プライマリ・コンテンツに移動
Oracle® Key Vault管理者ガイド
リリース12.2 BP11
E76998-09
目次へ移動
目次
索引へ移動
索引

前
次

6 Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

Oracle Key Vaultに用意された仮想ウォレットのメカニズムを使用すると、セキュリティ・オブジェクトをアップロードおよび格納し、組織での機能に適したアクセス・レベルで、信頼できるピアと共有できます。

6.1 仮想ウォレットについて

仮想ウォレットは、TDE、Oracle Wallet、Javaキーストア、証明書および資格証明ファイルを含む、公開および秘密暗号化鍵などのセキュリティ・オブジェクトのコンテナです。

6.1.1 仮想ウォレットの仕組み

Oracle Key Vaultには、暗号化データへのアクセスに必要なセキュリティ・オブジェクトをグループ化して複数のユーザーと共有するために、仮想ウォレットのメカニズムが用意されています。

すべてユーザーが仮想ウォレットを作成できます。仮想ウォレットを作成したら、その仮想ウォレットにキーおよびその他のセキュリティ・オブジェクトを追加できます。さらに、他のユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループに対して、仮想ウォレットへの様々なレベルのアクセス権を付与できます。仮想ウォレットは、いつでも変更できます。ウォレットの内容、アクセス権が必要なユーザーおよびユーザーのアクセス・レベルは、そのときのニーズに応じて変更できます。

キー管理者を除き、仮想ウォレットへのアクセス権は、すべてのユーザーに明示的に付与する必要があります。ウォレットにオブジェクトを追加および削除したり、他のユーザーおよびグループに対してウォレットのアクセス権を付与および変更するには、ウォレットの読取り、変更および管理権限が必要です。

6.1.2 仮想ウォレットの作成

仮想ウォレットを作成して、同時にセキュリティ・オブジェクトを追加できます。ただし、空の仮想ウォレットを作成して、後でセキュリティ・オブジェクトを追加することもできます。仮想ウォレットのアクセス権のマッピングはいつでも変更できます。

仮想ウォレットを作成してセキュリティ・オブジェクトを追加する手順:

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択します。

    「Wallets」ページが表示されます。

  3. 「Create」をクリックします。

    「Create Wallet」ページが表示されます。

    図6-1 ウォレットの作成


    図6-1の説明が続きます
    「図6-1 ウォレットの作成」の説明
  4. 「Name」にウォレットの名前を入力して、「Description」に識別するための説明を入力します。

    仮想ウォレット名では大文字と小文字が区別されます。たとえば、wallet1Wallet1は、2つの異なるウォレットです。ウォレットを簡単に識別できるように、わかりやすい説明を追加することをお薦めします。

  5. 「Add Wallet Contents」ペインで、ウォレットに追加する、リストに表示されたセキュリティ・オブジェクトの名前の横にあるボックスを選択します。

    「Add Wallet Contents」ペインに、「Read and Modify」アクセス権を持っているセキュリティ・オブジェクトがリストされます。リストが空の場合は、Key Vaultのセキュリティ・オブジェクトへのアクセス権を持っていないことを意味します。この場合、セキュリティ・オブジェクトをKey Vaultにアップロードした後に、ウォレットに追加します。

  6. 「Save」をクリックして、追加したセキュリティ・オブジェクトが含まれた新しいウォレットを作成します。

    「Wallet created successfully」メッセージが表示されます。「Wallets」ページが表示され、リストに新しいウォレットが表示されます。

    ウォレットの内容を表示するには、次の図に示すように、ウォレット名をクリックします。

    図6-2 新規ウォレットの作成


    図6-2の説明が続きます
    「図6-2 新規ウォレットの作成」の説明

6.1.3 仮想ウォレットへのセキュリティ・オブジェクトの追加

必要に応じて、いつでも仮想ウォレットに新しいセキュリティ・オブジェクトを追加できます。

ウォレットに項目を追加する手順:

