准备将 Oracle Key Vault 与 Autonomous Database on Dedicated Exadata Infrastructure 结合使用

Oracle Key Vault 是一款全栈、安全增强的软件设备,旨在集中管理企业内的密钥和安全对象。Oracle Key Vault 是客户预配的托管系统,不属于 Oracle Cloud Infrastructure 托管服务。您可以将本地部署 Oracle Key Vault (OKV) 与客户管理的数据库云服务集成,以保护本地关键数据。

Prerequisites

  1. 确保已设置 OKV,并且可以从 Oracle Public Cloud 客户机网络访问该网络。打开端口 443、5695 和 5696,以便在客户机网络上出站以访问 OKV 服务器。
  2. 确保已从 OKV 用户界面启用 REST 接口。
  3. 创建“OKV REST 管理员”用户。您可以使用您选择的任何限定用户名,例如 "okv_rest_user"。对于 Cloud@Customer 上的 Autonomous DatabaseOracle Database Exadata Cloud at Customer ,请使用相同或不同的 REST 用户。这些数据库可以在相同或不同的内部部署 OKV 集群中进行密钥管理。Oracle Database Exadata Cloud at Customer 需要具有 create endpoint 权限的 REST 用户。Cloud@Customer 上的 Autonomous Database 需要具有 create endpointcreate endpoint group 权限的 REST 用户。
  4. 收集 OKV 管理员凭证和 IP 地址,这是连接到 OKV 并配置密钥库所必需的。有关指导,请参见 Create a Key Store
  5. 打开端口 443、5695 和 5696,以便在客户机网络上出站以访问 OKV 服务器。
  6. Oracle Public Cloud 部署上,如果计算主机位于另一个 VCN 中,则通过使用 VPN(快速连接或 VPN 即服务)或任何 VCN 对等连接设置适当的网络路由来确保 OKV 可以通过网络访问 Autonomous Database。

在 OCI Vault 服务中创建 Vault 并向 Vault 添加密钥以存储 OKV REST 管理员密码

每次设置 Oracle Database 来注册 Oracle Database 并请求 OKV 上的 wallet 时,您的专用 Exadata 基础结构部署都会通过 REST 与 OKV 进行通信。因此,Exadata 基础结构需要访问 REST 管理身份证明才能向 OKV 服务器注册。这些身份证明以密钥形式安全地存储在 OCI 中的 Oracle Vault 服务中,仅在需要时由专用 Exadata 基础结构部署访问。必要时,身份证明存储在受密码保护的 wallet 文件中。