在專用 Exadata 基礎架構上使用 Oracle Key Vault 與自治式 AI 資料庫

Oracle Key Vault 是一個全堆疊的安全強化軟體設備，其建置目的在於集中管理企業內的金鑰與安全物件。Oracle Key Vault 是客戶佈建且受管理的系統，不屬於 Oracle Cloud Infrastructure 管理的服務。您可以將內部部署 Oracle Key Vault (OKV) 與客戶管理的資料庫雲服務整合，以保護您的內部部署重要資料。

必備條件

1. 請確定已設定 OKV，而且可從 Oracle Public Cloud 從屬端網路存取網路。開啟連接埠 443、5695 和 5696，讓用戶端網路上的輸出存取 OKV 伺服器。

2. 請確定已從 OKV 使用者介面啟用 REST 介面。

3. 建立「OKV REST 管理員」使用者。您可以使用任何符合您選擇的使用者名稱，例如 "okv_rest_user"。若為 Cloud@Customer 和 Oracle Database Exadata Cloud@Customer 上的自治式 AI 資料庫，請使用相同或不同的 REST 使用者。這些資料庫可以是相同或不同內部部署 OKV 叢集中的金鑰管理。Oracle Database Exadata Cloud@Customer 需要具備 create endpoint 權限的 REST 使用者。Cloud@Customer 上的自治式 AI 資料庫需要具備 create endpoint 和 create endpoint group 權限的 REST 使用者。

4. 收集連線至 OKV 並設定金鑰存放區所需的 OKV 管理員證明資料和 IP 位址。如需相關指引，請參閱建立金鑰存放區。

5. 開啟用戶端網路上的連接埠 443、5695 和 5696 以存取 OKV 伺服器。

6. 在 Oracle Public Cloud 部署上，如果運算主機位於另一個 VCN 中，請使用 VPN (快速連線或 VPN 即服務) 或任何 VCN 對等互連設定適當的網路路由，以確保 OKV 可透過網路存取自治式 AI 資料庫。

在 OCI 保存庫服務中建立保存庫，並將加密密碼新增至保存庫以儲存 OKV REST 管理員密碼

您的專用 Exadata 基礎架構部署會在每次佈建 Oracle Database 以註冊 Oracle Database 並在 OKV 上要求公事包時，透過 REST 與 OKV 進行通訊。因此，Exadata 基礎架構需要存取 REST 管理員證明資料，才能向 OKV 伺服器註冊。這些證明資料會以加密密碼方式安全地儲存在 OCI 的 Oracle Vault Service 中，並只有在需要時才由您的專用 Exadata 基礎架構部署存取。必要時，證明資料會儲存在受密碼保護的公事包檔案中。

建立資料庫服務使用 OKV 保存庫服務加密密碼的原則敘述句

若要授予使用 OCI 保存庫加密密碼以登入 OKV REST 介面的自治式 AI 資料庫服務權限，請瀏覽至 (或建立) 區間中高於區間階層中高於包含 OCI 保存庫和加密密碼之區間的 IAM 原則。然後，新增此格式的原則敘述句：

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

其中 <vaults-and-secrets-compartment> 是您在其中建立 OCI 保存庫和加密密碼的區間名稱。

OCI 保存庫設定好且已設定 IAM 組態之後，您就可以在 OCI 中部署 Oracle Key Vault 的「金鑰存放區」，並將其與專用 Exadata VM 叢集建立關聯。

更新 OKV 端點群組

您可以從 ACD 的「詳細資訊」頁面更新 OKV 端點群組。

您也可以選擇在佈建 ACD 或更新版本時，新增含有 OKV 金鑰存放區的 OKV 端點群組名稱。

若要更新 ACD 上的 OKV 端點群組，您必須確定：

• OKV 端點群組可以存取對應的 OKV 公事包。

• 與 ACD 對應的 OKV 端點是 OKV 端點群組的一部分。

• OKV 端點群組具有端點預設公事包的讀取存取權。

若要更新 OKV 端點群組名稱：

• 前往 ACD 的詳細資訊頁面。如需指示，請參閱「檢視自治式容器資料庫的詳細資訊」。

• 按一下加密底下 OKV 端點群組名稱旁的編輯。

• 從清單中選擇金鑰存放區，然後輸入 OKV 端點群組的名稱。端點群組名稱必須全部大寫，而且可以包含數字、連字號 (-) 以及底線 (_)，而且必須以大寫字母為開頭。

• 按一下儲存。

管理 OKV 端點

刪除 Oracle Key Vault 端點

終止 ACD 之後，您應該從 OKV 刪除與 ACD 對應的端點。OKV 端點是在每個叢集節點的每個 ACD 進行 ACD 佈建時建立。刪除與已終止 ACD 對應的端點會讓 OKV 保持井然有序，並且有助於 OKV CA 憑證輪換。

刪除端點會將其從 Oracle Key Vault 中永久移除。不過，先前由該端點建立或上傳的安全物件仍將保留在 Oracle Key Vault 中。同樣地，與該端點相關聯的安全物件也會保持不變。若要永久刪除或重新指定這些安全物件，您必須是具備「主要管理員」角色的使用者，或是具備管理公事包權限以合併這些物件授權的使用者。端點管理員移除之前在端點下載的端點軟體，也會保留在端點上。

除非您是建立端點的使用者，否則無法刪除處於 PENDING 狀態的端點。您必須在建立它的節點上將其刪除。請參閱刪除一或多個端點以瞭解詳細資訊。

重新註冊端點

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 不支援立即可用的 OKV 端點重新註冊。若要重新註冊 OKV 端點，您必須洽詢自治式 AI 資料庫作業團隊。

相關內容

建立與管理金鑰存放區