  1. 仮想ウォレットに対する「Manage Wallet」アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択します。

    「Wallets」ページが表示されます。

  3. 「Wallets」ページから、使用するウォレットに対応する「Details」列の鉛筆アイコンをクリックします。

    「Wallet Overview」ページが表示されます。「Wallet Contents」ペインに、すでにウォレットにあるセキュリティ・オブジェクトがリストされます。

  4. 「Add Items」をクリックします。「Add Wallet Contents」ページが表示されます。
  5. ウォレットに追加するセキュリティ・オブジェクトの横にあるボックスを選択します。
  6. 「Save」をクリックします。

    確認メッセージが表示されます。

    「Wallet Overview」ページが表示され、「Wallet Contents」に追加された新しいセキュリティ・オブジェクトがリストされます。

6.1.4 仮想ウォレットからのセキュリティ・オブジェクトの削除

必要に応じて、いつでも仮想ウォレットからセキュリティ・オブジェクトを削除できます。

ウォレットからセキュリティ・オブジェクトを削除する手順:

  1. 仮想ウォレットに対する「Manage Wallet」アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択します。

    「Wallets」ページが表示されます。

  3. 「Wallets」ページから、使用するウォレットに対応する「Details」列の鉛筆アイコンをクリックします。

    「Wallet Overview」ページが表示されます。「Wallet Contents」ペインに、すでにウォレットにあるセキュリティ・オブジェクトがリストされます。

  4. ウォレットから削除するセキュリティ・オブジェクトの横にあるボックスを選択します。
  5. 「Remove Items」をクリックします。確認メッセージが表示されます。

    「Wallet Overview」ページの「Wallet Contents」ペインに、項目が削除された新しいリストが表示されます。

6.1.5 仮想ウォレットの削除

仮想ウォレットを削除すると、コンテナとしてのウォレットは削除されますが、それに含まれていたセキュリティ・オブジェクトは削除されません。これらのセキュリティ・オブジェクトは、引き続きKey Vault内に残ります。この仮想ウォレットをダウンロードしたエンドポイントは、引き続きローカル・コピーを保持します。

仮想ウォレットを削除する手順:

  1. 仮想ウォレット,に対するウォレット管理権限を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択します。

    「Wallets」ページが表示されます。

  3. 「Wallets」表から削除するウォレットの名前の横にあるボックスを選択します。同時に複数の仮想ウォレットを削除できます。
  4. 「Delete」をクリックします。
  5. 「OK」をクリックして確定します。
  6. 「Keys and Wallets」タブを選択して、「Wallets」ページの更新されたウォレットのリストを確認します。

6.2 「Keys & Wallets」メニューからの仮想ウォレットへのアクセス権の管理

アクセス制御は、仮想ウォレットおよびセキュリティ・オブジェクトを共有する必要があるユーザーおよびエンドポイントの決定と、それらの仮想ウォレットで実行できる操作の決定に関係します。

6.2.1 「Keys & Wallets」メニューからの仮想ウォレットへのアクセスの仕組み

ユーザー、エンドポイントおよびそれぞれのグループのアクセス制御を管理するには、仮想ウォレットへのアクセス権があるか、キー管理者である必要があります。

Oracle Key Vaultには、ユーザー、エンドポイントおよびそれぞれのグループの仮想ウォレットのアクセス制御を管理する2つの方法が用意されています。

  • 「Keys & Wallets」メニューからの場合、ウォレットを選択し、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループにウォレットへのアクセス権を付与します。

  • 「Users」または「Endpoints」メニューからの場合、ユーザー、ユーザー・グループ、エンドポイントまたはエンドポイント・グループを選択し、それらのエンティティのいずれかにウォレットへのアクセス権を付与します。

