專用 Exadata 基礎架構上 Autonomous Database 中的主要加密金鑰
依照預設,Autonomous Database on Dedicated Exadata Infrastructure 會建立並管理用於保護資料的所有主要加密金鑰,並將它們儲存在資料庫所在之相同 Exadata 系統上的安全 PKCS 12 金鑰庫中。這些金鑰稱為 Oracle 管理加密金鑰。
Oracle 使用 Oracle 管理的金鑰,確保金鑰以 Oracle 管理的中繼資料形式完整生命週期。在 Exadata Cloud@Customer 部署上,對備份的存取是共用的責任,客戶必須確保 Oracle API 的資料庫環境和備份檔案可存取性,才能使用內部金鑰管理生命週期作業。
如果貴公司的安全性政策需要,Autonomous Database 可以改用 Oracle Key Store 建立及管理的金鑰。對於 Oracle Public Cloud 部署,您也可以使用 Oracle Cloud Infrastructure 保存庫服務來建立及管理金鑰。符合法規規範的客戶若能將金鑰儲存在 Oracle Cloud 外部或任何第三方雲端企業內部,便可使用外部金鑰管理服務 (外部 KMS)。
使用 OCI Vault 服務建立客戶管理的金鑰時,您也可以匯入自己的金鑰資料 (自備金鑰或 BYOK),而不是讓保存庫服務在內部產生金鑰資料。
警示:
由於 Oracle Key Vault (OKV) 中儲存的客戶管理金鑰是資料庫主機外部,因此使用資料庫金鑰無法存取 OKV 的任何組態變更或中斷都會導致資料庫無法存取其資料。
此外,無論您是使用 Oracle 管理的金鑰還是客戶管理的金鑰,都可以視需要輪換用於現有資料庫中的金鑰,以符合貴公司的安全原則。請參閱 Rotate the Encryption Keys 瞭解詳細資訊。
開始之前:區間階層最佳做法
- 整個部署的「父項」區間
- 各種資源的「子項」區間:
- 自治式資料庫
- 自治式容器資料庫和基礎架構資源 (Exadata 基礎架構和自治式 Exadata VM 叢集)
- VCN (虛擬雲端網路) 與其子網路
- 包含客戶管理金鑰的保存庫
使用客戶管理的金鑰時,遵循此最佳實務尤其重要,因為您建立以授予 Autonomous Database 存取金鑰的原則陳述式,必須新增至區間階層中較包含保存庫及其金鑰的區間高的原則。
相關主題
在保存庫服務中使用客戶管理的金鑰
您必須先執行一些準備組態工作來建立保存庫和主要加密金鑰,然後將該保存庫及其金鑰提供給 Autonomous Database 使用,才能使用保存庫服務中儲存的客戶管理金鑰;特別是:
- 依照 Oracle Cloud Infrastructure 文件中建立新保存庫的指示,在保存庫服務中建立保存庫。遵循這些指示時,Oracle 建議您在專為包含客戶管理金鑰之保存庫而建立的區間中建立保存庫,如區間階層最佳做法中所述。
建立保存庫之後,您可以依照 Oracle Cloud Infrastructure 文件中建立新主要加密金鑰的指示,在保存庫中至少建立一個主要加密金鑰。請依照下列指示進行選擇:
- 在區間中建立:Oracle 建議您在與其保存庫相同的區間中建立主要加密金鑰;亦即,專為包含客戶管理金鑰之保存庫而建立的區間。
- 保護模式:從下拉式清單中選擇適當的值:
- HSM 可建立在硬體安全模組 (HSM) 上儲存和處理的主要加密金鑰。
- 軟體:建立儲存在 Vault 服務中軟體檔案系統的主要加密金鑰。使用 HSM 型根金鑰時,會保護軟體保護金鑰。您可以將軟體金鑰匯出至其他金鑰管理裝置,或匯出至不同的 OCI 雲端區域。與 HSM 金鑰不同,軟體保護的金鑰不需付費。
- 金鑰型態演算法:AES
- 金鑰型態長度:256 位元
附註:
您也可以將加密金鑰新增至現有的保存庫。 - 使用網路服務對 VCN (虛擬雲端網路) 和 Autonomous Database 資源所在的子網路建立服務閘道、路由規則及傳出安全規則。
- 您可以使用 IAM 服務建立動態群組來識別您的 Autonomous Database 資源,以及授予該動態群組存取您建立之主要加密金鑰的原則敘述句。
秘訣:
