| Oracle® Key Vault管理者ガイド リリース12.2 BP11 E76998-09 |
|
 前 |
 次 |
Oracle Key Vaultに用意された仮想ウォレットのメカニズムを使用すると、セキュリティ・オブジェクトをアップロードおよび格納し、組織での機能に適したアクセス・レベルで、信頼できるピアと共有できます。
仮想ウォレットは、TDE、Oracle Wallet、Javaキーストア、証明書および資格証明ファイルを含む、公開および秘密暗号化鍵などのセキュリティ・オブジェクトのコンテナです。
Oracle Key Vaultには、暗号化データへのアクセスに必要なセキュリティ・オブジェクトをグループ化して複数のユーザーと共有するために、仮想ウォレットのメカニズムが用意されています。
すべてユーザーが仮想ウォレットを作成できます。仮想ウォレットを作成したら、その仮想ウォレットにキーおよびその他のセキュリティ・オブジェクトを追加できます。さらに、他のユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループに対して、仮想ウォレットへの様々なレベルのアクセス権を付与できます。仮想ウォレットは、いつでも変更できます。ウォレットの内容、アクセス権が必要なユーザーおよびユーザーのアクセス・レベルは、そのときのニーズに応じて変更できます。
キー管理者を除き、仮想ウォレットへのアクセス権は、すべてのユーザーに明示的に付与する必要があります。ウォレットにオブジェクトを追加および削除したり、他のユーザーおよびグループに対してウォレットのアクセス権を付与および変更するには、ウォレットの読取り、変更および管理権限が必要です。
親トピック: 仮想ウォレットについて
仮想ウォレットを作成して、同時にセキュリティ・オブジェクトを追加できます。ただし、空の仮想ウォレットを作成して、後でセキュリティ・オブジェクトを追加することもできます。仮想ウォレットのアクセス権のマッピングはいつでも変更できます。
仮想ウォレットを作成してセキュリティ・オブジェクトを追加する手順:
「Create Wallet」ページが表示されます。
「Wallet created successfully」メッセージが表示されます。「Wallets」ページが表示され、リストに新しいウォレットが表示されます。
ウォレットの内容を表示するには、次の図に示すように、ウォレット名をクリックします。
親トピック: 仮想ウォレットについて
必要に応じて、いつでも仮想ウォレットからセキュリティ・オブジェクトを削除できます。
ウォレットからセキュリティ・オブジェクトを削除する手順:
親トピック: 仮想ウォレットについて
仮想ウォレットを削除すると、コンテナとしてのウォレットは削除されますが、それに含まれていたセキュリティ・オブジェクトは削除されません。これらのセキュリティ・オブジェクトは、引き続きKey Vault内に残ります。この仮想ウォレットをダウンロードしたエンドポイントは、引き続きローカル・コピーを保持します。
仮想ウォレットを削除する手順:
親トピック: 仮想ウォレットについて
アクセス制御は、仮想ウォレットおよびセキュリティ・オブジェクトを共有する必要があるユーザーおよびエンドポイントの決定と、それらの仮想ウォレットで実行できる操作の決定に関係します。
ユーザー、エンドポイントおよびそれぞれのグループのアクセス制御を管理するには、仮想ウォレットへのアクセス権があるか、キー管理者である必要があります。
Oracle Key Vaultには、ユーザー、エンドポイントおよびそれぞれのグループの仮想ウォレットのアクセス制御を管理する2つの方法が用意されています。
「Keys & Wallets」メニューからの場合、ウォレットを選択し、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループにウォレットへのアクセス権を付与します。
「Users」または「Endpoints」メニューからの場合、ユーザー、ユーザー・グループ、エンドポイントまたはエンドポイント・グループを選択し、それらのエンティティのいずれかにウォレットへのアクセス権を付与します。
この項では、「Keys & Wallets」メニューからの、ユーザーおよびユーザー・グループに対する仮想ウォレットへのアクセス権の管理に焦点を当てています。
仮想ウォレットを選択して、エンドポイント・グループ、エンドポイント、ユーザー・グループ、ユーザーに、ウォレットに対する「Read Only」、「Read and Modify」および「Manage Wallet」アクセス・レベルを付与できます。ウォレットへのアクセス権を持つことで、そのウォレットのすべてのセキュリティ・オブジェクトへのアクセス権を持つようになります。
仮想ウォレットへのアクセス権を付与する手順:
「Add Access to Wallet」ページが表示されます。
Oracle Key Vaultには、ユーザー、エンドポイントおよびそれぞれのグループの仮想ウォレットのアクセス制御を管理する2つの方法が用意されています。
使用できる2つのメニューは次のとおりです。
「Keys & Wallets」メニューからの場合、ウォレットを選択し、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループにウォレットへのアクセス権を付与します。