この項では、「Keys & Wallets」メニューからの、ユーザーおよびユーザー・グループに対する仮想ウォレットへのアクセス権の管理に焦点を当てています。

6.2.2 エンドポイント・グループ、エンドポイント、ユーザー・グループおよびユーザーへのアクセス権の付与

仮想ウォレットを選択して、エンドポイント・グループ、エンドポイント、ユーザー・グループ、ユーザーに、ウォレットに対する「Read Only」「Read and Modify」および「Manage Wallet」アクセス・レベルを付与できます。ウォレットへのアクセス権を持つことで、そのウォレットのすべてのセキュリティ・オブジェクトへのアクセス権を持つようになります。

仮想ウォレットへのアクセス権を付与する手順:

  1. 仮想ウォレットに対する「Manage Wallet」アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択します。

    「Wallets」ページが表示されます。

  3. アクセス権を付与するウォレットに対応する「Details」列の鉛筆アイコンをクリックします。

    「Wallet Overview」ページが表示されます。

  4. 「Wallet Access Settings」ペインで、「Add」をクリックします。

    「Add Access to Wallet」ページが表示されます。

    図6-3 ウォレットへのアクセス権の追加

    図6-3の説明が続きます
    「図6-3 ウォレットへのアクセス権の追加」の説明
  5. 「Type」の横にある「Select Endpoint/User Group」ドロップ・ダウン・リストから、アクセス権を付与するエンティティ・タイプを選択します。

    「Type」の可能な値は、「Endpoint Groups」「Endpoints」「User Groups」および「Users」です。

    選択したタイプによって、表示されるリストが決定されます。たとえば、「Type」として「Endpoint Groups」を選択すると、Key Vaultエンドポイント・グループのリストが「Endpoint Groups」の見出しの下に表示されます。「Users」を選択すると、Key Vaultユーザーのリストが「Users」の見出しの下に表示されます。

  6. アクセス権を付与するエンティティに対応する「Name」表で、ラジオ・ボタンを選択します。
  7. 「Select Access Level」ペインで、「Read Only」または「Read and Modify」のいずれかを選択します。
  8. 必要に応じて、「Manage Wallet」のボックスを選択します。
  9. 「Save」をクリックします。

    「Access mapping successfully added」というメッセージが表示されます。

    「Wallet Access Settings」ペインに新しいエンティティが表示されます。

6.2.3 エンドポイント・グループ、エンドポイント、ユーザー・グループおよびユーザーへのアクセス権の変更

次のように、エンドポイント・グループ、エンドポイント、ユーザー・グループおよびユーザーの仮想ウォレットに対するアクセス設定を変更できます。

  1. 仮想ウォレットに対するウォレット管理権限を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを変更して、左のサイドバーから「Wallets」を選択します。「Wallets」ページが表示されます。
  3. ウォレット名に対応する「Details」列の鉛筆アイコンをクリックします。

    「Wallet Overview」ページが表示され、「Wallet Access Settings」にウォレットへのアクセス権を持っているエンティティとそのアクセス・レベルがリストされます。

  4. 「Wallet Access Settings」で、「Subject Name」の下にあるエンティティに対応する鉛筆アイコンをクリックします。

    「Modify Access」ウィンドウが表示されます。

    「Wallet Access Settings」には、「Subject Name」の下のこのウォレットへのアクセス権を持っているすべてのエンティティがリストされ、ユーザー、エンドポイント、ユーザーおよびエンドポイント・グループを含めることができることに注意してください。

  5. 変更するアクセス設定を選択して、「Save」をクリックします。

    「Successfully updated」というメッセージが表示されます。

    「Wallet Overview」ページが表示され、「Wallet Access Settings」にエンティティの新しいアクセス権のマッピングが表示されます。

  6. 「Wallet Overview」ページで「Save」をクリックします。

6.3 ユーザーのメニューからの仮想ウォレットへのアクセス権の管理

Oracle Key Vaultには、ユーザー、エンドポイントおよびそれぞれのグループの仮想ウォレットのアクセス制御を管理する2つの方法が用意されています。

6.3.1 ユーザーのメニューからの仮想ウォレットへのアクセスの仕組み

使用できる2つのメニューは次のとおりです。

  • 「Keys & Wallets」メニューからの場合、ウォレットを選択し、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループにウォレットへのアクセス権を付与します。