如需示範這些指示的「試用」替代方案,請參閱 Oracle Autonomous Database Dedicated for Security Administrators 中的 Lab 17:Customer Controlled Database Encryption Keys 。使用上述步驟設定客戶管理的金鑰之後,即可在佈建自治式容器資料庫 (ACD) 時進行設定,或者從 ACD 或 Autonomous Database 的「詳細資訊」頁面輪換現有的加密金鑰。在此 ACD 中佈建的自治式資料庫將會自動繼承這些加密金鑰。請參閱建立自治式容器資料庫或輪換自治式容器資料庫的加密金鑰以瞭解詳細資訊。
附註:
引進跨區域保存庫複寫功能之前建立的虛擬保存庫,無法跨區域複寫。如果您在另一個區域中擁有需要複寫的保存庫,且該保存庫不支援複寫,請建立新的保存庫和新金鑰。不過,所有專用保存庫都支援跨區域複寫。如需詳細資訊,請參閱 Virtual vault 跨區域複寫。在 Vault 服務中使用自備金鑰 (BYOK)
適用於:
僅限 Oracle Public Cloud
使用 OCI Vault 服務建立客戶管理的金鑰時,您也可以匯入自己的金鑰資料 (自備金鑰或 BYOK),而不是讓保存庫服務在內部產生金鑰資料。
- 依照 Oracle Cloud Infrastructure 文件中建立新保存庫的指示,在保存庫服務中建立保存庫。遵循這些指示時,Oracle 建議您在專為包含客戶管理金鑰之保存庫而建立的區間中建立保存庫,如區間階層最佳做法中所述。
建立保存庫之後,您可以依照 Oracle Cloud Infrastructure 文件中建立新主要加密金鑰的指示,在保存庫中至少建立一個主要加密金鑰。您也可以將客戶加密金鑰匯入現有保存庫。請依照下列指示進行選擇:
- 在區間中建立:Oracle 建議您在與其保存庫相同的區間中建立主要加密金鑰;亦即,專為包含客戶管理金鑰之保存庫而建立的區間。
- 保護模式:從下拉式清單中選擇適當的值:
- HSM 可建立在硬體安全模組 (HSM) 上儲存和處理的主要加密金鑰。
- 軟體:建立儲存在 Vault 服務中軟體檔案系統的主要加密金鑰。使用 HSM 型根金鑰時,會保護軟體保護金鑰。您可以將軟體金鑰匯出至其他金鑰管理裝置,或匯出至不同的 OCI 雲端區域。與 HSM 金鑰不同,軟體保護的金鑰不需付費。
- 金鑰型態演算法:AES
- 金鑰型態長度:256 位元
- 匯入外部金鑰:若要使用客戶加密金鑰 (BYOK),請選取匯入外部金鑰,並提供下列詳細資訊:
- 包裝金鑰資訊。此區段為唯讀,但您可以檢視公用包裝金鑰詳細資訊。
- 包裝演算法。從下拉式清單中選取包裝演算法。
- 外部金鑰資料來源。上傳包含包裝 RSA 金鑰材料的檔案。
附註:
您可以將金鑰資料匯入為新的外部金鑰版本,或按一下現有主要加密金鑰的名稱,然後將其輪換成新的金鑰版本。如需詳細資訊,請參考將金鑰資料匯入為外部金鑰版本。
- 使用網路服務對 VCN (虛擬雲端網路) 和 Autonomous Database 資源所在的子網路建立服務閘道、路由規則及傳出安全規則。
- 您可以使用 IAM 服務建立動態群組來識別您的 Autonomous Database 資源,以及授予該動態群組存取您建立之主要加密金鑰的原則敘述句。
使用上述步驟設定客戶管理的 BYOK 之後,您就可以從 Autonomous Container Database 或 Autonomous Database 的詳細資訊頁面輪換現有的加密金鑰來使用它。請參閱循環自治式容器資料庫的加密金鑰以瞭解詳細資訊。
使用 OCI 外部金鑰管理服務 (OCI EKMS) 的外部金鑰
適用於: 僅限 Oracle Public Cloud
使用 OCI EKMS 的外部金鑰之前,您必須執行建立保存庫的準備組態工作數目,然後讓該保存庫及其金鑰可供 Autonomous Database 使用。
- 您可以建立和管理保存 OCI EKMS 中金鑰參照的保存庫。您可以使用 OCI EKMS 中的金鑰,搭配部署在 Oracle Public Cloud 上的 Autonomous Database on Dedicated Exadata Infrastructure 。請參閱在 OCI EKMS 中建立保存庫以瞭解詳細資訊。請依照下列指示進行選擇:
- 在區間中建立:選取 OCI EKMS 保存庫的區間。
- IDCS 帳戶名稱 URL :輸入用來存取 KMS 服務的認證 URL。主控台會重新導向至登入畫面。
- 金鑰管理廠商:選取部署金鑰管理服務的第三方廠商。目前,OCI KMS 僅支援 Thales 作為外部金鑰管理供應商。
