Esse processo de configuração é crucial para usar armazenamentos de chaves externos para gerenciar e proteger chaves de criptografia para seus bancos de dados nos sistemas Exadata. Garanta a instalação adequada, a configuração de senha e a configuração de comunicação para uma operação perfeita.

Trabalhe com seu fornecedor de armazenamento de chaves externo para etapas de configuração detalhadas. Os detalhes descritos abaixo fornecem uma visão geral de alto nível das etapas genéricas necessárias para configurar um armazenamento de chaves externo.

Instalação do Servidor de Armazenamento de Chaves Externo: Você é responsável por instalar e configurar o servidor de armazenamento de chaves externo usando a documentação fornecida pelo fornecedor.

Formato de Senha da Área de Armazenamento de Chaves Externas: O formato da senha da área de armazenamento de chaves externa varia dependendo do provedor.

Configuração de Rede: Certifique-se de que uma conexão seja estabelecida entre a VM Convidada e o servidor de armazenamento de chaves externo:

• Configurar a rede necessária.
• Abrir os portos necessários.
• Ativando o protocolo especificado pelo fornecedor da área de armazenamento de chaves externa.

Instalação da Biblioteca PKCS#11: Instale o software relacionado ao PKCS#11 e configure a biblioteca PKCS#11 nas VMs de acordo com a documentação do fornecedor do keystore externo.

Limitações:

• Somente uma biblioteca PKCS#11 de fornecedor pode estar presente em uma VM Convidada de cada vez.
• Interfaces de armazenamento de chaves externas não podem ser usadas para associar chaves a Bancos de Dados Oracle no Oracle Exadata Database Service on Cloud@Customer.
• Embora a interface de armazenamento de chaves externa permita que você exiba as chaves associadas aos bancos de dados, ela pode não suportar a execução de operações de gerenciamento de chaves diretamente da interface.

Validação de Comunicação: Verifique se a biblioteca PKCS#11 pode se comunicar com êxito com a área de armazenamento de chaves externa. Observe que a automação da nuvem não executa pré-verificações para validar essa conexão. Se a chave estiver inacessível, o banco de dados retornará um erro com os detalhes relevantes.

Para obter mais informações, consulte https://support.oracle.com/support/?kmExternalId=FAQ2403.

Agora você pode criptografar Bancos de Dados Oracle no Oracle Exadata Database Service on Cloud@Customer armazenando as chaves em um armazenamento de chaves externo.

Versões do Banco de Dados Aplicável: 23ai e 19c

Ao provisionar um banco de dados, você tem a opção de escolher entre diferentes soluções de gerenciamento de chaves: Oracle Software Keystore, Oracle Key Vault (OKV) ou External Keystore.

• A solução de gerenciamento de chaves selecionada se aplica a todo o Container Database (CDB) e a todos os PDBs (Bancos de Dados Plugáveis) contidos nele. Se um CDB for configurado para usar uma área de armazenamento de chaves externa, todos os PDBs associados também usarão a área de armazenamento de chaves externa. Não é possível selecionar diferentes soluções de gerenciamento de chaves no nível do PDB.
• Embora a solução de gerenciamento de chaves deva ser consistente entre o CDB e seus PDBs, diferentes PDBs dentro do mesmo CDB podem usar chaves de criptografia distintas, fornecendo flexibilidade no uso de chaves entre os PDBs.

Essa funcionalidade garante que as chaves de criptografia confidenciais sejam armazenadas com segurança em um armazenamento de chaves externo, oferecendo uma camada adicional de segurança para seus bancos de dados.

Quando um banco de dados é protegido por um armazenamento de chaves externo, a adição de uma nova máquina virtual (VM) ao cluster é restrita.

Se um ou mais bancos de dados em um cluster de VMs forem configurados com uma área de armazenamento de chaves externa, a seguinte mensagem será exibida:

"While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM."