Gestionar claves de cifrado maestras en Oracle Key Vault

Describe los pasos necesarios para utilizar claves de cifrado maestras gestionadas por el cliente que residen en Oracle Key Vault (OKV) en la base de datos de IA autónoma.

1. Cree un punto final de OKV, una cartera y una clave maestra de TDE.
   1. Inicie sesión en la instancia de OKV.

      • Copie la dirección IP pública o la dirección IP privada en la página de detalles de la instancia de OKV y péguela en un explorador.

      • En la página de conexión de la instancia de OKV, introduzca el nombre de usuario y la contraseña.

   2. Cree y registre un punto final de OKV.
      • Haga clic en Puntos finales en la página de inicio de OKV.
      • Haga clic en Agregar en la página de detalles de puntos finales e introduzca un nombre para el punto final.
      • Permita que todos los demás valores se definan por defecto y haga clic en Registrar.

        Por ejemplo:
        
        Descripción de la ilustración sec_okv_epregister.png
        

        Consulte Adición, Supresión o Reinscripción de Puntos Finales para obtener más información.

   3. Crear una cartera

      La cartera de OKV contiene la clave de cifrado maestra de TDE.

      • En la página de inicio de OKV, vaya a la página Claves y carteras.
      • En Carteras en la página Claves y carteras, haga clic en Crear.
      • Introduzca el nombre de la cartera en el campo Nombre y haga clic en Guardar.

        Por ejemplo:

        
        
        
        Descripción de la ilustración sec_okv_wallet.png
        
        

        Consulte Creación de una Cartera Virtual para obtener más información.

   4. Cree una clave de cifrado maestra de TDE en la cartera.
      • Seleccione Claves y secretos y haga clic en Crear.
      • En Claves de aplicación, seleccione Clave de cifrado maestra de TDE.
      • En Extraíble, seleccione Verdadero.
      • Asegúrese de que la Fecha de desactivación esté vacía.

        Por ejemplo:

        
        
        
        Descripción de la ilustración sec_okv_key.png
        
        
      • En Afiliación de cartera, haga clic en Seleccionar cartera.
      • En la lista mostrada de carteras, seleccione la cartera creada en el paso anterior y haga clic en Cerrar.
      • Haga clic en Crear. La clave de cifrado maestra de TDE se crea y se muestra en Contenido de cartera.
   5. Modifique el punto final para que la cartera creada anteriormente sea la cartera por defecto.
      • Navegue a la página de detalles del punto final.
      • En el panel Cartera predeterminada, seleccione Seleccionar cartera.
      • En la página Seleccionar cartera, seleccione la cartera creada anteriormente y haga clic en Seleccionar.
      • Haga clic en Guardar.
   6. Active los servicios Restful.
      Nota
      
      Los servicios Restful deben estar activados en la instancia de OKV para ejecutar correctamente el comando curl, en un paso posterior, para descargar la cartera.

      • En la página de inicio de OKV, seleccione el separador Sistema.
      • En el panel de navegación de la izquierda, haga clic en Configuración.
      • En Configuración del sistema, seleccione Servicios recomendados.
      • Haga clic en Todo y, a continuación, en Guardar.
2. Aprovisione una instancia de base de datos de IA autónoma con la siguiente configuración necesaria:
   1. Para Seleccionar acceso de red, seleccione Solo acceso de punto final privado.
   2. En Red virtual en la nube, seleccione la VCN en la que se está ejecutando esta instancia de base de datos.
   3. En Subred, seleccione la subred privada en la que se ejecuta esta instancia de base de datos.
   4. En Grupos de seguridad de red (NSG), seleccione el grupo de seguridad.
   5. Para la configuración de Clave de cifrado, establezca el valor por defecto en Cifrado mediante una clave gestionada por Oracle. Esta configuración se cambia a claves gestionadas por el cliente en OKV, una vez que se completan estos pasos de requisitos. Las claves gestionadas por el cliente se desactivan durante el aprovisionamiento de instancias. Consulte Uso de claves de cifrado gestionadas por el cliente en una base de datos de IA autónoma con Oracle Key Vault para obtener más información.
3. Conéctese a la instancia de la base de datos de IA autónoma y cree un directorio para la cartera de OKV.
   1. Conéctese a la instancia de base de datos de IA autónoma de punto final privado como usuario ADMIN.
      Por ejemplo, conéctese a la instancia de base de datos OKVDEMO1:

      SQL> connect ADMIN/<password>@OKVDEMO1_low

   2. Cree un objeto de directorio en la instancia de base de datos de IA autónoma.
      Por ejemplo:

      SQL> create directory okv_dir as 'okvdir';

   3. Compruebe que se ha creado el directorio.
      Por ejemplo, las siguientes sentencias crean el objeto de directorio OKV_DIR y los resultados de la sentencia muestran el nombre del directorio (OKV_DIR) y la ruta de acceso del directorio (/u03/dbfs/<path data>/data/okvdir).

      SQL> connect ADMIN/<admin password>#@OKVDEMO1_low
      Connected
      SQL>
      SQL> create directory okv_dir as 'okvdir';
      Directory created.
      SQL> select * from dba_directories where directory_name = 'OKV_DIR';
      OWNER
      –--------------------------------------------------------------------
      DIRECTORY_NAME
      –--------------------------------------------------------------------
      DIRECTORY_PATH
      –--------------------------------------------------------------------
      ORIGIN_CON_ID
      –------------
      SYS
      OKV_DIR
      /u03/dbfs/<path data>/data/okvdir
      SQL>

4. Descargue la cartera de punto final en el objeto de directorio creado en la instancia de base de datos de IA autónoma. Esta cartera no es la cartera de TDE virtual en OKV que contiene la clave de cifrado maestra de TDE. Esta cartera contiene los certificados necesarios para establecer una conexión mTLS 1.2 entre OKV y la base de datos de IA autónoma.
   1. Descargue la cartera para el punto final desde la instancia de OKV.
      Ejecute el siguiente comando desde una instancia informática que esté en la misma red que OKV:

      curl -k -X POST
       --location https://OKV server:5695/okv/cloud/utility/endpoint/download/sso
       --data "token=Enrollment Token"
       --output cwallet.sso

      Dónde:

      • OKV server es el nombre de dominio completo interno o la dirección IP privada, que se encuentra en la página de detalles de la instancia de OKV.

      • Enrollment Token es el token de inscripción para el punto final que se encuentra en la página Puntos finales.

      Por ejemplo:

      $ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso 
                                 --data "token=H5r8NzqxopYOgkZC" 
                                 --output cwallet.sso
      % Total    % Received % Xferd Average Speed   Time    Time    Time  Current 
               Dload  Upload  Total   Spent    Left  Speed
      100  3697  100  3675  100    22  2157     12  0:00:01  0:00:01 --:--:--  2172 
      
      ls -altr ./cwallet.sso 
      -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso

      Una vez descargada la cartera, el punto final de la instancia de OKV cambia de REGISTRADO a INFORMADO.

   2. Cargue la cartera en Object Storage.

      Cargue el archivo de cartera de la máquina local en el cubo de Object Storage mediante Upload Object. Consulte Carga de un objeto en un cubo para obtener más información.

   3. En Object Storage, genere una URL de solicitud autenticada previamente (PAR) para el archivo de cartera cargado. Consulte Creación de una solicitud autenticada previamente en Object Storage para obtener más información.
   4. Desde la máquina virtual, conéctese a la instancia de base de datos como usuario ADMIN.
   5. En la instancia de base de datos, ejecute el procedimiento DBMS_CLOUD.GET_OBJECT para descargar la cartera de Object Storage en el directorio de cartera de la instancia de base de datos.
      Por ejemplo:

      BEGIN
          DBMS_CLOUD.GET_OBJECT(
              object_uri => '<PAR URL>',
              directory_name => '<wallet_dir>');
      END;
      /

      • Dónde:

        • object_uri es la URL de PAR generada para el archivo de cartera en Object Storage.
        • directory_name es el nombre del directorio de cartera creado en la instancia de base de datos.

