Documentação do Oracle Cloud Infrastructure

Integração do Google Cloud Key Management para o Exadata Database Service no Oracle Database@Google Cloud

O Exadata Database Service no Oracle Database@Google Cloud agora suporta integração com o KMS (Key Management Service) do Google Cloud Platform.

Esse aprimoramento permite que os usuários gerenciem chaves de criptografia mestras (MEKs) de TDE (Transparent Data Encryption) usando CMEKs (Chaves de Criptografia Gerenciadas pelo Cliente) do GCP.

Anteriormente, as chaves de criptografia mestras (MEKs) de TDE (Transparent Data Encryption) só podiam ser armazenadas em um Oracle Wallet baseado em arquivo, no Oracle Cloud Infrastructure (OCI) Vault ou no Oracle Key Vault (OKV). Com essa atualização, os usuários agora podem armazenar e gerenciar MEKs diretamente no GCP KMS, fornecendo melhor controle do ciclo de vida das chaves e alinhamento com políticas de segurança específicas da organização.

Essa integração permite que aplicativos, serviços do Google Cloud e bancos de dados se beneficiem de uma solução centralizada de gerenciamento de chaves que oferece segurança aprimorada e gerenciamento simplificado do ciclo de vida das chaves.

Tópico principal: Guias Práticos

Pré-requisitos

Antes de configurar as CMEK (Chaves de Criptografia Gerenciadas pelo Cliente) do GCP como o serviço de gerenciamento de chaves para seus bancos de dados, certifique-se de que os pré-requisitos a seguir sejam atendidos.

  1. Provisione um Cluster de VMs do Exadata pela console do Google Cloud. Consulte Provisionando um Cluster de VMs do Exadata para o Google Cloud para obter instruções passo a passo.
  2. Verifique a conexão do Conector de Identidade para garantir que ela esteja configurada e ativa corretamente. Para obter mais informações, consulte Verificar o Conector de Identidade Padrão Anexado ao Cluster de VMs.
  3. Pré-requisitos para Configurar CMEK (Chaves de Criptografia Gerenciadas pelo Cliente) do GCP no Nível do Cluster de VMs do Exadata.

    Para ativar as Chaves de Criptografia Gerenciada pelo Cliente (CMEK) do Google Cloud Platform (GCP) para bancos de dados implantados com o Exadata Database Service no Oracle Database@Google Cloud, configure o CMEK como a opção de gerenciamento de chaves no nível do cluster de VMs. Depois que o CMEK for ativado, todas as operações de criptografia e decriptografia do banco de dados usarão a chave gerenciada pelo GCP especificada.

    Antes de ativar o CMEK, certifique-se de que:
    • Os anéis de chave do GCP necessários e as chaves de criptografia já foram criados no GCP.
    • Essas chaves são espelhadas como recursos âncora no Oracle Cloud Infrastructure (OCI), garantindo a sincronização entre o GCP e o OCI.
    • Os recursos de âncora estão em vigor para provisionamento de banco de dados e gerenciamento do ciclo de vida da chave de criptografia, incluindo rotação de chaves, revogação e auditoria.
  4. Requisitos de Política do Serviço IAM para Acessar os Principais Recursos do GCP.

    O banco de dados usa o controlador de recursos do cluster para recuperar com segurança os recursos da chave do GCP. Para ativar essa funcionalidade, você deve definir as políticas de IAM apropriadas na sua tenancy do OCI.

    Acesso Somente para Leitura às Chaves do Oracle GCP:
    Allow any-user to read oracle-db-gcp-keys in compartment id <your-compartment-OCID> 
where all { request.principal.type = 'cloudvmcluster',}

    Esta política concede acesso somente leitura aos recursos de chave do GCP para o controlador de recursos do cluster de VMs.

Usando a Console para Gerenciar a Integração do GCP KMS para o Exadata Database Service no Oracle Database@Google Cloud

Saiba como gerenciar a integração do GCP KMS para o Exadata Database Service no Oracle Database@Google Cloud.

Tópico principal: Integração do Google Cloud Key Management para o Exadata Database Service no Oracle Database@Google Cloud

Crie um cluster de VMs em uma instância do Exadata Cloud Infrastructure.

Observação

Para criar um cluster de VMs na nuvem em uma instância do Exadata Cloud Infrastructure, primeiro você deve ter criado um recurso de infraestrutura do Exadata na Nuvem.

Observação

A Infraestrutura ativada para várias VMs suportará a criação de vários Clusters de VMs. As infraestruturas criadas antes da liberação do recurso Criar e Gerenciar Diversas Máquinas Virtuais por Sistema Exadata (MultiVM) e Subconjunto de Nós de Clusters de VMs só suportam a criação de um único cluster de VMs na nuvem.

Observação

Quando você provisiona um cluster de VMs do Exadata no Exadata Database Service no Oracle Database@Google Cloud, um Conector de Identidade é criado e associado automaticamente ao cluster de VMs.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure
  2. Em Oracle Exadata Database Service on Dedicated Infrastructure, clique em Clusters da VM Exadata.
    Observação

    Diversos clusters de VMs só podem ser criados em uma Infraestrutura ativada por diversas VMs.
  3. Clique em Criar Cluster de VMs do Exadata.

    A página Criar Cluster de VMs do Exadata é exibida. Forneça as informações necessárias para configurar o cluster de VMs.

  4. Compartimento: Selecione um compartimento para o recurso de cluster de VMs.
  5. Nome para exibição: Digite um nome para exibição amigável do cluster de VMs. O nome não precisa ser exclusivo. Um Oracle Cloud Identifier (OCID) identificará exclusivamente o cluster de VMs. Evite digitar informações confidenciais.
  6. Selecionar infraestrutura do Exadata: Selecione o recurso de infraestrutura que conterá o cluster de VMs. Escolha um recurso de infraestrutura que tenha recursos suficientes para criar um novo cluster de VMs. Clique em Alterar Compartimento e escolha um compartimento distinto daquele no qual você está trabalhando para exibir recursos de infraestrutura em outros compartimentos.
    Observação

    Diversos clusters de VMs só podem ser criados em uma Infraestrutura ativada por diversas VMs
  7. Escolha a versão da Oracle Grid Infrastructure: Na lista, escolha a versão (19c e 23ai) do Oracle Grid Infrastructure que deseja instalar no cluster de VMs.

    A release do Oracle Grid Infrastructure determina as releases do Oracle Database que podem ser suportadas no cluster de VMs. Não é possível executar uma release do Oracle Database que seja posterior à release do software Oracle Grid Infrastructure.

    Observação

    Requisitos mínimos para provisionar um Cluster de VMs com o Grid Infrastructure 23ai:
    • VM Convidada do Exadata executando o Software do Sistema Exadata 23.1.8
    • Infraestrutura do Exadata executando o Software do Sistema Exadata 23.1.x
  8. Escolha uma versão da imagem do Exadata:
    • Infraestrutura Exadata com Oracle Linux 7 e imagem Exadata versão 22.1.10.0.0.230422:
      • O botão Alterar imagem não está ativado.
      • A versão do Oracle Grid Infrastructure tem como padrão 19.0.0.0.0.
      • A versão do convidado do Exadata será a mesma do sistema operacional do host.
    • Infraestrutura do Exadata com Oracle Linux 8 e imagem do Exadata versão 23.1.3.0.0.230613:
      • A versão do convidado do Exadata assume como padrão a mais recente (23.1.3.0).
      • A versão do Oracle Grid Infrastructure tem como padrão 19.0.0.0.0
      • O botão Alterar imagem está ativado.
      • Clique em Alterar imagem.

