Oracle Key Vaultには、アラートの構成、監査の管理、レポートおよびステータスの表示、Oracle Key Vaultシステムの管理といったメンテナンス機能の一般的なセットがあります。
トピック:
アクティビティのステータス検索など、Oracle Key Vaultの一般的なメンテナンス・タスクを実行できます。
システム管理者ロールを持っているユーザーは、監査タスクを除いて、監査マネージャ・ロールを必要とするこれらのタスクの大部分を実行することができます。この章では、一般的なアクションとオブジェクト検索についても説明します。
管理関連のトピックは、第6章「Oracle Key Vaultエンドポイントの管理」および第7章「Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理」を参照してください。
キー・ローテーションやエンドポイント証明書の有効期限などのアクティビティについて、他の管理者に対するアラートを構成できます。
トピック:
システム管理者ロールを付与された管理者は、アラートを構成できます。
Oracle Key Vaultには、キー・ローテーション、エンドポイント証明書とユーザー・パスワードの有効期限、割当てディスク領域の最大容量、バックアップ操作が実行されるまでの時間(単位は日)、およびシステム・バックアップ操作が失敗した場合に通知するかどうかのアラートが用意されています。システム管理者ロールを持っているユーザーはこれらのアラートを構成できますが、オープン・アラートはすべてのユーザーが表示可能です。
Oracle Key Vaultダッシュボードに表示されるアラートは、アラートのタイプによりカスタマイズしたり、有効と無効を切り替えたりできます。
「Oracle Key Vaultステータスのダッシュボードへの表示」を参照してください。
アラートは様々な数値基準によって制限できます。
システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「Reports」タブを選択します。
「Configure Alerts」を選択します。
「Configure Reports」ページが表示されます。
必要に応じて個々のアラートを有効または無効にし、アラート表示のしきい値を設定します。
「Save」をクリックします。
すべてのユーザーは、アクセスできるオブジェクトに関連するオープン・アラートを表示できます。システム管理者ロールを持っているユーザーには、Oracle Key Vaultアプライアンスに関連するアラート(バックアップのステータスに関するものなど)も表示されます。
Oracle Key Vault管理コンソールからオープン・アラートにアクセスするには、「Reports」タブを選択し、続いて「Alerts」を選択します。この表には、未解決のアラートがすべてリストされます。
問題が解決されるとアラートは自動的に削除されますが、明示的に削除することはできません。
Oracle Key Vaultでは、ユーザーがKey Vaultシステムで実行するアクティビティが自動的に監査されます。これらのアクティビティの監査レポートを検索し、必要に応じてKey Vault監査レコードをエクスポートおよび削除できます。
トピック:
Oracle Key Vaultでは、項目、ウォレット、エンドポイント、エンドポイント・グループ、ユーザーおよびユーザー・グループに関するすべての操作が監査されます。これには、これらのエンティティまたはその属性の作成、変更または削除が含まれます。Oracle Key Vaultでは、SNMP資格証明の作成と変更も監査されます。
Oracle Key Vault管理コンソールの「Audit」タブにある「Audit Report」を選択することによって、これらのアクティビティが記載されたレポートが表示されます。アクションに障害が発生した場合、「Result」列にはエラー・コードが表示されます。
監査を明示的に無効にすることはできません。
ユーザーはアクセス権を持っているセキュリティ・オブジェクトに関する監査レポートを検討できますが、監査マネージャはすべてのオブジェクトの監査レコードを確認できます。監査マネージャ・ロールでログインした場合、ある範囲の監査レコード(開始時間と終了時間で指定)を、監査レポートからエクスポートまたは削除できます。
監査マネージャ・ロールを付与されたユーザーのみ、監査レコードをエクスポートまたは削除できます。
他のユーザーは、監査レコードのエクスポートや削除はできません。エクスポート操作を実行するたびに、Oracle Key Vaultは監査レコードを含む.csv
ファイルを作成します。一定範囲の監査レコードをエクスポートしたり、一定範囲の監査レコードを削除したりできます。または、監査スクリーニングで使用するためにこの情報をアーカイブすることもできます。エクスポートした監査レコードを管理コンソールから削除することもできます。一連の監査レコードをエクスポートする場合、.csv
ファイル内の監査レコードのタイムスタンプは、監査レコードをエクスポートした管理コンソールのタイムゾーンで記述されます。
Oracle Key Vault監査レコードをエクスポートまたは削除できます。
監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「Oracle Key Vault管理コンソールへのログイン」を参照してください。
「Reports」タブを選択します。
「Export/Delete」をクリックします。
どの日付までに対してアクションを実行するかを決めます。カレンダ・アイコンをクリックして日付を選択します。
「Export」、「Delete」または「Cancel」をクリックします。
成功または失敗を示すメッセージが表示されます。
Oracle Key Vaultレポートにはすべてのユーザーがアクセスできますが、管理タスクを実行できるのは監査マネージャのみです。
