre a chave que reside em outra tenancy.

      Por exemplo, na política genérica, chame a tenancy com a instância do Autonomous Database Tenancy-1 e a tenancy com vaults e chaves, Tenancy-2:

      Copie a política a seguir e substitua as variáveis e os nomes pelos valores definidos, em que o nome do grupo dinâmico ADB-DynamicGroup é o grupo dinâmico criado na Etapa 4: 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      Por exemplo, a seguir, os membros do grupo dinâmico DGKeyCustomer1 podem acessar os vaults e as chaves remotos na tenancy training2: 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. Clique em Criar para salvar a política.
  6. Copie o OCID da tenancy (a tenancy que contém a instância do Autonomous Database).
  7. Copie o OCID do Grupo Dinâmico (para o Grupo Dinâmico criado na Etapa 4).
  8. Na tenancy remota com vaults e chaves, defina um grupo dinâmico e políticas para permitir que a instância do Autonomous Database acesse vaults e chaves.
    1. Na console do Oracle Cloud Infrastructure, clique em Identidade e Segurança.
    2. Em Identidade clique em Políticas.
    3. Para criar uma política, clique em Criar Política.
    4. Na página Criar Política, informe um Nome e uma Descrição.
    5. Na página Criar Política, selecione Mostrar editor manual.
    6. No construtor de políticas, adicione políticas e um grupo dinâmico para fornecer acesso ao grupo dinâmico na tenancy com a instância do Autonomous Database ( Tenancy-1), de modo que a instância do Autonomous Database possa usar os vaults e as chaves na Tenancy-2. Além disso, é necessário adicionar políticas para permitir que o grupo de usuários acesse o vault e as chaves para exibir informações na Console do Oracle Cloud Infrastructure para a instância do Autonomous Database em outra tenancy.

      Use o Criador de Políticas para criar um grupo dinâmico e uma política para vaults e chaves. 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      Por exemplo, defina o seguinte na tenancy remota para permitir que os membros do grupo dinâmico DGKeyCustomer1 e do grupo REMGROUP acessem os vaults e chaves remotos na tenancy chamada training2: 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. Clique em Criar para salvar a política.