        O painel Alterar imagem resultante exibe a lista de versões principais disponíveis da imagem do Exadata (23.1.3.0 e 22.1.3.0).

        A release mais recente de cada versão principal é indicada por "(última)".

      • Exibir todas as versões disponíveis do slide.

        São exibidas seis versões anteriores, incluindo as versões mais recentes das imagens 23.1.3.0 e 22.1.3.0 do Exadata.

      • Escolha uma versão.
      • Clique em Salvar Alterações.
  9. Configurar o cluster de VMs: Especifique os servidores de Banco de Dados a serem usados para o novo cluster de VMs (por padrão, todos os Servidores de Banco de Dados são selecionados). Clique em Selecionar Servidores de Banco de Dados para selecionar entre os servidores de banco de dados disponíveis e clique em Salvar.

    No painel Alocação de recursos por VM:

    • Especifique o número de OCPU/ECPU que você deseja alocar para cada um dos nós de computação da máquina virtual do cluster da VM. Para clusters de VMs criados no X11M Exadata Infrastructure, especifique ECPUs. Para Clusters de VMs criados no X10M e na infraestrutura anterior do Exadata, especifique OCPUs. O mínimo é 2 OCPUs por VM para X10M e infraestrutura anterior ou 8 ECPUs por VM para clusters de VMs criados na infraestrutura Exadata X11M. O campo Contagem solicitada de OCPUs para o cluster da VM Exadata exibe o número total dos núcleos de OCPU ou ECPU que você está alocando.
    • Especifique a Memória por VM a ser alocada para cada VM. O mínimo por VM é 30 GB.
    • Especifique o Armazenamento Local por VM para alocar armazenamento local a cada VM. O mínimo por VM é 60 GB.

      Sempre que você cria um novo cluster de VMs, o espaço restante fora do espaço total disponível é utilizado para o novo cluster de VMs.

      Além de /u02, é possível especificar o tamanho de sistemas de arquivos locais adicionais.

      Para obter mais informações e instruções para especificar o tamanho de cada VM individual, consulte Introdução às Operações de Ampliação ou Redução.

      • Clique em Mostrar opções adicionais de configuração de sistemas de arquivos locais.
      • Especifique o tamanho dos sistemas de arquivos /, /u01, /tmp, /var, /var/log, /var/log/audit e /home, conforme necessário.
        Observação

        • Só é possível expandir esses sistemas de arquivos e não é possível reduzir o tamanho depois de expandido.
        • Devido a partições de backup e espelhamento, os sistemas de arquivos / e /var consumirão o dobro do espaço alocado, o que é indicado nos campos Total de armazenamento alocado para/ (GB) somente leitura devido ao espelhamento e Total de armazenamento alocado para /tmp (GB) devido ao espelhamento.
      • Após criar o Cluster de VMs, verifique a seção Recursos do Exadata na página Detalhes da Infraestrutura do Exadata para verificar o tamanho do arquivo alocado para o armazenamento local (/u02) e o armazenamento local (sistemas de arquivos adicionais).
  10. Configurar armazenamento do Exadata: Especifique o seguinte:
    • Especificar o armazenamento utilizável do Exadata em TB. Especifique o armazenamento em múltiplos de 1 TB. Mínimo: 2 TB
    • Alocar armazenamento para snapshots esparsos do Exadata: Selecione essa opção de configuração se você pretende usar a funcionalidade de snapshot no seu cluster de VMs. Se você selecionar essa opção, o grupo de discos SPARSE será criado, o qual permitirá usar a funcionalidade de snapshot do cluster de VMs para clonagem esparsa do PDB. Se você não selecionar esta opção, o grupo de discos SPARSE não será criado e a funcionalidade de snapshot não estará disponível em implantações de banco de dados que forem criadas no ambiente.
      Observação

      A opção de configuração de armazenamento para snapshots esparsos não pode ser alterada após a criação do cluster de VMs.
    • Alocar armazenamento para backups locais: Selecione essa opção se você pretende fazer backups de bancos de dados no armazenamento local do Exadata dentro da sua instância do Exadata Cloud Infrastructure. Se você selecionar essa opção, mais espaço será alocado ao grupo de discos RECO, que é usado para armazenar backups no armazenamento do Exadata. Se você não selecionar essa opção, mais espaço será alocado ao grupo de discos DATA, que permite armazenar mais informações nos seus bancos de dados.
      Observação

      A opção de configuração de armazenamento para backups locais não pode ser alterada após a criação do cluster de VMs.
  11. Adicione a chave SSH: Adicione a parte da chave pública de cada par que você deseja usar para acesso SSH ao cluster de VMs:
    • Gerar par de chaves SSH (Opção padrão) Selecione esse botão de opção para gerar um par de chaves SSH. Na caixa de diálogo abaixo, clique emSalvar chave privada para fazer download da chave e, opcionalmente, clique em Salvar chave pública para fazer download da chave.
    • Fazer upload de arquivos de chave SSH: Selecione esse botão de opção para procurar ou arrastar e soltar arquivos .pub.
    • Colar chaves SSH: Selecione esse botão de opção para colar chaves públicas individuais. Para colar várias chaves, clique em + Outra Chave SSH e forneça uma chave única para cada entrada.
  12. Configurar as definições de rede: Especifique o seguinte:
    Observação

    Os endereços IP (100.64.0.0/10) são usados para interconexão do Exadata Cloud Infrastructure X8M.

    Você não tem a opção de escolher entre IPv4 (pilha única) e IPv4/IPv6 (pilha dupla) se ambas as configurações existirem. Para obter mais informações, consulte VCN e Gerenciamento de Sub-rede.

    • Rede virtual na nuvem: A VCN na qual você deseja criar o cluster de VMs. Clique em Alterar Compartimento para selecionar uma VCN em outro compartimento.
    • Sub-rede do cliente: A sub-rede à qual o cluster de VMs deve ser conectado. Clique em Alterar Compartimento para selecionar uma sub-rede em outro compartimento.

      Não use uma sub-rede que se sobreponha a 192.168.16.16/28, que é usada pela interconexão privada do Oracle Clusterware na instância de banco de dados. A especificação de uma sub-rede de sobreposição faz com que a interconexão privada funcione incorretamente.

    • Sub-rede de backup: A sub-rede a ser usada para a rede de backup, que geralmente é usada para transportar informações de backup de/para o Destino de Backup, e para a replicação do Data Guard. Clique em Alterar Compartimento para selecionar uma sub-rede em outro compartimento, se aplicável.

      Não use uma sub-rede que substitua 192.168.128.0/20. Essa restrição se aplica à sub-rede do cliente e à sub-rede de backup.

      Se você planeja fazer backup dos bancos de dados para o serviço Object Storage ou Autonomous Recovery, consulte os pré-requisitos da rede em Gerenciando Backups de Bancos de Dados Exadata.

