在专用 Exadata 基础结构上将 Oracle Key Vault 与 Autonomous AI Database 结合使用

Oracle Key Vault 是一款全栈、安全增强的软件设备,旨在集中管理企业内的密钥和安全对象。Oracle Key Vault 是客户预配的托管系统,不属于 Oracle Cloud Infrastructure 托管服务。您可以将本地部署 Oracle Key Vault (OKV) 与客户管理的数据库云服务集成,以保护本地关键数据。

相关主题

Prerequisites

  1. 确保已设置 OKV,并且可以从 Oracle Public Cloud 客户机网络访问该网络。打开端口 443、5695 和 5696,以便在客户机网络上出站以访问 OKV 服务器。
  2. 确保已从 OKV 用户界面启用 REST 接口。
  3. 创建“OKV REST 管理员”用户。可以使用您选择的任何限定用户名,例如 "okv_rest_user"。对于 Cloud@Customer 上的 Autonomous AI DatabaseOracle Database Exadata Cloud at Customer ,请使用相同或不同的 REST 用户。这些数据库可以在相同或不同的内部部署 OKV 集群中进行密钥管理。Oracle Database Exadata Cloud at Customer 需要具有 create endpoint 权限的 REST 用户。Cloud@Customer 上的 Autonomous AI Database 需要具有 create endpointcreate endpoint group 权限的 REST 用户。
  4. 收集 OKV 管理员凭证和 IP 地址,这是连接到 OKV 并配置密钥库所必需的。有关指导,请参见 Create a Key Store
  5. 打开端口 443、5695 和 5696,以便在客户机网络上出站以访问 OKV 服务器。
  6. Oracle Public Cloud 部署上,通过 VPN(快速连接或 VPN 即服务)或任何 VCN 对等连接(如果计算主机位于其他 VCN 中)设置正确的网络路由,确保 OKV 可以通过网络访问 Autonomous AI Database

在 OCI Vault 服务中创建 Vault 并向 Vault 添加密钥以存储 OKV REST 管理员密码

每次设置 Oracle Database 来注册 Oracle Database 并请求 OKV 上的 wallet 时,您的专用 Exadata 基础结构部署都会通过 REST 与 OKV 进行通信。因此,Exadata 基础结构需要访问 REST 管理身份证明才能向 OKV 服务器注册。这些身份证明以密钥形式安全地存储在 OCI 中的 Oracle Vault 服务中,仅在需要时由专用 Exadata 基础结构部署访问。必要时,身份证明存储在受密码保护的 wallet 文件中。

更新 OKV 端点组

可以从 ACD 的“详细信息”页面更新 OKV 端点组。

(可选)您还可以在预配 ACD 或更高版本时添加 OKV 密钥库的 OKV 端点组名称。

要在 ACD 上更新 OKV 端点组,必须确保:
  • OKV 端点组有权访问相应的 OKV wallet。
  • 与 ACD 对应的 OKV 端点是 OKV 端点组的一部分。
  • OKV 端点组具有对端点的默认 wallet 的读取访问权限。
要更新 OKV 端点组名称,请执行以下操作:
  • 转到 ACD 的 Details(详细信息)页面。有关说明,请参阅“查看自治容器数据库的详细信息”。
  • 单击 Encryption 下的 OKV 端点组名称旁边的 Edit
  • 从列表中选择密钥库并输入 OKV 端点组的名称。端点组名称必须全部采用大写形式,可以包含数字、连字符 (-) 和下划线 (_) 并以大写字母开头。
  • 单击保存

管理 OKV 端点

删除 Oracle Key Vault 端点

终止 ACD 后,应从 OKV 中删除与 ACD 对应的端点。OKV 端点是在每个集群节点按 ACD 预配 ACD 时创建的。删除与已终止 ACD 对应的端点可保持 OKV 的有序,并在 OKV CA 证书轮换期间提供帮助。

删除端点会从 Oracle Key Vault 中永久删除该端点。但是,以前由该端点创建或上载的安全对象将保留在 Oracle Key Vault 中。同样,与该端点关联的安全对象也会保留。要永久删除或重新分配这些安全对象,您必须是具有密钥管理员角色的用户,或者有权通过管理 wallet 权限来合并这些对象。以前在端点处下载的端点软件也保留在端点上,直到端点管理员将其删除。

您不能删除处于 PENDING 状态的端点,除非您是创建该端点的用户。必须在创建它的节点上将其删除。有关更多详细信息,请参见 Deleting One or More Endpoints

重新注册端点

基于专用 Exadata 基础设施的 Oracle Autonomous AI Database 不支持立即重新注册 OKV 端点。要重新注册 OKV 端点,您需要与 Autonomous AI Database 运营团队联系。