Documentação do Oracle Cloud Infrastructure

Usar Chave de Criptografia Gerenciada pelo Cliente Localizada em uma Tenancy Remota

Mostra as etapas para selecionar chaves de criptografia mestras gerenciadas pelo cliente em um Vault em uma tenancy remota.

Quando você usa chaves de criptografia mestras gerenciadas pelo cliente com um Vault em uma tenancy remota, o Vault e a instância do Autonomous AI Database devem estar na mesma região. Para alterar a tenancy, na página de sign-on, clique em Alterar tenancy. Depois de alterar a tenancy, certifique-se de selecionar a mesma região para a instância do Vault e do Autonomous AI Database.

  1. Execute as etapas necessárias de pré-requisito da chave de criptografia gerenciada pelo cliente conforme necessário. Consulte Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no Autonomous AI Database no OCI Vault para obter mais informações.
  2. Na página Detalhes, na lista drop-down Mais ações, selecione Gerenciar chave de criptografia.
  3. Na página Gerenciar chave de criptografia, selecione a opção Criptografar usando uma chave gerenciada pelo cliente.

    Se você já estiver usando chaves gerenciadas pelo cliente e quiser rotacionar as chaves de TDE, siga estas etapas e use outro OCID de chave com o mesmo OCID de vault ou use um novo OCID de vault e um novo OCID de chave. Isso permite que você use uma chave diferente da chave de criptografia mestra atual.

  4. Para Tipo de chave, selecione Oracle.
  5. Para Localização da chave, clique em Diferente tenancy.
  6. Informe um OCID remoto do vault da tenancy.
  7. Informe um OCID de chave de criptografia do mestre da tenancy remoto.
  8. Clique em Salvar.

O Estado do ciclo de vida muda para Atualizando. Quando a solicitação é concluída, o Estado do ciclo de vida mostra Disponível.

Após a conclusão da solicitação, na Console do Oracle Cloud Infrastructure, as informações principais são mostradas na página Informações do Autonomous Database sob o cabeçalho Criptografia. Esta área mostra o campo Chave de Criptografia com um link para a Chave de Criptografia Principal e o campo OCID da Chave de Criptografia com o OCID da Chave de Criptografia Principal.

  • Usar BYOK (Bring Your Own Keys) no Serviço Vault
    Quando você cria uma chave gerenciada pelo cliente usando o serviço OCI Vault, também pode importar seu próprio material de chave (Bring Your Own Key ou BYOK) em vez de fazer com que o serviço Vault gere o material de chave internamente.

Tópico principal: Gerenciar Chaves Mestras de Criptografia no OCI Vault

Usar BYOK (Bring Your Own Keys) no Serviço Vault

Ao criar uma chave gerenciada pelo cliente usando o serviço OCI Vault, você também pode importar seu próprio material de chave (Bring Your Own Key ou BYOK) em vez de fazer com que o serviço Vault gere o material de chave internamente.

Para que você possa trazer suas próprias chaves para o serviço Vault, execute o número de tarefas de configuração preparatórias para criar um vault e importar a chave de criptografia mestra e depois disponibilizar esse vault e suas chaves ao Autonomous Database; especificamente:
  1. Crie um vault no serviço Vault seguindo as instruções em Para criar um novos vault.
    Depois de criar o vault, você pode criar pelo menos uma chave mestra de criptografia no vault seguindo as instruções em Para criar uma nova chave mestra de criptografia. Você também pode importar uma chave de criptografia de cliente para um vault existente. Ao seguir estas instruções, faça estas escolhas:
    • Criar no Compartimento: A Oracle recomenda que você crie a chave de criptografia principal no mesmo compartimento do seu vault; ou seja, o compartimento criado especificamente para conter os vaults que contêm chaves gerenciadas pelo cliente.
    • Modo de Proteção: Escolha um valor apropriado na lista suspensa:
      • HSM para criar uma chave de criptografia principal que é armazenada e processada em um módulo de segurança de hardware (HSM).
      • Software para criar uma chave de criptografia principal que é armazenada em um sistema de arquivos de software no serviço Vault. Chaves protegidas por software são protegidas em repouso usando uma chave raiz baseada em HSM. Você pode exportar chaves de software para outros dispositivos de gerenciamento de chaves ou para outra região da nuvem do OCI. Ao contrário das chaves HSM, as chaves protegidas por software são gratuitas.
    • Algoritmo de Forma da Chave: AES
    • Tamanho da Forma da Chave: 256 bits
    • Importar Chave Externa: Para usar uma chave de criptografia do cliente (BYOK), selecione Importar Chave Externa e forneça os seguintes detalhes:
      • Informações da Chave de Encapsulamento. Esta seção é somente leitura, mas você pode exibir os detalhes da chave de encapsulamento pública.
      • Algoritmo de Encapsulamento. Selecione um algoritmo de quebra automática na lista drop-down.
      • Origem de Dados da Chave Externa. Faça upload do arquivo que contém o material de chave RSA encapsulado.
    Observação

    Você pode importar o material da chave como uma nova versão da chave externa ou clicar no nome de uma chave de criptografia mestra existente e rotacioná-la para uma nova versão da chave.
  2. Use o serviço IAM para criar um grupo dinâmico e definir uma política que dê à sua instância do Autonomous AI Database acesso à chave de criptografia mestra que você criou.

Consulte Importando o Material da Chave como uma Versão de Chave Externa para obter mais detalhes.