トピック:
Oracle Key Vaultのレポートには、監査証跡用と管理アクティビティ用の2つのタイプがあります。
監査証跡レポート: このレポートは、ユーザーが実行したアクションを示します。操作が発生した時間、それを実行したユーザー、どのような操作か、影響を受けるオブジェクト(たとえば、ユーザー・グループ、単一のセキュリティ・オブジェクトまたは仮想ウォレット)および操作の結果(成功の確認と、失敗した場合のエラー・コード)が含まれます。すべてのユーザーが監査レポートを表示できますが、このレポートの監査レコードをエクスポートおよび削除できるのは、監査マネージャのみです。
管理レポート: このレポートには、ウォレットへのアクセス、鍵の非アクティブ化や失効、エンドポイント証明書の失効、およびユーザー・パスワードの失効日に関する情報が記録されます。鍵管理者と監査マネージャは、管理レポートを表示できます。
Oracle Key Vault管理コンソールからレポートにアクセスするには、「Reports」タブを選択します。
「Reports」ページが表示されます。デフォルトでは、監査証跡レポートが表示されます。
図10-1に、監査証跡レポートのページを示します。
「Management Reports」ページには、鍵、エンドポイント証明書およびユーザー・パスワードの有効期限に関する詳細情報があります。鍵管理者と監査マネージャのみ、管理レポートを表示できます。
管理レポートにアクセスするには、「Reports」タブを選択し、続いて「Management Reports」を選択します。
図10-2に「Management Reports」ページを示します。
「Home」タブのダッシュボードでは、Oracle Key Vaultアプライアンスの現在のステータスを高レベルで表示できます。
「Home」タブはすべてのユーザーに表示されます。これは完全スクロール可能なページで、図10-3および図10-4の2つのスクリーンショットで示し、その後で各種ステータス・ペインについて説明します。
図10-3に、「Home」ページの「Alerts and Managed Content」ペインを示します。
図10-4に、「Home」ページの「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」の各ペインを示します。
図10-4 「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」の各ペイン
Oracle Key Vaultのダッシュボードには、ステータス・ペインのセットがあります。これらのステータス・ペインには、アラート、管理内容、データ間隔、操作、エンドポイント・アクティビティおよびユーザー・アクティビティに関する有益な情報が示されます。
各種ステータス・ペインを確認するには、図10-3および図10-4を参照してください。
各種ステータス・ペインは次のとおりです。
「Alert」ステータス
生成されたすべてのアラートを表示できます。いずれのアラートでも、「Details」列のリンクをクリックすることで、関連する詳細または情報のページを表示できます。
「All Alerts」をクリックして、「Reports」タブの「Alerts」ページに移動します(「オープン・アラートの表示」を参照)。
「Reports」タブでは、アラートの詳細をダッシュボードに表示する方法を構成できます。「Oracle Key Vaultダッシュボードに表示されるアラートの構成」を参照してください。
「Managed Content」ステータス
ダッシュボードの「Managed Content」ペインでは、Oracle Key Vaultで現在格納および管理されているすべてのセキュリティ・オブジェクトに関する集計情報が、表に表示されます。
このステータス・ペインでは、集計情報が、鍵、証明書、不透明オブジェクト、秘密鍵およびTDEマスター・キー、さらに項目の状態(プレアクティブ、アクティブ、非アクティブ化済)など、項目タイプに基づいて分類されます。
「Managed Content」ペインには、「Data Interval」ステータス・ペインに示されているリフレッシュ間隔により設定された、前回リフレッシュ時点での項目タイプと項目状態が表示されます。
「Data Interval」ステータス
このペインには、期間の長さが表示されます。
この期間は、「Last 24 hours」、「Last week」、「Last Month」またはユーザー定義の日付範囲です。ここには、後で説明する「Operations」、「Endpoint Activity」および「User Activity」セクションのリフレッシュ間隔も表示されます。
「Operations」ステータス
「Operations」ペインには、鍵関連の操作(たとえば、位置確認とアクティブ化、エンドポイントの追加、デフォルト・ウォレットの割当て)を棒で表した棒グラフが含まれます。
「Endpoint Activity」ステータス
「Endpoint Activity」ペインには、各エンドポイントで実行された操作の数を追跡する棒グラフが含まれます。
「User Activity」ステータス
「User Activity」ペインには、各ユーザーが実行した操作の数を追跡する3D棒グラフが含まれます。
システム管理者ロールを付与されているユーザーは、アプライアンス設定を構成したり、バックアップまたはリカバリの開始、高可用性、ネットワークおよびサービス設定の構成などの運用タスクを実行したりできます。
トピック:
「The Oracle Key Vault Status」ページにはステータス情報が表示されますが、アクティビティまたは変更は一切できません。
システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「Oracle Key Vault管理コンソールへのログイン」を参照してください。