  • 「Users」または「Endpoints」メニューからの場合、ユーザー、ユーザー・グループ、エンドポイントまたはエンドポイント・グループを選択し、それらのエンティティのいずれかにウォレットへのアクセス権を付与します。

この項では、「Users」メニューからの、ユーザーおよびユーザー・グループに対する仮想ウォレットへのアクセス権の管理に焦点を当てています。

6.3.2 仮想ウォレットへのユーザー・アクセス権の付与

仮想ウォレットへのユーザー・アクセス権を付与する手順:

  1. 仮想ウォレット,に対するウォレット管理権限を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択します。

    「Manage Users」ページが表示されます。

  3. 「User Name」列のユーザーの名前をクリックします。

    「User Details」ページが表示されます。

  4. 「Access to Wallets」ペインで、「Add」をクリックします。

    「Add Access to User」ページが表示されます。

  5. 使用可能リストから仮想ウォレットを選択します。
  6. 「Select Access Level」ペインで、目的のアクセス・レベルを選択します。
  7. 「Save」をクリックします。

    「Access mapping successfully added」というメッセージが表示されます。

    ユーザーの「User Details」にある「Access to Wallets」を確認して、追加されたウォレットを確認します。

6.3.3 仮想ウォレットからのユーザー・アクセス権の取消し

ユーザーの仮想ウォレットへのアクセス権を取り消す手順:

  1. 仮想ウォレットに対するウォレット管理アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択します。

    「Manage Users」ページが表示されます。

  3. 「User Name」の下にあるユーザーの名前をクリックします。

    「User Detail」ページが表示されます。

  4. 「Access to Wallets」で、アクセス権を取り消す仮想ウォレットの横にあるボックスを選択します。
  5. 「Remove」をクリックします。

    確認ダイアログ・ボックスが表示されます。

  6. 「OK」をクリックします。

    「Access mapping(s) deleted successfully」というメッセージが表示されます。

    ユーザーの「User Details」にある「Access to Wallets」を確認して、削除されたウォレットを確認します。

6.3.4 仮想ウォレットへのユーザー・グループ・アクセス権の付与

仮想ウォレットへのユーザー・グループ・アクセス権を付与すると、グループのすべてのメンバーがそのウォレット内のセキュリティ・オブジェクトへのアクセス権を持ちます。

仮想ウォレットへのユーザー・グループ・アクセス権を付与する手順:

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左のサイドバーの「Manage Access」を選択します。

    「User Groups」ページが表示されます。

  3. ユーザー・グループに対応する「Details」列の鉛筆アイコンをクリックします。「User Group Details」ページが表示されます。
  4. 「Access to Wallets」ペインの「Add」をクリックします。

    「Add Access to User Group」ページが表示されます。

  5. 使用可能リストから仮想ウォレットを選択します
  6. 「Select Access Level」ペインで、目的のアクセス・レベルを選択します。
  7. 「Save」をクリックします。

    「Access mapping successfully added」というメッセージが表示されます。

    ユーザーの「User Groups」にある「Access to Wallets」を確認して、追加されたウォレットを確認します。

6.3.5 仮想ウォレットからのユーザー・グループ・アクセス権の取消し

次のように、仮想ウォレットへのユーザー・グループ・アクセス権を削除できます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左のサイドバーの「Manage Access」を選択します。「User Groups」ページが表示されます。
  3. ユーザー・グループに対応する「Details」列の鉛筆アイコンをクリックします。「User Group Details」ページが表示されます。
  4. 「Access to Wallets」ペインで、アクセス権を取り消す仮想ウォレットの横にあるボックスを選択します。
  5. 「Remove」をクリックします。
  6. 「OK」をクリックして確定します。