      Observação

      Caso o Autonomous Recovery Service seja usado, uma nova sub-rede dedicada será altamente recomendada. Verifique os requisitos e as configurações de rede necessários para fazer backup de seus bancos de dados Oracle Cloud no Recovery Service. Consulte Configurando Recursos de Rede para Serviço de Recuperação.
    • Grupos de Segurança de Rede: Opcionalmente, você pode especificar um ou mais grupos de segurança da rede (NSGs) para as redes cliente e de backup. Os NSGs funcionam como firewalls virtuais, permitindo que você aplique um conjunto de regras de segurança de entrada e saída ao cluster de VMs do Exadata Cloud Infrastructure. É possível especificar um máximo de cinco NSGs. Para obter mais informações, consulte Grupos de Segurança de Rede e Configuração da Rede para Instâncias do Exadata Cloud Infrastructure.

      Observe que, se você escolher uma sub-rede com uma lista de segurança, as regras de segurança do cluster de VMs serão uma união das regras da lista de segurança e dos NSGs.

      Para usar grupos de segurança de rede:

      • Marque a caixa de seleção Usar grupos de segurança de rede para controlar o tráfego. Essa caixa aparece sob o seletor das sub-redes do cliente e de backup. Você pode aplicar NSGs à rede do cliente ou à rede de backup ou a ambas as redes. Observe que você deverá ter uma rede virtual na nuvem selecionada para poder designar NSGs a uma rede.
      • Especifique o NSG a ser usado com a rede. Pode ser necessário usar mais de um NSG. Em caso de dúvida, entre em contato com o administrador.
      • Para usar NSGs adicionais com a rede, clique em + Outro Grupo de Segurança de Rede.
      Observação

      Para fornecer segurança adicional aos recursos do Cluster de VMs na nuvem, você pode usar o Oracle Cloud Infrastructure Zero Trust Packet Routing para garantir que apenas os recursos identificados com atributos de segurança tenham permissões de rede para acessar seus recursos. A Oracle fornece modelos de política de Banco de Dados que você pode usar para ajudá-lo a criar políticas para casos de uso comuns de segurança de banco de dados. Para configurá-lo agora, você já deve ter criado atributos de segurança com o Oracle Cloud Infrastructure Zero Trust Packet Routing. Clique em Mostrar Opções Avançadas no final deste procedimento.

      Lembre-se de que, quando você fornece atributos de segurança para um cluster, assim que ele é aplicado, todos os recursos exigem uma política de Pacote de Confiança Zero para acessar o cluster. Se houver um atributo de segurança em um ponto final, ele deverá atender às regras do NSG (grupo de segurança de rede) e da política do OCI ZPR (Oracle Cloud Infrastructure Zero Trust Packet Routing).

    • Para usar o Serviço de DNS privado
      Observação

      Um DNS Privado deve ser configurado para que possa ser selecionado. Consulte "Configurar DNS Privado"
      • Marque a caixa de seleção Usar Serviço de DNS privado.
      • Selecione uma view privada. Clique em Alterar Compartimento para selecionar uma view privada em outro compartimento.
      • Selecione uma zona privada. Clique em Alterar Compartimento para selecionar uma zona privada em outro compartimento.
    • Prefixo de nome de host: Sua opção de nome de host para o cluster de VMs do Exadata. O nome do host deve começar com um caractere alfabético e só pode conter caracteres alfanuméricos e hifens (-). O número máximo de caracteres permitido para um cluster de VMs do Exadata é 12.

      Cuidado:

      O nome do host deve ser exclusivo na sub-rede. Se não for exclusivo, o cluster de VMs não será provisionado.
    • Nome do domínio do host: O nome do domínio do cluster de VMs. Se a sub-rede selecionada usar o Resolvedor de Internet e VCN fornecido pela Oracle para resolução do nome de DNS, esse campo exibirá o nome do domínio da sub-rede e não poderá ser alterado. Caso contrário, você poderá fornecer sua escolha do nome do domínio. Hifens (-) não são permitidos.

      Se você planeja armazenar backups dos bancos de dados no serviço Object Storage ou Autonomous Recovery, a Oracle recomenda que você use um Resolvedor da VCN para a resolução do nome do DNS da sub-rede do cliente porque ele resolve automaticamente os pontos finais Swift usados para backups.

    • Host e URL do domínio: Esse campo somente para leitura combina os nomes de host e domínio para exibir o FQDN (nome do domínio totalmente qualificado) do banco de dados. O tamanho máximo é 63 caracteres.
  13. Escolher um tipo de licença: O tipo de licença que você deseja usar para o cluster de VMs. Sua escolha afeta a medição de faturamento.
    • Licença Incluída significa que o custo do serviço de nuvem inclui uma licença para o serviço Database.
    • BYOL (Bring Your Own License) significa que você é um cliente Oracle Database que tem um Contrato de Licença Ilimitado ou um Contrato de Licença Não Ilimitado e deseja usar sua licença com o Oracle Cloud Infrastructure. Isso elimina a necessidade de licenças on-premises separadas e licenças na nuvem.
  14. Coleta de Diagnóstico: Ativando a coleta e as notificações de diagnóstico, o Oracle Cloud Operations e você poderão identificar, investigar, rastrear e resolver problemas de VM convidada de forma rápida e eficaz. Assine o serviço Events para ser notificado sobre alterações no estado do recurso.
    Observação

    Você está aceitando que a lista de eventos acima (ou métricas, arquivos de log) pode mudar no futuro. Você pode recusar esse recurso a qualquer momento.
    • Ativar Eventos de Diagnóstico: Permitir que a Oracle colete e publique eventos críticos, de advertência, de erro e de informações para mim.
    • Ativar Monitoramento de Integridade: Permitir que a Oracle colete métricas/eventos de integridade como o Oracle Database ativado/desativado, uso do espaço em disco etc., e compartilhe-os com as operações do Oracle Cloud. Você também receberá notificação de alguns eventos.
    • Ativar Coleta de Logs e Rastreamento de Incidentes: Permitir que a Oracle colete logs e rastreamentos de incidentes para ativar o diagnóstico de falha e a resolução de problemas.
    Observação

    Você está aceitando que a lista de eventos acima (ou métricas, arquivos de log) pode mudar no futuro. Você pode recusar esse recurso a qualquer momento.
    Todas as três caixas de seleção são marcadas por padrão. Você pode deixar as definições padrão como estão ou desmarcar as caixas de seleção, conforme necessário. Você pode exibir as definições de Coleta de Diagnóstico na página Detalhes do Cluster de VMs em Informações Gerais >> Coleta de Diagnóstico.
    • Ativada: Quando você opta por coletar diagnósticos, métricas de integridade, logs de incidentes e arquivos de rastreamento (todas as três opções).
    • Desativada: Quando você opta por não coletar diagnósticos, métricas de integridade, logs de incidentes e arquivos de rastreamento (todas as três opções).
    • Parcialmente Ativada: Quando você opta por coletar diagnósticos, métricas de integridade, logs de incidentes e arquivos de rastreamento (uma ou duas opções).
  15. Clique em Mostrar Opções Avançadas para especificar opções avançadas para o cluster de VMs:

    • Fuso horário: Essa opção está localizada na guia Gerenciamento. O fuso horário padrão do cluster de VMs é UTC, mas você pode especificar outro fuso horário. As opções de fuso horário são as suportadas na classe Java.util.TimeZone e no sistema operacional Oracle Linux.