「Users」または「Endpoints」メニューからの場合、ユーザー、ユーザー・グループ、エンドポイントまたはエンドポイント・グループを選択し、それらのエンティティのいずれかにウォレットへのアクセス権を付与します。
この項では、「Users」メニューからの、ユーザーおよびユーザー・グループに対する仮想ウォレットへのアクセス権の管理に焦点を当てています。
関連項目:
仮想ウォレットへのユーザー・グループ・アクセス権を付与すると、グループのすべてのメンバーがそのウォレット内のセキュリティ・オブジェクトへのアクセス権を持ちます。
仮想ウォレットへのユーザー・グループ・アクセス権を付与する手順:
セキュリティ・オブジェクトの開始日を設定して、セキュリティ・オブジェクトをアクティブ化または非アクティブ化できます。必要に応じて、一部の仮想ウォレットのセキュリティ・オブジェクトの状態を変更することもできます。
現在、サード・パーティのKMIPクライアントからアップロードされたキーにかぎり、「Pre-Active」状態にして「Activation」日を設定できます。その他すべてのキーについては、「Activation Date」はシステムによって生成されるため、設定できません。
ほとんどのキーは、作成されたとき、「Active」状態になっています。ただし、次のように、データ保護に使用されるキーの「Process Start Date」を作成日よりも後に設定できます。
親トピック: セキュリティ・オブジェクトの状態の管理
親トピック: セキュリティ・オブジェクトの状態の管理
キーを取り消すと、その状態が「Deactivated」または「Compromised」に遷移し、そのキーを使用して新しいデータを暗号化できなくなります。
ただし、非アクティブ化されたキーは、ダウンロードして、古いデータの復号化に使用できます。
「Revoke Item」ページが表示されます。
親トピック: セキュリティ・オブジェクトの状態の管理
キーを使用しなくなった場合やキーがなんらかの方法で損われた場合は、キーを破棄できます。
注意:
キーやセキュリティ・オブジェクトが廃棄された後も、それらのメタデータはKey Vaultに維持されます。キーを破棄する手順:
親トピック: セキュリティ・オブジェクトの状態の管理
作成した仮想ウォレットにセキュリティ・オブジェクトを追加した後、その仮想ウォレットに含まれるセキュリティ・オブジェクトを検索できます。仮想ウォレットに新しいセキュリティ・オブジェクトを追加したり、セキュリティ・オブジェクトを削除することができます。仮想ウォレットの内容は、特定のニーズに従っていつでも変更できます。
セキュリティ・オブジェクトは、明確に義務を分離してKey Vault管理ユーザーが管理します。セキュリティ・オブジェクトが含まれる仮想ウォレットのウォレット権限を管理するには、キー管理者ロールを持つユーザーであることが必要です。監査マネージャ・ロールを持っているユーザーはセキュリティ・オブジェクトを表示できるものの変更できない一方、システム管理者ロールを持っているユーザーはセキュリティ・オブジェクトを表示することもできません。
項目という用語は、Oracle Key Vaultによって管理される、単一のセキュリティ・オブジェクト(暗号化鍵、キーストア、証明書、パスワード、不透明オブジェクトなど)を指します。
項目を検索する手順:
表内のすべてのセキュリティ・オブジェクトが表示された「All Items」ページが表示されます。
図6-5 Key Vaultのすべてのセキュリティ・オブジェクトがリストされた「All Items」
表には、各セキュリティ・オブジェクトについて次の列があります。
Type: 項目のオブジェクト・タイプを示します。有効な値は、「Symmetric Key」、「Private Key」および「Opaque Object」です。
Identifier: 項目の識別子をリストして、項目のサブタイプを識別する助けになる接頭辞を付加します。
Creation Time: 項目がOracle Key Vaultに追加された日付と時間。
Owner: 項目を所有するエンドポイント。
Wallets: セキュリティ・オブジェクトを含む仮想ウォレット。
State: オブジェクトの状態を示します。有効な値は、「Active」および「N/A」です。
Details: 鉛筆アイコンは、セキュリティ・オブジェクトの「Item Details」にリンクしています。
関連項目:
親トピック: セキュリティ・オブジェクトの詳細の管理
キー管理者ロールを持っている管理ユーザーは、対応する「Item Details」ページからセキュリティ・オブジェクトの詳細を表示、追加および変更できます。項目の詳細は、特定のセキュリティ・オブジェクトの属性で、セキュリティ・オブジェクトのタイプに依存します。
「Item Details」ページからセキュリティ・オブジェクトの属性を表示する手順:
キー管理者ロールを持っているユーザーまたは仮想ウォレットへのアクセス権を持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
「Keys & Wallets」タブをクリックします。
「Wallets」ページが表示されます。