    「Access mapping(s) deleted successfully」というメッセージが表示されます。

    「User Groups」「Access to Wallets」を確認して、リストから削除されたウォレットを確認します。

6.4 セキュリティ・オブジェクトの状態の管理

セキュリティ・オブジェクトの開始日を設定して、セキュリティ・オブジェクトをアクティブ化または非アクティブ化できます。必要に応じて、一部の仮想ウォレットのセキュリティ・オブジェクトの状態を変更することもできます。

6.4.1 キーまたはセキュリティ・オブジェクトのアクティブ化

現在、サード・パーティのKMIPクライアントからアップロードされたキーにかぎり、「Pre-Active」状態にして「Activation」日を設定できます。その他すべてのキーについては、「Activation Date」はシステムによって生成されるため、設定できません。

ほとんどのキーは、作成されたとき、「Active」状態になっています。ただし、次のように、データ保護に使用されるキーの「Process Start Date」を作成日よりも後に設定できます。

  1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択します。
  3. 「All Items」メニューを選択して、開始日を設定する項目に対応する編集の鉛筆アイコンをクリックします。
  4. 項目の「Item Details」ページで、「Process Start Date」を任意の日付に設定します。
  5. 「Save」をクリックします。

6.4.2 キーまたはセキュリティ・オブジェクトの非アクティブ化

キーは、非アクティブ化の設定がされた日付を過ぎると、非アクティブ化するか期限切れになります。

  1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択します。
  3. 「All Items」メニューを選択し、非アクティブ化する項目に対応する編集の鉛筆アイコンをクリックします。
  4. 項目の「Item Details」ページで、「Date of Deactivation」を、キーを非アクティブ化する日付に設定します。
  5. 「Save」をクリックします。

6.4.3 キーまたはセキュリティ・オブジェクトの取消し

キーを取り消すと、その状態が「Deactivated」または「Compromised」に遷移し、そのキーを使用して新しいデータを暗号化できなくなります。

ただし、非アクティブ化されたキーは、ダウンロードして、古いデータの復号化に使用できます。

  1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択します。
  3. 左のサイドバーから「All Items」を選択します。

    すべてのセキュリティ・オブジェクトがリストされた「All Items」ページが表示されます。

  4. 取り消す項目に対応する「Details」列の鉛筆アイコンをクリックします。

    「Item Details」ページが表示されます。

  5. 「Revoke」をクリックします。

    「Revoke Item」ページが表示されます。

  6. ドロップ・ダウン・リストから「Revocation Reason」を選択します。
  7. オプションで、「Revocation Message」に詳細を追加します。
  8. 「Save」をクリックします。

    取消しが成功したことを示すメッセージが表示されます。

6.4.4 キーまたはセキュリティ・オブジェクトの破棄

キーを使用しなくなった場合やキーがなんらかの方法で損われた場合は、キーを破棄できます。

注意:

キーやセキュリティ・オブジェクトが廃棄された後も、それらのメタデータはKey Vaultに維持されます。

キーを破棄する手順:

  1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択します。
  3. 「All Items」メニューを選択して、開始日を設定する項目に対応する編集の鉛筆アイコンをクリックします。
  4. 項目の「Item Details」ページで、「Destroy」をクリックします。
  5. 「Save」をクリックします。

6.5 セキュリティ・オブジェクトの詳細の管理

作成した仮想ウォレットにセキュリティ・オブジェクトを追加した後、その仮想ウォレットに含まれるセキュリティ・オブジェクトを検索できます。仮想ウォレットに新しいセキュリティ・オブジェクトを追加したり、セキュリティ・オブジェクトを削除することができます。仮想ウォレットの内容は、特定のニーズに従っていつでも変更できます。

セキュリティ・オブジェクトは、明確に義務を分離してKey Vault管理ユーザーが管理します。セキュリティ・オブジェクトが含まれる仮想ウォレットのウォレット権限を管理するには、キー管理者ロールを持つユーザーであることが必要です。監査マネージャ・ロールを持っているユーザーはセキュリティ・オブジェクトを表示できるものの変更できない一方、システム管理者ロールを持っているユーザーはセキュリティ・オブジェクトを表示することもできません。