      Observação

      Se você quiser definir um fuso horário que não seja UTC ou o fuso horário detectado pelo browser e não vir o fuso horário desejado, tente selecionar a opção Selecionar outro fuso horário, em seguida, selecionando "Diversos" na lista Região ou país e pesquisando as seleções adicionais de Fuso horário.

    • Porta do Listener SCAN: Essa opção está localizada na guia Rede. Você pode designar uma porta de listener SCAN (TCP/IP) no intervalo entre 1024 e 8999. O padrão é 1521. de
      Observação

      Não há suporte para a alteração manual da porta do listener SCAN de um cluster de VMs após o provisionamento usando o software de backend. Essa alteração pode causar falhas no provisionamento do Data Guard.
    • ZPR (Zero Trust Packet Routing): Esta opção está localizada na guia Atributos de segurança. Selecione um namespace e forneça a chave e o valor do atributo de segurança. Para concluir esta etapa durante a configuração, você já deve ter configurado atributos de segurança com o Oracle Cloud Infrastructure Zero Trust Packet Routing. Você também pode adicionar atributos de segurança após a configuração e adicioná-los posteriormente. Para obter mais informações sobre como adicionar políticas específicas do Oracle Exadata Database Service on Dedicated Infrastructure, consulte Criador de Modelos de Política.
    • Atualização da Automação na Nuvem: A Oracle aplica periodicamente atualizações às ferramentas de banco de dados e ao software do agente necessários para ferramentas e automação na nuvem. Você pode configurar seu intervalo de tempo preferencial para que essas atualizações sejam aplicadas ao seu Cluster de VMs.

      Defina o horário de início para atualizações de automação na nuvem.

      Observação

      A Oracle verificará as atualizações mais recentes da VM Cloud Automation todos os dias entre a janela de tempo configurada e aplicará atualizações quando aplicável. Se a automação não puder começar a aplicar atualizações dentro do intervalo de tempo configurado devido a algum processo de longa execução subjacente, a Oracle verificará automaticamente o dia seguinte durante o intervalo de tempo configurado para começar a aplicar atualizações de automação na nuvem ao Cluster de VMs.

      Ativar acesso antecipado para atualização de ferramentas na nuvem: Os clusters de VMs designados para acesso antecipado recebem atualizações de 1 a 2 semanas antes de estarem disponíveis para outros sistemas. Marque esta caixa de seleção se quiser adoção antecipada para este cluster de VMs.

      Período de Congelamento da Atualização do Cloud Automation: A Oracle aplica periodicamente atualizações às ferramentas de banco de dados e ao software do agente necessários para ferramentas e automação na nuvem. Ative um período de congelamento para definir um intervalo de tempo durante o qual a automação da Oracle não aplicará atualizações na nuvem.

      Mova o controle deslizante para definir o período de congelamento.

      Observação

      • O período de congelamento pode se estender por um máximo de 45 dias a partir da data inicial.
      • A automação da Oracle aplicará automaticamente atualizações com correções de segurança críticas (CVSS >= 9), mesmo durante um período configurado de congelamento.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace de tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deve aplicar tags, ignore essa opção (você poderá aplicar tags posteriormente) ou pergunte ao administrador.
  16. Clique em Criar.

QUAL É O PRÓXIMO PASSO?

Após a criação bem-sucedida do seu cluster de VMs e no estado Disponível, .
  • Você pode exibir a página Detalhes do Cluster de VMs clicando no nome do cluster de VMs na lista de clusters. Na página Detalhes do Cluster de VMs, você pode criar seu primeiro banco de dados no cluster, clicando em Criar Banco de Dados
  • Os campos Endereço IP SCAN (IPv4) e Endereço IP SCAN (IPv6) na seção Rede da página Detalhes do Cluster de VMs exibem os detalhes do endereço IP de pilha dupla.
  • O campo Atualização do Serviço Cloud Automation na seção Versão da página Detalhes do Cluster de VMs exibe o período de congelamento definido.

Para exibir os detalhes de um conector de identidade anexado a um cluster de VMs, use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Em Oracle Exadata Database Service on Dedicated Infrastructure, clique em Clusters da VM Exadata.
  3. Clique no nome do cluster de VMs de sua escolha.
  4. Na página Detalhes do Cluster de VMs resultante, na seção Informações Multinuvem, confirme se o campo Conector de identidade exibe o conector de identidade anexado a este cluster de VMs.
  5. Clique no nome do Conector de Identidade para exibir seus detalhes.

    Você será redirecionado ao portal Database Multicloud Integrations.

Para criar um keyring, use este procedimento.

  1. Abra o Google Cloud Console e navegue até a página Gerenciamento de Chaves.
  2. Clique em Criar keyring.
  3. Forneça os seguintes detalhes:
    • Nome: Informe um nome descritivo para o keyring.
    • Local: Selecione um local para o seu keyring.

      Importante:

      • Anéis de chave com o mesmo nome podem existir em diferentes locais, portanto, você deve sempre especificar o local.
      • Escolha uma localização próxima aos recursos que deseja proteger.
      • Para Chaves de Criptografia Gerenciadas pelo Cliente, verifique se o keyring está no mesmo local que os recursos que o usarão.

      Escolhendo um local para o seu Keyring:

      Ao criar um keyring no Google Cloud Key Management Service (KMS), é crucial selecionar o local certo. Sua escolha afeta onde suas chaves criptográficas são armazenadas e como elas são replicadas. Para obter mais informações, consulte Localizações do Cloud KMS.

      • Região:
        • Os dados são armazenados em uma região geográfica específica.
        • As chaves permanecem dentro dos limites desta única região.
        • Ideal para:
          • Aplicativos de baixa latência
          • Conformidade com os requisitos de residência de dados
          • Cargas de trabalho específicas da região
      • Multirregião:
        • Os dados são replicados em várias regiões dentro de uma área geográfica maior.
        • O Google gerencia a distribuição e a replicação automaticamente.
        • Não é possível selecionar data centers ou regiões individuais.
        • Ideal para:
          • Alta disponibilidade
          • Aplicações resilientes e tolerantes a falhas
          • Serviços que atendem a uma ampla área regional
      • Global:
        • Um tipo especial de multirregião.
        • As chaves são distribuídas entre os data centers do Google em todo o mundo.
        • A seleção e o controle de local não estão disponíveis.
        • Ideal para:
          • Aplicativos com usuários globais
          • Casos de uso que precisam de redundância e alcance máximos
  4. Clique em Criar.

Uma vez que o keyring é criado, você pode começar a criar e gerenciar chaves de criptografia dentro dele.

Para criar uma chave de criptografia simétrica bruta no keyring e no local especificados, use este procedimento.

  1. Abra o Google Cloud Console e navegue até a página Gerenciamento de Chaves.
  2. Clique no nome do keyring no qual deseja criar a chave.
  3. Clique em Criar chave.
  4. Forneça os seguintes detalhes:
    • Nome da chave: Informe um nome descritivo para sua chave.
    • Nível de proteção: Escolha Software ou HSM (Módulo de Segurança de Hardware).

      O nível de proteção de uma chave não pode ser alterado após a criação da chave. Para obter mais informações, consulte Níveis de proteção.

    • Material da chave: Selecione Gerar chave ou Importar chave.

      Gere material de chave no Cloud KMS ou importe material de chave mantido fora do Google Cloud. Para obter mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

    • Finalidade e Algoritmo:

      Para obter mais informações, consulte Fins principais e algoritmos.

