Usar Chave de Criptografia Gerenciada pelo Cliente Localizada em uma Tenancy Remota

Mostra as etapas para selecionar chaves de criptografia mestras gerenciadas pelo cliente em um Vault em uma tenancy remota.

Quando você usa chaves de criptografia mestras gerenciadas pelo cliente com um Vault em uma tenancy remota, o Vault e a instância do Autonomous AI Database devem estar na mesma região. Para alterar a tenancy, na página de acesso, clique em Alterar tenancy. Depois de alterar a tenancy, certifique-se de selecionar a mesma região para a instância do Vault e do Autonomous AI Database.

  1. Execute as etapas necessárias de pré-requisito da chave de criptografia gerenciada pelo cliente conforme necessário. Consulte Pré-requisitos para Usar Chaves de Criptografia Gerenciadas pelo Cliente no Autonomous AI Database no OCI Vault para obter mais informações.

  2. Na página Detalhes, na lista drop-down Mais ações, selecione Gerenciar chave de criptografia.

  3. Na página Gerenciar chave de criptografia, selecione a opção Criptografar usando uma chave gerenciada pelo cliente.

    Se você já estiver usando chaves gerenciadas pelo cliente e quiser rotacionar as chaves de TDE, siga estas etapas e use outro OCID de chave com o mesmo OCID de vault ou use um novo OCID de vault e um novo OCID de chave. Isso permite que você use uma chave diferente da chave de criptografia mestra atual.

  4. Para Tipo de chave, selecione Oracle.

  5. Para Localização da chave, clique em Diferente tenancy.

  6. Informe um OCID remoto do vault da tenancy.

  7. Informe um OCID de chave de criptografia do mestre da tenancy remoto.

    Veja a seguir a descrição da ilustração adb_switch_master_key_remote.png

    Descrição da ilustração adb_switch_master_key_remote.png

  8. Clique em Salvar.

O Estado do ciclo de vida muda para Atualizando. Quando a solicitação é concluída, o Estado do ciclo de vida mostra Disponível.

Após a conclusão da solicitação, na Console do Oracle Cloud Infrastructure, as informações principais são mostradas na página Informações do Autonomous AI Database sob o título Criptografia. Esta área mostra o campo Chave de Criptografia com um link para a Chave de Criptografia Principal e o campo OCID da Chave de Criptografia com o OCID da Chave de Criptografia Principal.

Usar BYOK (Bring Your Own Keys) no Serviço Vault

Ao criar uma chave gerenciada pelo cliente usando o serviço OCI Vault, você também pode importar seu próprio material de chave (Bring Your Own Key ou BYOK) em vez de fazer com que o serviço Vault gere o material de chave internamente.

Antes de poder trazer suas próprias chaves para o serviço Vault, você deve executar várias tarefas de configuração preparatória para criar um vault e importar a chave de criptografia mestra e depois disponibilizar esse vault e suas chaves para o Autonomous AI Database; especificamente:

  1. Crie um vault no serviço Vault seguindo as instruções em Para criar um novos vault.

    Após a criação do vault, você pode criar pelo menos uma chave mestra de criptografia no vault seguindo as instruções em Para criar uma nova chave mestra de criptografia. Você também pode importar uma chave de criptografia de cliente para um vault existente. Ao seguir estas instruções, faça estas escolhas:

    • Criar no Compartimento: A Oracle recomenda que você crie a chave mestra de criptografia no mesmo compartimento de seu vault; ou seja, o compartimento criado especificamente para conter os vaults que contém chaves gerenciadas pelo cliente.

    • Modo de Proteção: Escolha um valor apropriado na lista drop-down:

      • HSM para criar uma chave mestra de criptografia que é armazenada e processada em um HSM (hardware security module).

      • Software para criar uma chave mestra de criptografia que é armazenada em um sistema do arquivo de software no serviço Vault. Chaves protegidas por software são protegidas em repouso usando uma chave raiz baseada em HSM. Você pode exportar chaves de software para outros dispositivos de gerenciamento de chaves ou para outra região da nuvem do OCI. Ao contrário das chaves HSM, as chaves protegidas por software são gratuitas.

    • Algoritmo de Forma da Chave: AES

    • Tamanho da Forma da Chave: 256 bits

    • Importar Chave Externa: Para usar uma chave de criptografia do cliente (BYOK), selecione Importar Chave Externa e forneça os seguintes detalhes:

      • Informações da Chave de Encapsulamento. Esta seção é somente leitura, mas você pode exibir os detalhes da chave de encapsulamento pública.

      • Algoritmo de Encapsulamento. Selecione um algoritmo de quebra automática na lista drop-down.

      • Origem de Dados da Chave Externa. Faça upload do arquivo que contém o material de chave RSA encapsulado.

    Observação

    Observação: Você pode importar o material da chave como uma nova versão de chave externa ou clicar no nome de uma chave de criptografia mestra existente e rotacioná-la para uma nova versão de chave.

  2. Use o serviço IAM para criar um grupo dinâmico e definir uma política que dê à sua instância do Autonomous AI Database acesso à chave de criptografia mestra que você criou.

Consulte Importando o Material da Chave como uma Versão de Chave Externa para obter mais detalhes.