6.5.1 セキュリティ・オブジェクト項目の検索

項目という用語は、Oracle Key Vaultによって管理される、単一のセキュリティ・オブジェクト(暗号化鍵、キーストア、証明書、パスワード、不透明オブジェクトなど)を指します。

項目を検索する手順:

  1. キー管理者ロール、監査マネージャ・ロールを持っているユーザーまたは仮想ウォレットへのアクセス権を持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブをクリックします。

    「Wallets」ページが表示されます。

  3. 左のサイドバーの「All Items」をクリックします。

    表内のすべてのセキュリティ・オブジェクトが表示された「All Items」ページが表示されます。

    図6-5 Key Vaultのすべてのセキュリティ・オブジェクトがリストされた「All Items」

    図6-5の説明が続きます
    「図6-5 Key Vaultのすべてのセキュリティ・オブジェクトがリストされた「All Items」」の説明

    表には、各セキュリティ・オブジェクトについて次の列があります。

    • Type: 項目のオブジェクト・タイプを示します。有効な値は、「Symmetric Key」、「Private Key」および「Opaque Object」です。

    • Identifier: 項目の識別子をリストして、項目のサブタイプを識別する助けになる接頭辞を付加します。

    • Creation Time: 項目がOracle Key Vaultに追加された日付と時間。

    • Owner: 項目を所有するエンドポイント。

    • Wallets: セキュリティ・オブジェクトを含む仮想ウォレット。

    • State: オブジェクトの状態を示します。有効な値は、「Active」および「N/A」です。

    • Details: 鉛筆アイコンは、セキュリティ・オブジェクトの「Item Details」にリンクしています。

  4. 検索バーまたは「Actions」メニューを使用して、特定の項目を検索します。

6.5.2 セキュリティ・オブジェクトの詳細の表示

キー管理者ロールを持っている管理ユーザーは、対応する「Item Details」ページからセキュリティ・オブジェクトの詳細を表示、追加および変更できます。項目の詳細は、特定のセキュリティ・オブジェクトの属性で、セキュリティ・オブジェクトのタイプに依存します。

「Item Details」ページからセキュリティ・オブジェクトの属性を表示する手順:

  1. キー管理者ロールを持っているユーザーまたは仮想ウォレットへのアクセス権を持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。

  2. 「Keys & Wallets」タブをクリックします。

    「Wallets」ページが表示されます。

  3. 左のサイドバーの「All Items」をクリックします。

    Key Vaultのすべてのセキュリティ・オブジェクトが表示された「All Items」ページが表示されます。

  4. セキュリティ・オブジェクトに対応する「Details」列の鉛筆アイコンをクリックします。セキュリティ・オブジェクトの属性が表示された「Item Details」ページが表示されます。

    「Item Details」ページで、セキュリティ・オブジェクトを非アクティブ化する日付または使用しない日付を設定できます。「Item Details」に表示される属性は、セキュリティ・オブジェクトのタイプによって変わります。「Symmetric Key」の属性は、「Private Key」または「Opaque Object」のものとは異なります。

    セキュリティ・オブジェクトを取消しまたは破棄したり、「Item Details」ページからウォレットに対してセキュリティ・オブジェクトを追加または削除することができます。

    「Item Details」ページの「Wallet Membership」ペインで、ウォレットに対してセキュリティ・オブジェクトを追加または削除できます。

    「Item Details」ページには、次の属性が表示されます。

    • Identifier: ユーザーが項目を識別する助けになる概要説明。たとえば、項目がTDEマスター・キーである場合、「Identifier」には、接頭辞TDE Master Keyと、その後に、データベースが鍵を識別するために使用する識別子が表示されます。