        Consulte GET_OBJECT Procedimiento y función para obtener más información.

   6. Suprima la cartera de Object Storage.

Muestra los pasos para cifrar su base de datos de IA autónoma mediante claves de cifrado maestras gestionadas por el cliente que residen en Oracle Key Vault (OKV).

1. Realice los pasos necesarios para la clave de cifrado gestionada por el cliente según sea necesario. Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en Oracle Key Vault para obtener más información.
2. En la página Detalles de la instancia de base de datos de IA autónoma, haga clic en Más acciones y seleccione Gestionar clave de cifrado.

   
   
   Descripción de la ilustración sec_okv_manage.png
   

   Nota
   
   

   Si ya está utilizando claves gestionadas por el cliente en OKV y desea rotar las claves de TDE, siga estos pasos y seleccione una clave diferente (seleccione una clave que sea diferente de la clave de cifrado maestra seleccionada actualmente). Sin embargo, no puede utilizar una clave de OKV que se haya utilizado anteriormente en la misma instancia de base de datos de IA autónoma.

3. En la página Gestionar clave de cifrado, seleccione Cifrar mediante una clave gestionada por el cliente.
4. En la lista desplegable Tipo de clave, seleccione Oracle Key Vault (OKV).

   El cuadro de diálogo Gestionar clave de cifrado muestra las opciones de Oracle Key Vault (OKV).
   
   Descripción de la ilustración sec_okv.png
   

5. Introduzca la siguiente información:

   • UUID de OKV: introduzca el identificador único de la clave maestra de TDE para la clave ubicada en la instancia de OKV.

     Para encontrar este valor:

     1. Conéctese a la instancia de OKV y seleccione Claves y carteras.

     2. Haga clic en el nombre de la cartera por defecto para el punto final de la base de datos de IA autónoma.

     3. Desplácese hasta Contenido de cartera y copie el Identificador único de la columna Detalles.

        Por ejemplo:

        BC63511B-4B4A-411C-A71C-4AA90005F632
        OKV Server URI: ok
        Certificate DN:

        Haga clic en el nombre del punto final y, a continuación, haga clic en el Descargar (formato PEM) verde; esto descarga "CA.pem" en su equipo.

        Extraiga el DN del certificado con un comando como:

        $ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'

        Por ejemplo:

        CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us

     4. Haga clic en el nombre de la cartera por defecto para el punto final de la base de datos de IA autónoma.

     5. Desplácese hasta Acceso al contenido de la cartera y copie el identificador único.

        .

        
        
        Descripción de la ilustración sec_okv_uuid.png
        

     6. Pegue el identificador único en el campo UUID de OKV.

   • URI del servidor de OKV: introduzca el nombre de dominio completo interno o la IP privada que se encuentra en la página de detalles de la instancia de OKV.

     Por ejemplo, si utiliza una máquina virtual de OCI para alojar OKV, este valor se puede encontrar en la página de detalles de la instancia de OKV en VNIC principal:

     
     
     Descripción de la ilustración sec_okv_fqdn.png
     

   • DN de certificado: introduzca el nombre distintivo (DN) del certificado.
   • ID de certificado (Opcional): introduzca el ID de certificado o deje el campo en blanco.
     Nota
     
     Este campo es opcional si se utilizan las versiones 21.9 y posteriores de OKV. Si utiliza versiones de OKV inferiores a 21.9, se requiere el ID de certificado.
   • Nombre de directorio: introduzca el nombre del directorio donde se guarda la cartera en la instancia de la base de datos de IA autónoma.
6. Haga clic en Guardar.