在专用 Exadata 基础结构上将 Oracle Key Vault 与 Autonomous AI Database 结合使用

Oracle Key Vault 是一款全栈、安全强化软件设备，专为集中管理企业中的密钥和安全对象而构建。Oracle Key Vault 是一个客户预配的托管系统，不属于 Oracle Cloud Infrastructure 托管服务。您可以将内部部署 Oracle Key Vault (OKV) 与客户管理的数据库云服务集成，从而保护内部部署中的关键数据。

Prerequisites

1. 确保已设置 OKV，并且可从 Oracle Public Cloud 客户机网络访问该网络。打开端口 443、5695 和 5696，以便客户机网络上的出站访问 OKV 服务器。

2. 确保已从 OKV 用户界面启用 REST 接口。

3. 创建“OKV REST 管理员”用户。您可以使用所选的任何限定用户名，例如 "okv_rest_user"。对于 Cloud@Customer 上的 Autonomous AI Database 和 Oracle Database Exadata Cloud@Customer，请使用相同或不同的 REST 用户。这些数据库可以在相同或不同的内部部署 OKV 集群中进行密钥管理。Oracle Database Exadata Cloud@Customer 需要具有 create endpoint 权限的 REST 用户。基于 Cloud@Customer 的自治 AI 数据库需要具有 create endpoint 和 create endpoint group 权限的 REST 用户。

4. 收集 OKV 管理员凭证和 IP 地址，这是连接到 OKV 并配置密钥库所必需的。有关指导，请参见 Create a Key Store 。

5. 在客户机网络上打开端口 443、5695 和 5696 以进行出站以访问 OKV 服务器。

6. 在 Oracle Public Cloud 部署上，如果计算主机位于另一个 VCN 中，则使用 VPN（快速连接或 VPN 即服务）或任何 VCN 对等连接设置正确的网络路由，从而确保 OKV 可以通过网络访问自治 AI 数据库。

在 OCI Vault 服务中创建 Vault 并向 Vault 添加密钥以存储 OKV REST 管理员密码

每次预配 Oracle Database 以注册 Oracle Database，并在 OKV 上请求 wallet 时，您的专用 Exadata 基础结构部署都会通过 REST 与 OKV 进行通信。因此，Exadata 基础结构需要访问 REST 管理身份证明才能在 OKV 服务器中注册。这些身份证明作为密钥安全存储在 OCI 中的 Oracle Vault 服务中，并且仅在需要时由您的专用 Exadata 基础结构部署访问。如果需要，身份证明将存储在受密码保护的 wallet 文件中。

为数据库服务创建策略语句以使用 OKV Vault 服务中的密钥

要向自治 AI 数据库服务授予使用 OCI Vault 中的密钥登录 OKV REST 接口的权限，请导航到（或创建）区间层次结构中更高区间（比包含 OCI Vault 和密钥的区间更高的区间）中的 IAM 策略。然后，添加以下格式的策略语句：

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

其中 <vaults-and-secrets-compartment> 是您在其中创建 OCI Vault 和密钥的区间的名称。

在设置了 OCI Vault 并且 IAM 配置就绪后，您现在可以在 OCI 中部署 Oracle Key Vault“密钥存储”，并将其与专用 Exadata VM 集群关联。

更新 OKV 端点组

可以从 ACD 的“详细信息”页面更新 OKV 端点组。

（可选）您还可以在预配 ACD 或更高版本时添加 OKV 密钥库的 OKV 端点组名称。

要在 ACD 上更新 OKV 端点组，必须确保：

• OKV 端点组有权访问相应的 OKV wallet。

• 与 ACD 对应的 OKV 端点是 OKV 端点组的一部分。

• OKV 端点组具有对端点的默认 wallet 的读取访问权限。

要更新 OKV 端点组名称，请执行以下操作：

• 转到 ACD 的 Details（详细信息）页面。有关说明，请参阅“查看自治容器数据库的详细信息”。

• 单击 Encryption 下的 OKV 端点组名称旁边的 Edit 。

• 从列表中选择密钥库并输入 OKV 端点组的名称。端点组名称必须全部采用大写形式，可以包含数字、连字符 (-) 和下划线 (_) 并以大写字母开头。

• 单击保存。

管理 OKV 端点

删除 Oracle Key Vault 端点

终止 ACD 后，应从 OKV 中删除与 ACD 对应的端点。OKV 端点是在每个集群节点按 ACD 预配 ACD 时创建的。删除与终止的 ACD 对应的端点可保持 OKV 的有序，并在 OKV CA 证书轮换期间提供帮助。

删除端点会从 Oracle Key Vault 中永久删除端点。但是，以前由该端点创建或上载的安全对象将保留在 Oracle Key Vault 中。同样，与该端点关联的安全对象也会保留。要永久删除或重新分配这些安全对象，您必须是具有密钥管理员角色的用户，或者有权通过管理 wallet 权限来合并这些对象。以前在端点处下载的端点软件也保留在端点上，直到端点管理员将其删除。

您不能删除处于 PENDING 状态的端点，除非您是创建该端点的用户。必须在创建它的节点上将其删除。有关更多详细信息，请参见 Deleting One or More Endpoints 。

重新注册端点

基于专用 Exadata 基础结构的 Oracle Autonomous AI Database 不支持立即重新注册 OKV 端点。要重新注册 OKV 端点，您需要与自治 AI 数据库操作团队联系。

相关内容

创建和管理密钥库