      • Defina Finalidade como Criptografia/decriptografia bruta.
      • Para Algoritmo, selecione AES-256-CBC.
  5. Clique em Criar.

Após a criação, você pode usar essa chave para operações criptográficas que exigem criptografia e decriptografia AES-CBC.

Para permitir que uma chave seja detectável no OCI (Oracle Cloud Infrastructure), use este procedimento.

  1. No Google Cloud KMS, selecione a chave que você deseja tornar detectável.
  2. Navegue até a guia Permissões e clique em Adicionar principal.
  3. No campo Novos principais, informe a conta de serviço associada ao seu Agente de Serviço de Recursos de Carga de Trabalho.
    Observação

    Você pode encontrar essa conta de serviço na página Detalhes do Conector de Identidade, na seção Informações do GCP. Procure o Agente de serviço de recurso de carga de trabalho e anote seu ID. Essa é a conta de serviço necessária.

  4. Em Designar atribuições, adicione uma atribuição de sua escolha.
    Observação

    Crie um papel personalizado com as permissões mínimas a seguir e atribua-o ao keyring de sua escolha.

    Essas permissões juntas permitem que o OCI:

    • Descubra recursos do KMS, como key rings e keys.
    • Acessar metadados sobre chaves e suas versões.
    • Use as chaves para operações criptográficas (criptografia/descriptografia).
    • Criar versões de chave.

    Permissões Mínimas Necessárias:

    • cloudkms.cryptoKeyVersions.get

      Permite a recuperação de metadados para uma versão de chave específica.

    • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys

      Permite o gerenciamento de material-chave bruto AES-CBC (importação, rotação, etc.).

    • cloudkms.cryptoKeyVersions.create

      Permite a criação de novas versões de chave em uma chave.

    • cloudkms.cryptoKeyVersions.list

      Lista todas as versões de uma determinada chave.

    • cloudkms.cryptoKeyVersions.useToDecrypt

      Concede permissão para usar uma versão de chave para decriptografar dados.

    • cloudkms.cryptoKeyVersions.useToEncrypt

      Concede permissão para usar uma versão de chave para criptografar dados.

    • cloudkms.cryptoKeys.get

      Permite a recuperação de metadados para uma chave.

    • cloudkms.cryptoKeys.list

      Lista todas as chaves dentro de um keyring.

    • cloudkms.keyRings.get

      Permite a recuperação de metadados para um keyring.

    • cloudkms.locations.get

      Recupera informações sobre locais de chave suportados.

  5. Clique em Salvar para aplicar as alterações.
  6. Clique em Atualizar para confirmar se as permissões atualizadas entraram em vigor.

Para ativar as Chaves de Criptografia Gerenciada pelo Cliente (CMEK) do Google Cloud para seu cluster de VMs, primeiro registre o Keyring do GCP na OCI.

Observação

Antes de continuar, certifique-se de que as permissões descritas em Conceder Permissões no Google Cloud KMS para Descoberta de Chaves pela Oracle Cloud Infrastructure (OCI) tenham sido concedidas.

  1. No portal Integrações Multicloud de Banco de Dados, navegue até: Integração do Google Cloud > Anéis de Chaves GCP.
  2. Clique em Key Ring do GCP,
  3. Clique em Registrar key rings do GCP
  4. Na página Registrar key rings do GCP resultante, forneça os seguintes detalhes:
    • Compartimento: Selecione o compartimento no qual o cluster de VMs reside.
    • Conector de Identidade: Escolha o Conector de Identidade anexado ao cluster de VMs.
    • Key Ring: Informe o nome do keyring do GCP a ser registrado.

      Para descobrir todos os keyrings disponíveis por meio de um único conector de identidade, você deve conceder as permissões a seguir a esse conector de identidade. Essas permissões devem ser atribuídas no nível apropriado do projeto ou da pasta para garantir que o conector possa acessar todos os key rings no escopo pretendido.

      • cloudkms.keyRings.list

        Permite listar todos os principais anéis em um projeto.

      • cloudkms.locations.get

        Permite recuperar metadados para um keyring específico.

  5. Clique em Descobrir para verificar se o keyring existe no GCP.

    Se for bem-sucedido, os detalhes do keyring serão exibidos.

    Observação

    Apenas anéis de chave podem ser registrados – não chaves individuais. Todas as chaves suportadas associadas a um keyring registrado estarão disponíveis, desde que as permissões necessárias estejam em vigor.

  6. Clique em Registrar.

Para ativar o GCP CMEK para o Cluster de VMs do Exadata, use este procedimento.

Observação

Quando você provisiona um Cluster de VMs do Exadata, o GCP CMEK é desativado por padrão.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Em Oracle Exadata Database Service on Dedicated Infrastructure, clique em Clusters da VM Exadata.
  3. Selecione o nome do cluster de VMs que você deseja configurar.
  4. Na página Detalhes do Cluster de VMs, role até a seção Informações Multinuvem e clique em Ativar ao lado do GCP CMEK.
  5. Para desativar o GCP CMEK, clique em Desativar.

Para criar um banco de dados em um Cluster de VMs existente

Este tópico abrange a criação de seus primeiros bancos de Dados ou subsequentes.

Observação

Se o IORM estiver ativado na instância do Exadata Cloud Infrastructure, a diretiva padrão será aplicada ao novo banco de dados e o desempenho do sistema poderá ser afetado. A Oracle recomenda que você revise as definições do IORM e faça os ajustes aplicáveis à configuração após o provisionamento do novo banco de dados.
Observação

Antes de criar seu primeiro banco de dados e selecionar o Azure Key Vault para gerenciamento de chaves, certifique-se de que os seguintes pré-requisitos sejam atendidos:
  • Todos os pré-requisitos de rede descritos na seção Requisitos de Rede para Criação de um Conector de Identidade e Recursos do KMS foram atendidos
  • O conector de identidade é criado e está disponível para uso
  • O gerenciamento de chaves do Azure está ativado no nível do cluster de VMs
  • O cluster de VMs tem as permissões necessárias para acessar os vaults
  • Os vaults são registrados como recursos do OCI
Observação

  • Restrição de Máquinas Virtuais: O dimensionamento de um cluster de VMs não estende automaticamente os bancos de dados que usam o Azure Key Vault para a máquina virtual recém-adicionada. Para concluir a extensão, atualize o Conector de Identidade existente para o Cluster de VMs do Exadata fornecendo o token de acesso do Azure. Após atualizar o Conector de Identidade, execute o comando dbaascli database addInstance para adicionar a instância do banco de dados à nova VM.
  • Restrições do Data Guard:
    • Ao criar um banco de dados stand-by para um principal que use o Azure Key Vault, certifique-se de que o cluster de VMs de destino tenha um Conector de Identidade ativo, que o gerenciamento de chaves do Azure esteja ativado e que a associação necessária entre o Conector de Identidade e o Key Vault esteja configurada corretamente.
    • As operações de restauração do Data Guard e do banco de dados entre regiões não são suportadas para bancos de dados que usam o Azure Key Vault para gerenciamento de chaves.
  • Restrição de Operações do PDB: Operações remotas do PDB, como clonagem, atualização e realocação, só serão suportadas se os bancos de dados de origem e de destino usarem a mesma chave de TDE (Transparent Data Encryption).
  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure
  2. Escolha o Compartimento.
  3. Navegue até o cluster da VM na nuvem no qual você deseja criar o banco de dados:

    Clusters da VM na nuvem (O Novo Modelo de Recurso do Exadata Cloud Infrastructure): Em Oracle Exadata Database Service on Dedicated Infrastructure, clique em Clusters da VM do Exadata Na lista de clusters de VMs, localize o cluster de VMs que você deseja acessar e clique em seu nome destacado para exibir a página de detalhes do cluster.