左のサイドバーの「All Items」をクリックします。
Key Vaultのすべてのセキュリティ・オブジェクトが表示された「All Items」ページが表示されます。
セキュリティ・オブジェクトに対応する「Details」列の鉛筆アイコンをクリックします。セキュリティ・オブジェクトの属性が表示された「Item Details」ページが表示されます。
「Item Details」ページで、セキュリティ・オブジェクトを非アクティブ化する日付または使用しない日付を設定できます。「Item Details」に表示される属性は、セキュリティ・オブジェクトのタイプによって変わります。「Symmetric Key」の属性は、「Private Key」または「Opaque Object」のものとは異なります。
セキュリティ・オブジェクトを取消しまたは破棄したり、「Item Details」ページからウォレットに対してセキュリティ・オブジェクトを追加または削除することができます。
「Item Details」ページの「Wallet Membership」ペインで、ウォレットに対してセキュリティ・オブジェクトを追加または削除できます。
「Item Details」ページには、次の属性が表示されます。
Identifier: ユーザーが項目を識別する助けになる概要説明。たとえば、項目がTDEマスター・キーである場合、「Identifier」には、接頭辞TDE Master Keyと、その後に、データベースが鍵を識別するために使用する識別子が表示されます。
Unique Identifier: 項目を識別する、グローバルに一意のIDです。
Type: 項目のオブジェクト・タイプを示します。有効な値は、「Symmetric Key」、「Private Key」、「Template」、「Opaque Object」、「Certificate」および「Secret Data」です。
State: 項目の状態を示します。値は次のとおりです。
Pre-active: オブジェクトは存在しますが、暗号化目的にはまだ使用できません。
Active: オブジェクトは使用可能です。エンドポイントは、このオブジェクトがどの用途に適切かを判断するために、「Cryptographic Usage Mask」属性を調べる必要があります。
Deactivated: オブジェクトがアクティブではなくなっているため、(たとえば、暗号化または署名のための)暗号保護の適用には使用しないでください。ただし、以前に保護済のデータの復号化や検証の用途には、まだ適切である場合があります。
Compromised: オブジェクトは損われていると思われるため、使用しないでください。
Destroyed: オブジェクトは、いかなる目的にももう使用できません。
Destroyed Compromised: オブジェクトは、損われ、続いて破壊されました。いかなる目的でも、もう使用できません。
Creator: セキュリティ・オブジェクトを作成したエンドポイント。
Last Modified: 最終変更日。
Date of Creation: 作成日。
Date of Activation: アクティブ化の日付。
Process Start Date: データの暗号化にキーの使用を開始する日付。「Activation Date」と同じかこれ以降にすることはできますが、これより前にすることはできません。
Protect Stop Date: この日付を過ぎると、キーを使用してデータを暗号化できなくなります。非アクティブ化の日付より後にすることはできません。
Date of Deactivation: 非アクティブ化の日付。
「Advanced」をクリックして、セキュリティ・オブジェクトの暗号化属性を表示します。
属性情報と問合せは、項目タイプによって異なります。属性の一部を次に示します。
Cryptographic Algorithms: その項目によって使用されている暗号化アルゴリズム
Key Usage: キーを使用できる操作
Names: キーを識別するためにユーザーまたはエンドポイントがアタッチしたラベル
Custom attributes: エンドポイントによって定義され、Oracle Key Vaultによる解釈が行われない追加の属性
Cryptographic Parameters: 項目によって使用される、暗号化アルゴリズムのオプションのパラメータ(たとえばブロック暗号モードやパディング方式)
Digests: セキュリティ・オブジェクトのダイジェスト値
Link Details: 関連オブジェクトへのリンク
関連項目:
Key Management Interoperability Protocol仕様バージョン1.1
親トピック: セキュリティ・オブジェクトの詳細の管理
セキュリティ・オブジェクトの属性を変更するには、キー管理者ロールを持っているユーザーであるか、セキュリティ・オブジェクトへの「Read and Modify」アクセス権を持っている必要があります。
セキュリティ・オブジェクトへの「Read and Modify」アクセス権は、2つの方法で取得できます。
セキュリティ・オブジェクトを所有している。
セキュリティ・オブジェクトを含むウォレットへのアクセス権を持っている。
セキュリティ・オブジェクトの詳細を変更する手順:
親トピック: セキュリティ・オブジェクトの詳細の管理