「System」、「Status」の順に選択します。
ステータス情報は次のとおりです。
バージョン
稼働時間
高可用性ステータス
バックアップ・ステータス
ディスク領域(空きおよび使用済)
「System」タブの下にある「Settings」メニューを使用すると、システム管理者ロールを付与されたユーザーは、Oracle Key Vaultを再起動またはオフにしたり、システムの他の側面を設定したりできます。
トピック:
「Settings」ページには、システム時間、syslog設定、ネットワーク(IPアドレスなど)、DNSサーバー情報、ネットワーク・サービスの場所などの構成が表示されます。
図10-5に「Settings」ページを示します。
各種ペインは次のとおりです。
「System Time」ペイン
「System Time」ペインを使用すると、NTPサーバーを使用して現在の時間との同期を維持するようにOracle Key Vaultを構成できます。NTPサーバーが使用できない場合は、手動で現在の時間を設定できます。手動で時間を設定する場合、プライマリおよびスタンバイのKey Vaultサーバーが同じ時間に設定されていることを確認してください。
Syslog Configuration
「Syslog Configuration」ペインでは、syslogファイルの宛先コンピュータを設定し、そのコンピュータへの送信にTransmission Control Protocol (TCP)接続とUser Datagram Protocol (UDP)接続のどちらが使用されるかを示します。
「Network」ペイン
「Network」ペインでは、Oracle Key Vaultインストールのネットワーク・アドレスを設定します。
「DNS」ペイン
「DNS」ペインを使用して、ホスト名をIPアドレスに変換するDomain Name Service (DNS)で使用されるサーバーを構成します。
「Network Services」ペイン
「Network Services」ペインの設定によって、各サービス(Webアクセス、SSHアクセスおよびSNMPアクセス)が有効である対象が、すべてのクライアント、なし、スペース区切りのリストで指定された特定のIPアドレス、のいずれなのかを制御します。たとえば、特定のIPアドレスにのみWebアクセスが有効化されている場合、そのIPアドレスからのWebブラウザのみがOracle Key Vault管理コンソールにアクセスできます。
注意: コマンドライン・アクセスが必要である場合、短時間のみSSHアクセスを有効化し、診断機能が完了したらすぐにSSHアクセスを無効化することを強くお薦めします。 |
Bashシェルを使用している場合は、SSHアクセスで機能するパッチ・セットまたはセキュリティ修正のダウンロードが必要になることがあります。パッチ・セットまたはセキュリティ修正のダウンロードと有効化の方法は、パッチ・セットのリリース・ノートを参照してください。
SSHアクセスを有効にすると、診断目的のサポート・ユーザーとしてログインできます。
システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「Oracle Key Vault管理コンソールへのログイン」を参照してください。
「Network Services」セクションで、「SSH Access」、「Save」の順にクリックします。
Oracle Key Vaultには、緊急時のシステム・リカバリ機能があります。
この項の内容は次のとおりです。
管理者がOracle Key Vaultにログインできない緊急時、または使用できない管理者のパスワードを変更する必要がある場合は、Oracle Key Vaultのインストールおよび構成の際に作成した特別なリカバリ・パスフレーズを使用できます。
どのユーザーもアクセスできない管理ロールがある場合、リカバリ・パスフレーズを使用すると、ユーザーは「Post-Install Configuration」ページの「System Recovery」ページに移動して、新規や既存のユーザー・アカウントに各ロールを割り当てることができます。
Oracle Key Vault管理コンソールのログイン・ページから、システム・リカバリ手順を実行できます。
ログイン・ページに移動しますが、ログインはしません。
ログイン画面の右下隅で、「System Recovery」リンク(「Oracle Key Vault管理コンソールへのログイン」を参照)をクリックします。
表示されたフィールドにリカバリ・パスフレーズを入力し、[Enter]を押します。
「Post-Install Configuration」ページの「System Recovery」ペインが表示されます。ステップ4の「タスク2: インストール後タスクの実行」参照してください。
「Key Administrator」、「System Administrator」および「Audit Manager」のフィールドに記入して、これらのロールを新規や既存のユーザー・アカウントに割り当てます。
「Save」をクリックします。
リカバリ・パスフレーズを変更する場合は常に、システム管理者ロールを持っているユーザーが新しくバックアップを行うことを強くお薦めします。現在のリカバリ・パスフレーズによって保護されているバックアップのコピーが常にあることは重要です。
ログイン・ページに移動しますが、ログインはしません。
「System Recovery」リンクをクリックします(「Oracle Key Vault管理コンソールへのログイン」を参照)。
表示されたフィールドにリカバリ・パスフレーズを入力し、[Enter]を押します。
「Post-Install Configuration」ページの「System Recovery」ペインが表示されます。
リカバリ・パスフレーズのフィールドに記入します。
「Save」をクリックします。