  4. Clique em Criar Banco de Dados.
  5. Na caixa de diálogo Criar Banco de Dados, informe o seguinte:
    Observação

    Você não pode modificar o prefixo db_name, db_unique_name e o SID após a criação do banco de dados.
    • Nome do banco de dados: O nome do banco de dados. O nome do banco de dados deve atender aos requisitos:
      • Máximo de 8 caracteres
      • Conter somente caracteres alfanuméricos
      • Começar com um caractere alfabético
      • Não pode ser parte dos 8 primeiros caracteres de uma DB_UNIQUE_NAME no cluster de VMs
      • NÃO use os seguintes nomes reservados: grid, ASM
    • Sufixo do nome exclusivo do banco de dados:

      Opcionalmente, especifique um valor para o parâmetro de banco de dados DB_UNIQUE_NAME. O valor não faz distinção entre maiúsculas e minúsculas.

      O nome exclusivo deve atender aos requisitos:

      • Máximo de 30 caracteres
      • Conter somente caracteres alfanuméricos ou sublinhados (_)
      • Começar com um caractere alfabético
      • Ser exclusivo no cluster de VMs. Recomendamos ser exclusivos na tenancy.
      Se não for especificado, o sistema gerará automaticamente um valor de nome exclusivo, da seguinte forma: 
      <db_name>_<3_chars_unique_string>_<region-name>
    • Versão do banco de dados: a versão do banco de dados. Também é possível misturar versões de bancos de dados no cluster de VMs Exadata.
    • Nome do PDB: (Opcional) No Oracle Database 12c (12.1.0.2) e versões posteriores, você pode especificar o nome do banco de dados plugável. O nome do PDB deve começar com um caractere alfabético e pode conter no máximo oito caracteres alfanuméricos. O único caractere especial permitido é o sublinhado (_).

      Para evitar possíveis conflitos de nome de serviço ao usar o Oracle Net Services para estabelecer conexão com o PDB, certifique-se de que o nome do PDB seja exclusivo em todo o cluster de VMs. Se você não fornecer o nome do primeiro PDB, será usado um nome gerado pelo sistema.

    • Home do Banco de Dados: O Home do Oracle Database para o banco de dados. Escolha a opção aplicável:
      • Selecionar um Home de Banco de Dados existente: O campo do nome para exibição do Home do Banco de Dados permite que você escolha o Home do Banco de Dados entre os homes existentes para a versão especificada do banco de dados. Se não existir um Home de Banco de Dados com essa versão, você deverá criar um novo home.
      • Criar um novo Home do Banco de Dados: Use esta opção para provisionar um novo Home do Banco de Dados para seu banco de dados par do Data Guard.

        Clique em Alterar Imagem do Banco de Dados para usar a imagem publicada pela Oracle desejada ou uma imagem de software de banco de Dados personalizada que você criou com antecedência e selecione um Tipo de imagem:

        • Imagens de Software de Banco de Dados Fornecidas pela Oracle:

          você poderá usar a opção Exibir todas as versões disponíveis para escolher entre todas as PSUs e RUs disponíveis. A release mais recente de cada versão principal é indicada com um label mais recente.

          Observação

          Para as releases principais do Oracle Database disponíveis no Oracle Cloud Infrastructure, as imagens são fornecidas para a versão atual mais as três versões mais recentes (N a N - 3). Por exemplo, se uma instância estiver usando o Oracle Database 19c e a versão mais recente da 19c oferecida for 19.8.0.0.0, as imagens disponíveis para provisionamento serão para as versões 19.8.0.0.0, 19.7.0.0, 19.6.0.0 e 19.5.0.0.
        • Imagens de Software de Banco de Dados Personalizadas: Essas imagens são criadas por sua organização e contêm configurações personalizadas de atualizações e patches de software. Use os seletores de Selecionar um compartimento, Selecionar uma região e Selecionar uma versão do Banco de Dados para limitar a lista de imagens personalizadas de software para um compartimento, uma região ou uma versão principal da release do software Oracle Database específica.

          O filtro de região assume como padrão a região conectada no momento e lista todas as imagens de software criadas nessa região. Quando você escolhe uma região diferente, a lista de imagens de software é atualizada para exibir as imagens de software criadas na região selecionada.

    • Criar credenciais de administrador: (Somente para leitura) Um usuário SYS do administrador de banco de dados será criado com a senha que você fornecer.
      • Nome do usuário: SYS
      • Senha: Forneça a senha para este usuário. A senha deve atender aos seguintes critérios:

        Uma senha forte para SYS, SYSTEM, wallet de TDE e Administrador do PDB. A senha deve ter de 9 a 30 caracteres e conter pelo menos duas letras maiúsculas, duas letras minúsculas, dois números e dois caracteres especiais. Os caracteres especiais devem ser _, # ou -. A senha não deve conter o nome de usuário (SYS, SYSTEM etc.) ou a palavra "oracle" na ordem direta ou reversa e independentemente do tipo de letra.

      • Confirmar senha: Informe novamente a senha SYS especificada.
      • O uso de uma senha da wallet de TDE é opcional. Se você estiver usando chaves de criptografia gerenciadas pelo cliente armazenadas em um vault na sua tenancy, a senha da wallet de TDE não se aplicará ao seu Cluster de VMs. Use Mostrar Opções Avançados no final da caixa para configurar chaves gerenciadas pelo cliente.Criar Banco de dados

        Se você estiver usando chaves gerenciadas pelo cliente ou se quiser especificar outra senha da wallet de TDE, desmarque a caixa Usar a senha de administrador para a wallet de TDE. Se você estiver usando chaves gerenciadas pelo cliente, deixe os campos de senha de TDE em branco. Para definir a senha da wallet de TDE manualmente, digite uma senha no campo Digite a senha da wallet de TDE e, em seguida, confirme digitando-a no campo Confirmar senha da wallet de TDE.

    • Configurar backups de bancos de dados: Especifique as definições para fazer backup do banco de dados para o Autonomous Recovery Service ou o Object Storage:
      • Ativar backup automático: Marque a caixa para ativar backups incrementais automáticos para este banco de dados. Se você estiver criando um banco de dados em um compartimento de uma zona de segurança, deverá ativar backups automáticos.
      • Destino de Backup: Suas opções são Autonomous Recovery Service ou Object Storage.
      • Programação de Backup:
        • Serviço Object Storage (L0):
          • Dia de programação de backup completo: escolha um dia da semana para os backups L0 iniciais e futuros a serem iniciados.
          • Tempo de programação de backup completo (UTC): Especifique a janela de tempo em que os backups completos começam quando a capacidade de backup automática é selecionada.