    • Unique Identifier: 項目を識別する、グローバルに一意のIDです。

    • Type: 項目のオブジェクト・タイプを示します。有効な値は、「Symmetric Key」、「Private Key」、「Template」、「Opaque Object」、「Certificate」および「Secret Data」です。

    • State: 項目の状態を示します。値は次のとおりです。

      • Pre-active: オブジェクトは存在しますが、暗号化目的にはまだ使用できません。

      • Active: オブジェクトは使用可能です。エンドポイントは、このオブジェクトがどの用途に適切かを判断するために、「Cryptographic Usage Mask」属性を調べる必要があります。

      • Deactivated: オブジェクトがアクティブではなくなっているため、(たとえば、暗号化または署名のための)暗号保護の適用には使用しないでください。ただし、以前に保護済のデータの復号化や検証の用途には、まだ適切である場合があります。

      • Compromised: オブジェクトは損われていると思われるため、使用しないでください。

      • Destroyed: オブジェクトは、いかなる目的にももう使用できません。

      • Destroyed Compromised: オブジェクトは、損われ、続いて破壊されました。いかなる目的でも、もう使用できません。

    • Creator: セキュリティ・オブジェクトを作成したエンドポイント。

    • Last Modified: 最終変更日。

    • Date of Creation: 作成日。

    • Date of Activation: アクティブ化の日付。

    • Process Start Date: データの暗号化にキーの使用を開始する日付。「Activation Date」と同じかこれ以降にすることはできますが、これより前にすることはできません。

    • Protect Stop Date: この日付を過ぎると、キーを使用してデータを暗号化できなくなります。非アクティブ化の日付より後にすることはできません。

    • Date of Deactivation: 非アクティブ化の日付。

  5. 「Advanced」をクリックして、セキュリティ・オブジェクトの暗号化属性を表示します。

    図6-7 Item Details: 「Advanced」ペイン

    図6-7の説明が続きます
    「図6-7 Item Details: 「Advanced」ペイン」の説明

    属性情報と問合せは、項目タイプによって異なります。属性の一部を次に示します。

    • Cryptographic Algorithms: その項目によって使用されている暗号化アルゴリズム

    • Key Usage: キーを使用できる操作

    • Names: キーを識別するためにユーザーまたはエンドポイントがアタッチしたラベル

    • Custom attributes: エンドポイントによって定義され、Oracle Key Vaultによる解釈が行われない追加の属性

    • Cryptographic Parameters: 項目によって使用される、暗号化アルゴリズムのオプションのパラメータ(たとえばブロック暗号モードやパディング方式)

    • Digests: セキュリティ・オブジェクトのダイジェスト値

    • Link Details: 関連オブジェクトへのリンク

関連項目:

Key Management Interoperability Protocol仕様バージョン1.1

6.5.3 セキュリティ・オブジェクトの詳細の追加または変更

セキュリティ・オブジェクトの属性を変更するには、キー管理者ロールを持っているユーザーであるか、セキュリティ・オブジェクトへの「Read and Modify」アクセス権を持っている必要があります。

セキュリティ・オブジェクトへの「Read and Modify」アクセス権は、2つの方法で取得できます。

  • セキュリティ・オブジェクトを所有している。

  • セキュリティ・オブジェクトを含むウォレットへのアクセス権を持っている。

セキュリティ・オブジェクトの詳細を変更する手順:

  1. キー管理者ロール、監査マネージャ・ロールを持っているユーザーまたは仮想ウォレットへのアクセス権を持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブをクリックします。

    「Wallets」ページが表示されます。

  3. 左のサイドバーの「All Items」をクリックします。

    表内のすべてのセキュリティ・オブジェクトが表示された「All Items」ページが表示されます。

  4. セキュリティ・オブジェクトに対応する鉛筆アイコンをクリックします。

    「Item Details」ページが表示されます。

  5. 「Advanced」をクリックします。

    「Advanced」ペインが表示されます。

  6. 必要な変更を加えます。
  7. 右上の「Save」をクリックします。