- 從屬端應用程式 ID :輸入您在 Oracle 識別網域中註冊機密從屬端應用程式時所產生的 OCI KMS 從屬端 ID。
- 從屬端應用程式加密密碼:輸入在 Oracle 識別網域中註冊之機密從屬端應用程式的加密密碼 ID。
- 區間中的專用端點:選取外部金鑰管理的專用端點 GUID。
- External Vault URL :輸入您在外部金鑰管理中建立保存庫時所產生的保存庫 URL。
- 使用網路服務對 VCN (虛擬雲端網路) 和 Autonomous Database 資源所在的子網路建立服務閘道、路由規則及傳出安全規則。
- 您可以使用 IAM 服務建立動態群組來識別您的 Autonomous Database 資源,以及授予該動態群組存取您建立之主要加密金鑰的原則敘述句。
建立服務閘道、路由規則以及傳出安全規則
Oracle Cloud Infrastructure (OCI) Service Gateway 透過單一閘道,從虛擬雲端網路 (VCN) 內部或內部部署網路,以私密方式安全地存取多個 Oracle Cloud 服務,而無需周遊網際網路。
在您的 Autonomous Database 資源所在的 VCN (虛擬雲端網路) 中建立服務閘道,請依照 Oracle Cloud Infrastructure 文件中的工作 1:建立服務閘道指示進行。
- 移至子網路的子網路詳細資訊頁面。
- 在子網路資訊頁籤中,按一下子網路的路由表名稱,以顯示其路由表詳細資訊頁面。
- 在現有路由規則的表格中,檢查是否已有具有下列特性的規則:
- 目的地:Oracle Services Network 中的所有 IAD 服務
- 目標類型:服務閘道
- 目標:剛在 VCN 中建立之服務閘道的名稱
如果沒有這類規則,請按一下新增路由規則,然後新增具有這些特性的路由規則。
- 返回子網路的子網路詳細資訊頁面。
- 在子網路的安全清單表格中,按一下子網路安全清單的名稱,以顯示其安全清單詳細資訊頁面。
- 在側邊功能表的資源下,按一下傳出規則。
- 在現有傳出規則的表格中,檢查是否已有具有下列特性的規則:
- 無狀態:否
- 目的地:Oracle Services Network 中的所有 IAD 服務
- IP 協定:TCP
- 來源連接埠範圍:全部
- 目的地連接埠範圍: 443
如果該規則不存在,請按一下新增輸出規則,然後新增具有這些特性的輸出規則。
建立動態群組和原則敘述句
若要授予 Autonomous Database 資源權限以存取客戶管理的金鑰,請建立可識別這些資源的 IAM 動態群組,然後建立 IAM 原則,授予此動態群組存取您在 Vault 服務中建立的主要加密金鑰。
- 複製包含您 Exadata 基礎架構資源之區間的 OCID。您可以在區間的區間詳細資訊頁面中找到此 OCID。
- 依照 Oracle Cloud Infrastructure 文件中建立動態群組的指示,建立動態群組。請依照下列指示輸入此格式的比對規則:
ALL {resource.compartment.id ='<compartment-ocid>'}其中
<compartment-ocid>是包含自治式 Exadata VM 叢集資源之區間的 OCID。
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>其中 <dynamic-group> 是您建立的動態群組名稱,而 <vaults-and-keys-compartment> 是您建立保存庫和主要加密金鑰所在區間的名稱。
在 Oracle Key Vault 中使用客戶管理的金鑰
Oracle Key Vault (OKV) 是完整堆疊、強化安全的軟體設備,可集中管理企業內的金鑰與安全物件。您可以將內部部署 OKV 部署與 Oracle Autonomous Database 整合,以建立及管理自己的主要金鑰。
若要使用儲存在 OKV 中的客戶管理金鑰,您必須執行 Prepare to Use Oracle Key Vault 中所述的許多準備組態工作。
在 OKV 中設定客戶管理的金鑰之後,您可以在佈建自治式容器資料庫 (ACD) 時進行設定,或是從 ACD 或 Autonomous Database 的「詳細資訊」頁面輪換現有的加密金鑰。在此 ACD 中佈建的自治式資料庫將會自動繼承這些加密金鑰。請參閱建立自治式容器資料庫或輪換自治式容器資料庫的加密金鑰以瞭解詳細資訊。
若要啟用跨區域自治式資料保全,請確定已在金鑰存放區中新增 OKV 叢集的連線 IP 位址。