准备将 Oracle Key Vault 与 Autonomous Database on Dedicated Exadata Infrastructure 结合使用

Oracle Key Vault 是一款全栈、安全增强的软件设备,旨在集中管理企业内的密钥和安全对象。Oracle Key Vault 是客户预配的托管系统,不属于 Oracle Cloud Infrastructure 托管服务。您可以将本地部署 Oracle Key Vault (OKV) 与客户管理的数据库云服务集成,以保护本地关键数据。

Prerequisites

  1. 确保已设置 OKV,并且可以从 Oracle Public Cloud 客户机网络访问该网络。打开端口 443、5695 和 5696,以便在客户机网络上出站以访问 OKV 服务器。
  2. 确保已从 OKV 用户界面启用 REST 接口。
  3. 创建“OKV REST 管理员”用户。您可以使用您选择的任何限定用户名,例如 "okv_rest_user"。对于 Cloud@Customer 上的 Autonomous DatabaseOracle Database Exadata Cloud at Customer ,请使用相同或不同的 REST 用户。这些数据库可以在相同或不同的内部部署 OKV 集群中进行密钥管理。Oracle Database Exadata Cloud at Customer 需要具有 create endpoint 权限的 REST 用户。Cloud@Customer 上的 Autonomous Database 需要具有 create endpointcreate endpoint group 权限的 REST 用户。
  4. 收集 OKV 管理员凭证和 IP 地址,这是连接到 OKV 并配置密钥库所必需的。有关指导,请参见 Create a Key Store
  5. 打开端口 443、5695 和 5696,以便在客户机网络上出站以访问 OKV 服务器。
  6. Oracle Public Cloud 部署上,如果计算主机位于另一个 VCN 中,则通过使用 VPN(快速连接或 VPN 即服务)或任何 VCN 对等连接设置适当的网络路由来确保 OKV 可以通过网络访问 Autonomous Database。

在 OCI Vault 服务中创建 Vault 并向 Vault 添加密钥以存储 OKV REST 管理员密码

每次设置 Oracle Database 来注册 Oracle Database 并请求 OKV 上的 wallet 时,您的专用 Exadata 基础结构部署都会通过 REST 与 OKV 进行通信。因此,Exadata 基础结构需要访问 REST 管理身份证明才能向 OKV 服务器注册。这些身份证明以密钥形式安全地存储在 OCI 中的 Oracle Vault 服务中,仅在需要时由专用 Exadata 基础结构部署访问。必要时,身份证明存储在受密码保护的 wallet 文件中。

为密钥库创建动态组和策略语句以访问 OCI Vault 中的密钥

要授予密钥库资源在 OCI Vault 中访问密钥的权限,请创建一个 IAM 动态组来标识这些资源,然后创建一个 IAM 策略来授予此动态组对在 OCI Vault 和密钥中创建的密钥的访问权限。

定义动态组时,您可以通过指定包含密钥库的区间的 OCID 来标识密钥库资源。

  • 复制包含密钥库资源的区间的 OCID。可以在区间的区间详细信息页上找到此 OCID。
  • 按照 Oracle Cloud Infrastructure 文档中的管理动态组中的说明创建动态组。按照以下说明输入此格式的匹配规则:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    其中 <compartment-ocid> 是包含密钥库资源的区间的 OCID。

创建动态组后,在区间层次结构中比包含 Vault 和密钥的区间更高的区间中导航到(或创建)IAM 策略。然后,添加以下格式的策略语句:

allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>

其中 <dynamic-group> 是您创建的动态组的名称,<vaults-and-secrets-compartment> 是您在其中创建 Vault 和密钥的区间的名称。

创建用于数据库服务使用 OCI Vault 服务密钥的策略语句

要授予 Autonomous Database 服务权限以使用 OCI Vault 中的密钥登录 OKV REST 接口,请在区间层次结构中比包含 OCI Vault 和密钥的区间更高的区间中导航至(或创建)IAM 策略。然后,添加以下格式的策略语句:

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

其中 <vaults-and-secrets-compartment> 是您在其中创建 OCI Vault 和密钥的区间的名称。

设置 OCI Vault 并实施 IAM 配置后,您现在就可以将 Oracle Key Vault 'Key Store' 部署在 OCI 中,并将其与您的专用 Exadata VM 集群关联。