準備在專用 Exadata 基礎架構上搭配 Autonomous Database 使用 Oracle Key Vault

Oracle Key Vault 是完整堆疊、強化安全的軟體設備,可集中管理企業內的金鑰與安全物件。Oracle Key Vault 是客戶佈建與管理的系統,不屬於 Oracle Cloud Infrastructure 管理的服務。您可以將內部部署 Oracle Key Vault (OKV) 與客戶管理的資料庫雲端服務整合,以保護企業內部部署的重要資料。

相關主題

必備條件

  1. 確定已設定 OKV,且可從 Oracle Public Cloud 用戶端網路存取網路。開啟連接埠 443、5695 與 5696,以在用戶端網路上輸出,進而存取 OKV 伺服器。
  2. 確定已從 OKV 使用者介面啟用 REST 介面。
  3. 建立 「OKV REST 管理員」使用者。您可以使用您選擇的任何合格使用者名稱,例如 "okv_rest_user"。對於 Cloud@CustomerOracle Database Exadata Cloud at Customer 上的 Autonomous Database ,請使用相同或不同的 REST 使用者。這些資料庫可以在相同或不同的內部 OKV 叢集中進行關鍵管理。Oracle Database Exadata Cloud at Customer 需要具備 create endpoint 權限的 REST 使用者。Cloud@Customer 上的 Autonomous Database 需要具備 create endpointcreate endpoint group 權限的 REST 使用者。
  4. 收集連線至 OKV 並設定金鑰存放區所需的 OKV 管理員證明資料和 IP 位址。如需相關指引,請參閱建立金鑰存放區
  5. 開啟連接埠 443、5695 與 5696,以在用戶端網路上輸出,進而存取 OKV 伺服器。
  6. Oracle Public Cloud 部署上,如果運算主機位於另一個 VCN 中,則使用 VPN (快速連線或 VPN 即服務) 或任何 VCN 對等互連設定適當的網路路由,以確保 OKV 能夠存取 Autonomous Database。

在 OCI Vault 服務中建立保存庫,並新增保存庫加密密碼以儲存 OKV REST 管理員密碼

每次佈建 Oracle Database 以註冊 Oracle Database 並在 OKV 上要求公事包時,您的專用 Exadata 基礎架構部署會透過 REST 與 OKV 進行通訊。因此,Exadata 基礎架構需要存取 REST 管理證明資料,才能向 OKV 伺服器註冊。這些證明資料會以加密密碼安全地儲存在 OCI 的 Oracle Vault Service 中,並且只有在需要時,才能由您的專用 Exadata 基礎架構部署存取。如有需要,證明資料會儲存在受密碼保護的公事包檔案中。

建立動態群組和原則敘述句,以存取 OCI 保存庫中的加密密碼

若要授予您的金鑰存放區資源權限,以存取 OCI 保存庫中的加密密碼,請建立一個識別這些資源的 IAM 動態群組,然後建立一個 IAM 原則,將此動態群組存取權授予您在 OCI 保存庫和加密密碼中建立的加密密碼。

定義動態群組時,請指定包含金鑰存放區之區間的 OCID,以識別您的金鑰存放區資源。

  • 複製包含您金鑰存放區資源之區間的 OCID。您可以在區間的區間詳細資訊頁面中找到此 OCID。
  • 依照 Oracle Cloud Infrastructure 文件管理動態群組的指示,建立動態群組。請依照下列指示輸入此格式的比對規則:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    其中 <compartment-ocid> 是包含您金鑰存放區資源之區間的 OCID。

建立動態群組之後,瀏覽至 (或建立) 區間階層中較高之區間的 IAM 原則,而非包含保存庫和加密密碼的區間。然後,新增此格式的原則敘述句:

allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>

其中 <dynamic-group> 是您建立的動態群組名稱,而 <vaults-and-secrets-compartment> 是您建立保存庫和加密密碼的區間名稱。

建立資料庫服務原則敘述句,以使用 OCI 保存庫服務的加密密碼

若要授予 Autonomous Database 服務權限,以使用 OCI 保存庫中的加密密碼登入 OKV REST 介面,請在您的區間階層中瀏覽 (或建立) 區間中高於包含 OCI 保存庫和加密密碼之區間的 IAM 原則。然後,新增此格式的原則敘述句: 

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

其中 <vaults-and-secrets-compartment> 是您建立 OCI 保存庫和加密密碼的區間名稱。

OCI 保存庫設定完成且 IAM 組態設定完成後,您現在就可以在 OCI 中部署 Oracle Key Vault 的金鑰存放區,並將其與您的專用 Exadata VM 叢集關聯。