Documentación de Oracle Cloud Infrastructure

Gestión de claves de cifrado maestras en Azure Key Vault

Autonomous AI Database soporta claves de cifrado de datos transparente (TDE) gestionadas por el cliente que residen en Azure Key Vault.

Tema principal: Gestión de claves de cifrado en una base de datos de IA autónoma

Requisitos para utilizar claves de cifrado gestionadas por el cliente en Azure Key Vault

Describe los pasos necesarios para utilizar claves de cifrado maestras gestionadas por el cliente en la base de datos de IA autónoma que reside en Azure Key Vault.

Limitaciones:
  • Azure Key Vault solo está soportado en regiones comerciales.
  • Azure Key Vault no está soportado en bases de datos en espera de Autonomous Data Guard entre regiones.

  • Las unidades y los tamaños de clave soportados son los siguientes:

    • RSA 2048, 3072 y 4096
    • EC-P256, EC-P256K, EC-P384, EC-P521

Siga estos pasos:

  1. Cree una instancia de base de datos de IA autónoma que utilice el valor de clave de cifrado por defecto de Cifrar mediante una clave gestionada por Oracle. Consulte Aprovisionamiento de una instancia de base de datos de IA autónoma para obtener más información.
    Nota

    La configuración de clave de cifrado para las claves gestionadas por el cliente en Azure Key Vault no está disponible durante el proceso de creación. Las opciones están disponibles tras el aprovisionamiento, al editar la instancia.
  2. Cree un almacén de claves de Azure con una clave maestra de cifrado de datos transparente (TDE).

    Consulte Acerca de Azure Key Vault para obtener más información.

  3. Active la autenticación del principal de servicio de Azure con el directorio de Azure tenant_id para permitir que su instancia de Autonomous AI Database acceda a Azure Key Vault.
    1. Obtenga su ID de inquilino de Microsoft Azure Active Directory.
    2. Conéctese a la instancia como ADMIN.
    3. Active el principal de servicio de Azure con DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. El valor de azure_tenantid es el ID de directorio de Azure que ha obtenido en el paso anterior.
      Por ejemplo:
      BEGIN
 DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
         provider => 'AZURE',
         params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
 END;
 /

      Esto permite la autenticación del principal de servicio de Azure y crea una aplicación de Azure para Autonomous AI Database en el portal de Azure. Consulte Activar principal de servicio de Azure para obtener más información.

  4. Proporcione el consentimiento de la aplicación Azure para acceder a los recursos de Azure desde Autonomous AI Database.
    1. En la consulta Autonomous AI Database CLOUD_INTEGRATIONS.

      Por ejemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
azure_tenantid    29...eb
azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      La vista CLOUD_INTEGRATIONS está disponible para el usuario ADMIN o para un usuario con el rol DWROLE.

    2. En un explorador, abra la URL de consentimiento de Azure especificada por el parámetro azure_consent_url.

      Por ejemplo, copie azure_consent_url de los resultados de la consulta e introduzca la URL en el explorador: 

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      Se abre la página Permisos solicitados y muestra una solicitud de consentimiento, similar a la siguiente:

      Descripción de azure_consent.png a continuación
      Descripción de la ilustración azure_consent.png
  5. Obtenga el nombre de la aplicación Azure.
    1. En la consulta Autonomous AI Database CLOUD_INTEGRATIONS.

      Por ejemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;
    2. Copie el valor client_id incluido en consent_url.
      PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
azure_tenantid    29...eb
azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...
    3. Busque en client_id en el portal de Azure. El ID de aplicación se muestra en Microsoft Entra ID.
    4. Copie el ID de la solicitud. Este valor se utiliza en pasos posteriores para permitir que esta aplicación acceda a claves en Azure Key Vault.
  6. Asigne los roles necesarios para que la aplicación Azure acceda a Azure Key Vault.
    1. En el portal de Azure, vaya a las políticas de acceso de Azure Key Vault.

      Se muestra la lista de aplicaciones con acceso a este almacén.

    2. En la página Políticas de acceso, haga clic en + Crear para crear una política de acceso para que la aplicación acceda a este almacén de claves.
    3. Para los permisos de la página Crear una política de acceso, seleccione todos los permisos de clave, incluidos: Operaciones de gestión de claves, Operaciones de criptografía, Operaciones de clave con privilegios y Operaciones de política de rotación, y haga clic en Siguiente.
    4. Para Principal, busque el nombre del aplicativo.
    5. Seleccione el nombre de aplicación mostrado y haga clic en Siguiente.
    6. Para la aplicación (opcional), seleccione Siguiente.
    7. Para revisar y crear, revise los detalles de la política y haga clic en Crear.
    8. En la página de detalles de Azure Key Vault, haga clic en Refrescar y busque el nombre de la aplicación. Se incluye en la lista mostrada de aplicaciones con permiso para acceder a claves en este almacén de claves de Azure.

    Consulte Asignación de una política de acceso de Key Vault para obtener más información.

Uso de claves de cifrado gestionadas por la cliente en Autonomous Database con Azure Key Vault

Muestra los pasos para cifrar su base de datos de IA autónoma mediante claves de cifrado maestras gestionadas por el cliente que residen en Azure Key Vault.

Siga estos pasos:

  1. Realice los pasos necesarios para la clave maestra gestionada por el cliente. Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en Azure Key Vault.
  2. En la página Detalles, en la lista desplegable Más acciones, seleccione Gestionar clave de cifrado.
    Nota

    Si ya está utilizando claves de cifrado de datos transparente (TDE) gestionadas por el cliente almacenadas en Azure Key Vault y desea rotar las claves, siga estos pasos y seleccione una clave diferente (seleccione una clave que sea diferente de la clave maestra TDE seleccionada actualmente).

  3. En la página Gestionar clave de cifrado, seleccione Cifrar mediante una clave gestionada por el cliente.
  4. En la lista desplegable Tipo de clave, seleccione Microsoft Azure.
  5. En el campo URI de almacén, introduzca el URI de almacén de Azure.
    1. En el portal de Azure, vaya a Azure Key Vault.
    2. Seleccione la página Visión general de Azure Key Vault y copie el URI de almacén mostrado.
    3. Introduzca el URI de Azure Vault copiado en el campo URI de almacén de la página de clave de cifrado Gestión de base de datos de IA autónoma.
  6. En el campo Nombre de clave, introduzca el nombre del nombre de clave de Azure.
    1. En el portal de Azure, vaya a Azure Key Vault y seleccione Claves. Se muestra una lista de claves para este almacén.
    2. En la lista de claves mostradas, copie el nombre de clave que desea utilizar.
    3. Introduzca el nombre de clave de Azure copiado en el campo Nombre de clave de la página de clave de cifrado de Autonomous AI Database Manage.
  7. Haga clic en Guardar.

El estado del ciclo de vida cambia a Actualizando. Cuando finaliza la solicitud, el estado del ciclo de vida muestra Disponible.

Una vez finalizada la solicitud, en la consola de Oracle Cloud Infrastructure, la información clave se muestra en la página Información de Autonomous Database, en la cabecera Cifrado. Esta área muestra la clave de cifrado es una clave gestionada por el cliente (Microsoft Azure) y muestra el URI de almacén y el nombre de clave.

Por ejemplo:
Descripción de sec_az_results.png a continuación
Descripción de la ilustración sec_az_results.png

Consulte Notas sobre el uso de claves gestionadas por el cliente con una base de datos de IA autónoma para obtener más información.