          • Fazer o primeiro backup imediatamente: Um backup completo é um backup do sistema operacional de todos os arquivos de dados e do arquivo de controle que constituem um Oracle Database. Um backup completo também deve incluir o(s) arquivo(s) de parâmetro associado(s) ao banco de dados. Você pode fazer um backup completo do banco de Dados quando o banco for submetido a shutdown ou enquanto o banco de Dados estiver aberto. Normalmente, você não deve fazer um backup completo após uma falha na instância ou outras circunstâncias incomuns.

            Caso opte por adiar o primeiro backup completo, talvez seu banco de dados não possa ser recuperado na hipótese de uma falha do banco de dados.

        • Serviço Object Storage (L1):
          • Tempo de programação de backup incremental (UTC): Especifique a janela de tempo em que os backups incrementais começam quando a capacidade de backup automática é selecionada.
        • Serviço de Recuperação Autônoma (L0):
          • Dia programado para o backup inicial: Escolha um dia da semana para o backup inicial.
          • Tempo programado para o backup inicial (UTC): Selecione a janela de tempo para o backup inicial.

          • Fazer o primeiro backup imediatamente: Um backup completo é um backup do sistema operacional de todos os arquivos de dados e do arquivo de controle que constituem um Oracle Database. Um backup completo também deve incluir o(s) arquivo(s) de parâmetro associado(s) ao banco de dados. Você pode fazer um backup completo do banco de Dados quando o banco for fechado ou enquanto o banco de Dados estiver aberto. Normalmente, você não deve fazer um backup completo após uma falha na instância ou outras circunstâncias incomuns.

            Caso opte por adiar o primeiro backup completo, talvez seu banco de dados não possa ser recuperado na hipótese de uma falha do banco de dados.

        • Serviço de Recuperação Autônoma (L1):
          • Tempo programado para backup diário (UTC): Especifique o intervalo de tempo em que os backups incrementais começam quando a capacidade de backup automática é selecionada.
      • Opções de exclusão após o encerramento do banco de dados: Opções que você pode usar para manter backups de banco de dados protegidos após o encerramento do banco de dados. Essas opções também podem ajudar a restaurar o banco de dados usando backups em caso de danos acidentais ou mal-intencionados no banco de dados.
        • Manter backups para o período especificado na sua política de proteção ou no período de retenção de backup: Selecione essa opção se quiser reter backups de banco de dados durante todo o período definido no período de retenção de Backup do Object Storage ou na política de proteção do Autonomous Recovery Service após o encerramento do banco de dados.
        • Manter backups por 72 horas e depois excluir: Selecione esta opção para reter backups por um período de 72 horas após encerrar o banco de dados.

      • Política de Período/Proteção de Retenção de Backup: Se você optar por ativar backups automáticos, poderá escolher uma política com um dos seguintes períodos pré-definidos de retenção ou uma política Personalizada.

        Período de retenção do Backup do Serviço Object Storage: 7, 15, 30, 45, 60. Padrão: 30 dias. O sistema exclui automaticamente seus backups incrementais no fim do período de retenção escolhido.

        Política de proteção do Autonomous Recovery Service:

        • Bronze: 14 dias
        • Prata: 35 dias
        • Gold: 65 dias
        • Platinum: 95 dias
        • Personalizado definido por você
        • Padrão: Silver - 35 dias
      • Ativar Proteção de Dados em Tempo Real: A proteção em tempo real é a transferência contínua de alterações de redo de um Banco de Dados Protegido para oAutonomous Recovery Service. Essa opção reduz a perda de dados e fornece um RPO (Recovery Point Objective) próximo a 0. Essa é uma opção de custo extra.
  6. Clique em Mostrar Opções Avançadas para especificar opções avançadas para o banco de dados:
    • Gerenciamento:

      Prefixo do Oracle SID: O número da instância do Oracle Database é adicionado automaticamente ao prefixo do SID para criar o parâmetro de banco de dados INSTANCE_NAME. O parâmetro INSTANCE_NAME também é conhecido como SID. O SID é exclusivo no Cluster de VMs na nuvem. Se não especificado, o prefixo SID assumirá como padrão o padrão db_name.

      Observação

      A entrada de um prefixo SID só está disponível para bancos de dados do Oracle 12.1 e versões posteriores.

      O prefixo SID deve atender aos requisitos:

      • Máximo de 12 caracteres
      • Conter somente caracteres alfanuméricos. No entanto, você pode usar sublinhado (_), que é o único caractere especial que não é restrito por essa convenção de nomenclatura.
      • Começar com um caractere alfabético
      • Exclusivo no cluster de VMs
      • NÃO use os seguintes nomes reservados: grid, ASM
    • Conjunto de Caracteres: O conjunto de caracteres do banco de dados. O padrão é AL32UTF8.
    • Conjunto de caracteres nacional: O conjunto de caracteres nacional do banco de dados. O padrão é AL16UTF16.
    • Criptografia:

      Se você estiver criando um banco de dados em um Cluster de VM do Exadata Cloud Service, poderá optar por usar a criptografia com base em chaves de criptografia que você gerencia. Por padrão, o banco de dados é configurado usando chaves de criptografia gerenciadas pela Oracle.

      • Para configurar o banco de dados com criptografia baseada nas chaves de criptografia que você gerencia:
        Observação

        Se o gerenciamento de chaves do Azure ou a Chave de Criptografia Gerenciada pelo Cliente do GCP estiver desativado no nível do cluster de VMs, você terá três opções de gerenciamento de chaves: Oracle Wallet, OCI Vault e Oracle Key Vault.
        • Vault do OCI:
          1. Você deve ter uma chave de criptografia válida no serviço Oracle Cloud Infrastructure Vault. Consulte Permitir que os administradores de segurança gerenciem vaults, chaves e segredos.
            Observação

            Use as chaves de criptografia AES-256 para o seu banco de dados.
          2. Escolha um Vault.
          3. Selecione uma Chave de criptografia principal.
          4. Para especificar uma versão de chave distinta da versão mais recente da chave selecionada, marque a caixa de seleção Escolher a versão da chave e digite o OCID da chave que você deseja usar no campo OCID da versão da chave.
            Observação

            A versão da Chave só será designada ao banco de dados contêiner (CDB) e não ao seu banco de dados plugável (PDB). O PDB receberá uma nova versão da chave gerada automaticamente.
        • Oracle Key Vault: Escolha um compartimento e selecione um armazenamento de chaves no compartimento escolhido.
      • Para criar um banco de dados usando o Vault de chaves do Azure como gerenciamento de chaves:
        Observação

        Se o gerenciamento de chaves do Azure estiver ativado no nível do cluster de VMs, você terá duas opções de gerenciamento de chaves: Oracle Wallet e Azure Key Vault.
        1. Selecione o tipo do serviço Key Management como Azure Key Vault.
        2. Selecione o Vault disponível no seu compartimento.
          Observação

          A lista de Vaults preenche somente vaults registrados. Clique no link Registrar novos vaults para registrar seu vault. Na página Registrar vaults de chaves do Azure, selecione seu vault e clique em Registrar.
          Observação

          Pelo menos uma chave deve ser registrada em seus vaults.
        3. Selecione a Chave disponível em seu compartimento.
      • Para criar um banco de dados usando a Chave de Criptografia Gerenciada pelo Cliente GCP como gerenciamento de chaves:
        Observação

        Se a Chave de Criptografia Gerenciada pelo Cliente GCP estiver ativada, você terá duas opções de gerenciamento de chaves: Oracle Wallet e Chave de Criptografia Gerenciada pelo Cliente GCP.
        1. Selecione Chave de Criptografia Gerenciada pelo Cliente GCP como sua opção Key Management .
        2. Selecione o Keyring disponível em seu compartimento.
          Observação

          Somente os keyrings registrados são listados.

