PDBに対するマスター暗号化鍵の作成および有効化

作成するすべてのPDBに対して、マスター暗号化鍵を作成して有効化する必要があります。

新しいPDBを作成した後、または新しいPDBにプラグインした後、そのPDBに対してマスター暗号化鍵を作成し、有効化する必要があります。マルチテナント環境では、各PDBに、すべてのコンテナによって使用される単一キーストアに格納される独自のマスター暗号化鍵があります。

PDBに対して暗号化鍵を作成および有効化する必要があるかどうかを判断するには、次の手順を実行します。

コンテナをPDBに設定します。
```
ALTER SESSION SET CONTAINER = pdb;
```
V$ENCRYPTION_WALLETを次のように問い合せます。
```
SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;
```
STATUS列にOPEN_NO_MASTER_KEYの値が含まれている場合、マスター暗号化鍵を作成して有効化する必要があります。

PDBのマスター暗号化鍵を作成および有効化するには、次の手順を実行します。

ルート・コンテナで、V$ENCRYPTION_WALLETを問い合せてWALLET_TYPE列の現在の値を書き留めます。
```
SELECT wallet_type FROM v$encryption_wallet;
```
キーストアを閉じます。キストーアを閉じる方法は、前の手順で確認した現在のウォレット・タイプに応じて変わります。
- 現在のウォレット・タイプがAUTOLOGINの場合、次のコマンドを使用します。
```
ADMINISTER KEY MANAGEMENT SET KEYSTORE close;
```
- 現在のウォレット・タイプがPASSWORDの場合、次のコマンドを使用します。
```
ADMINISTER KEY MANAGEMENT SET KEYSTORE close IDENTIFIED BY keystore-password;
```
次のコマンドを実行してキーストアを再度開きます:
```
ADMINISTER KEY MANAGEMENT SET KEYSTORE open IDENTIFIED BY keystore-password CONTAINER=all;
```
CONTAINER=allを指定すると、ルートおよびすべてのPDBのキーストアが開きます。リリース12.2または12.1については、「Oracle Database SQL言語リファレンス」の「管理者の鍵管理」を参照してください。

コマンドがORA-28354エラーを生成する場合は、「12cのTDE財布の問題: 自動ログイン・ウォレットが存在する場合、Set Key操作を実行できません。」を参照してください。
コンテナをPDBに設定します。
```
ALTER SESSION SET CONTAINER = pdb;
```
次のコマンドを実行して、PDBのマスター暗号化鍵を作成および有効化します。
```
ADMINISTER KEY MANAGEMENT SET KEY USING TAG 'tag' IDENTIFIED BY keystore-password WITH BACKUP USING 'backup_identifier';
```
オプションのUSING TAG句を使用して、タグを新しいマスター暗号化鍵に関連付けることができます。 WITH BACKUP句を指定し、オプションでUSING 'backup_identifier'句を指定して、新しいマスター暗号化鍵を作成する前にキーストアのバックアップを作成します。リリース12.2または12.1については、「Oracle Database SQL言語リファレンス」の「管理者の鍵管理」を参照してください。

コマンドがORA-28354エラーを生成する場合は、「12cのTDE財布の問題: 自動ログイン・ウォレットが存在する場合、Set Key操作を実行できません。」を参照してください。
V$ENCRYPTION_WALLETを再び問い合せて、STATUS列がOPENに設定されていることを確認します。
```
SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;
```