Documentación de Oracle Cloud Infrastructure

Requisitos para el cifrado personalizado

Antes de configurar el cifrado personalizado para la instancia de Oracle Analytics Cloud, debe configurar un almacén con una o más claves de cifrado maestras y asegurarse de que tiene todos los permisos necesarios.

  1. Verifique que el despliegue de Oracle Analytics Cloud incluya Enterprise Edition.

    El cifrado personalizado no está disponible en las instancias de Oracle Analytics Cloud desplegadas con Professional Edition. La información de la edición se muestra en la página Detalles de instancia. Consulte Verificación del servicio.

  2. Familiarícese con el servicio Almacén de Oracle Cloud Infrastructure y asegúrese de que tiene permisos para gestionar almacenes, claves de cifrado y secretos. Consulte Visión general de almacén y Permitir que los administradores de seguridad gestionen almacenes, claves y secretos.
  3. Configure un almacén. Consulte Para crear un almacén nuevo.
  4. Agregue una o más claves de cifrado personalizadas. Consulte Para crear una nueva clave de cifrado maestra.
  5. Compruebe que tiene permisos para gestionar la instancia de Oracle Analytics Cloud y asignar claves de cifrado.
    En concreto, debe pertenecer al grupo al que se le han otorgado permisos para:
    • Cree instancias de Oracle Analytics Cloud.
    • Examine los almacenes y las claves para activar la selección de claves.
    • Asigne una clave a una instancia de Oracle Analytics Cloud. Esto es necesario además del permiso para examinar claves. La capacidad de asignar claves a recursos en Oracle Cloud Infrastructure requiere un permiso adicional independiente.

    Por ejemplo, otorgue los siguientes permisos a un usuario del grupo OACAdmins. Donde <OAC-compartment-name> es el compartimento en el que reside la instancia de Analytics. <KEY-compartment-name> es el compartimento en el que reside la clave.

    # Allow users in the Oracle Analytics Cloud Admins group (OACAdmins) to manage Analytics instances located in <OAC-compartment-name>. For example, MyOACCompartment.

    allow group OACAdmins to manage analytics-instances in compartment <OAC-compartment-name>

    # Allow users in the Oracle Analytics Cloud Admins group (OACAdmins) to browse and select vaults and keys located in <KEY-compartment-name>. For example, MyKeyCompartment.

    allow group OACAdmins to read vaults in compartment <KEY-compartment-name>

    allow group OACAdmins to read keys in compartment <KEY-compartment-name>

    # Allow users in the Oracle Analytics Cloud Admins group (OACAdmins) to assign encryption key MyKey1 located in <KEY-compartment-name>. For example, MyKeyCompartment.

    allow group OACAdmins to use key-delegate in compartment <KEY-compartment-name> where target.key.id = '<MyKey1_ocid>'

    # Allow Analytics instances located in MyOACCompartment to encrypt/decrypt with MyKey1 located in MyKeyCompartment

    allow any-user to use keys in compartment MyKeyCompartment where all { request.principal.type='analyticsinstance', request.principal.compartment.id='<MyOACCompartment_ocid>', target.key.id='<MyKey1_ocid>'}

    # Allow the Object Storage service to encrypt and decrypt Oracle Analytics Cloud private buckets with MyKey1 located in MyKeyCompartment (add one statement for each subscribed region)

    allow service objectstorage-<region_name> to use keys in compartment MyKeyCompartment where target.key.id = '<MyKey1_ocid>'