          Se o seu keyring desejado não estiver visível, ele pode não ter sido registrado ainda. Clique em Registrar Key Rings para descobri-lo e registrá-lo.

          Para obter instruções detalhadas, consulte Registrar o Keyring do GCP na Oracle Cloud Infrastructure (OCI).

        3. Selecione a chave de criptografia dentro do Keyring e do compartimento selecionados.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace de tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deve aplicar tags, ignore essa opção (você poderá aplicar tags posteriormente) ou pergunte ao administrador.
  7. Clique em Criar Banco de Dados.
Observação

Você agora pode:
  • Crie ou exclua um CDB enquanto uma configuração do Data Guard estiver em execução em outro banco de dados dentro do mesmo Oracle home e vice-versa.
  • Criar ou excluir um CDB ao executar simultaneamente ações do Data Guard (switchover, failover e reintegração) no mesmo Oracle home e vice-versa.
  • Criar ou excluir um CDB ao criar ou excluir simultaneamente um PDB no mesmo Oracle home e vice-versa.
  • Crie ou exclua um CDB simultaneamente no mesmo Oracle home.
  • Crie ou exclua um CDB ao atualizar simultaneamente tags de Cluster de VMs.

Após a conclusão da criação do banco de dados, o status muda de Provisionando para Disponível e, na página de detalhes do novo banco de dados, a seção Criptografia exibe o nome e o OCID da chave de criptografia.

ADVERTÊNCIA:

Não exclua a chave de criptografia do vault. Isso faz com que qualquer banco dados protegido pela chave fique indisponível.

Para alterar as chaves de criptografia entre diferentes métodos de criptografia, use este procedimento.

Observação

  • Não é possível migrar da Chave de Criptografia Gerenciada pelo Cliente GCP para o Oracle Wallet.
  • O banco de dados terá um breve período de indisponibilidade enquanto a configuração do gerenciamento de chaves está sendo atualizada.
  1. Navegue até a página de detalhes do seu banco de dados na console do OCI.
  2. Na seção Criptografia, verifique se o Gerenciamento de chaves está definido como Oracle Wallet e clique no link Alterar.
  3. Especifique as informações a seguir na página Alterar gerenciamento de chaves.
    1. Selecione sua Gerenciamento de chaves como Chave de Criptografia Gerenciada pelo Cliente GCP na lista drop-down.
    2. Selecione o compartimento que você está usando e escolha o Keyring disponível nesse compartimento.
    3. Em seguida, selecione o compartimento Chave que você está usando e escolha a Chave desejada na lista drop-down.
    4. Clique em Salvar alterações.

Para rotacionar a Chave de Criptografia Gerenciada pelo Cliente GCP de um banco de dados contêiner (CDB), use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Escolha o Compartimento.

    Uma lista de Clusters de VMs é exibida para o Compartimento escolhido.

  3. Na lista de Clusters de VMs, clique no nome do cluster que contém o banco de dados que você deseja rotacionar as chaves de criptografia.
  4. Clique em Bancos de Dados.
  5. Clique no nome da base de dados que você deseja rotacionar chaves de criptografia.

    A página Detalhes do Banco de Dados exibe informações sobre o banco de dados selecionado.

  6. Na seção Criptografia, verifique se o serviço Key Management está definido como Chave de Criptografia Gerenciada pelo Cliente GCP e clique no link Girar.
  7. Na caixa de diálogo Alternar Chave resultante, clique em Alternar para confirmar a ação.

Para rotacionar a Chave de Criptografia Gerenciada pelo Cliente GCP de um banco de dados plugável (PDB), use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Escolha o Compartimento.

    Uma lista de Clusters de VMs é exibida para o Compartimento escolhido.

  3. Na lista de clusters de VMs, clique no nome do cluster de VMs que contém o PDB que você deseja iniciar e, em seguida, clique no nome dele para exibir a página de detalhes.
  4. Em Bancos de Dados, localize o banco de dados que contém o PDB cujas chaves de criptografia você deseja rotacionar.
  5. Clique no nome do banco de dados para exibir a página Detalhes do Banco de Dados.
  6. Clique em Bancos de Dados Plugáveis na seção Recursos da página.

    Uma lista de PDBs existentes nesse banco de dados é exibida.

  7. Clique no nome do PDB cujas chaves de criptografia você deseja rotacionar.

    A página de detalhes do banco de dados plugável é exibida.

  8. Na seção Criptografia, exibe que o gerenciamento de Chaves está definido como Chave de Criptografia Gerenciada pelo Cliente do GCP.
  9. Clique no link Girar.
  10. Na caixa de diálogo Alternar Chave resultante, clique em Alternar para confirmar a ação.

Para obter informações sobre como usar a API e assinar solicitações, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte Kits de Desenvolvimento de Software e Interface de Linha de Comando.

Os recursos a seguir serão disponibilizados aos clientes por meio do OCI SDK, da CLI e do Terraform. Essas APIs serão usadas por clientes que desejam integrar o Oracle Database no Exadata com o Google Cloud Services.

Tabela 5-10 OracleDbGcpIdentityConnectors

API Descrição
ListOracleDbGcpIdentityConnectors Lista todos os recursos do Conector de Identidade do GCP com base nos filtros especificados.
GetOracleDbGcpIdentityConnector Recupera informações detalhadas sobre um recurso específico do GCP Identity Connector.
CreateOracleDbGcpIdentityConnector Cria um novo recurso do Conector de Identidades do GCP para o Cluster de VMs ExaDB-D especificado.
UpdateOracleDbGcpIdentityConnector Atualiza os detalhes de configuração de um recurso existente do GCP Identity Connector.
ChangeOracleDbGcpIdentityConnectorCompartment Move o recurso do Conector de Identidade do GCP para outro compartimento.
DeleteOracleDbGcpIdentityConnector Exclui o recurso especificado do GCP Identity Connector.

Tabela 5-11 OracleDbGcpKeyRings

API Descrição
ListOracleDbGcpKeyRings Lista todos os recursos do Keyring do GCP com base nos filtros especificados.
CreateOracleDbGcpKeyRing Cria um novo recurso de Keyring do GCP.
ChangeOracleDbGcpKeyRingCompartment Move o recurso Keyring do GCP para outro compartimento.
RefreshOracleDbGcpKeyRing Atualiza os detalhes de um recurso de Keyring do GCP.
GetOracleDbGcpKeyRing Recupera informações detalhadas sobre um recurso específico do Keyring do GCP.
UpdateOracleDbGcpKeyRing Atualiza os detalhes de configuração de um recurso de Keyring do GCP existente.
DeleteOracleDbGcpKeyRing Exclui o recurso de Keyring do GCP especificado.

Tabela 5-12 OracleDbGcpKeyKeys

API Descrição
ListOracleDbGcpKeys Lista todos os recursos do Keyring do GCP com base nos filtros especificados.
GetOracleDbGcpKey Recupera informações detalhadas sobre um recurso de Chave GCP específico.