1.329 TDE_CONFIGURATION

TDE_CONFIGURATIONを使用して、ルート・コンテナによってTransparent Data Encryption (TDE)に使用されるキーストアのタイプを設定します。統合PDBはルート・コンテナから値を継承し、分離されたPDBは個別に設定できます。

Oracle Database 18cより前では、各PDBでCDBのキーストアに個別の暗号化キーが格納されました(統合モード)。Oracle Database 18c Cloud環境以降では、PDBは暗号化キーを必要に応じて個別のキーストアに格納できるため(分離モード)、個別のキーストア・パスワードによって保護できます。

TDE_CONFIGURATIONを有効にするには、WALLET_ROOT初期化パラメータを設定する必要があります。

特性	説明
パラメータ・タイプ	文字列
構文	TDE_CONFIGURATION = "{ KEYSTORE_CONFIGURATION = value [; CONTAINER = pdb-name] }"
構文	value ::= { FILE | OKV | HSM | FILE|OKV | FILE|HSM | OKV|FILE | HSM|FILE } ノート: KEYSTORE_CONFIGURATION値では大文字と小文字が区別されません。たとえば、FILEまたはfileを指定できます。 FILE|OKV、FILE|HSM、OKV|FILEおよびHSM|FILEは値です。これらに含まれる縦棒は、前述の構文のセパレータではありません。
デフォルト値	なし
変更可能	ALTER SYSTEM脚注1
PDBで変更可能	はい
基本	いいえ
Oracle RAC	ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=value" SCOPE=BOTH SID='*';文を使用して、すべてのインスタンスで同じ値を指定する必要がある。

^脚注1

このパラメータがALTER SYSTEM SCOPE=SPFILEを使用して設定されている場合に、SHOW PARAMETER TDE_CONFIGURATION文で正しい値が表示されないことがあります。ただし、TDE_CONFIGURATIONに設定された値は、V$ENCRYPTION_WALLETビューに表示される情報から導出できます。

指定可能な属性は、次のとおりです。

• KEYSTORE_CONFIGURATION属性。この属性は必須です。この属性で指定した値により、指定したPDBのキーストア・タイプが構成されます。この属性に指定可能な値は、次のとおりです。

  • FILE: この値は、ウォレット・キーストアを構成します。

  • OKV: この値は、TDEキー管理にOracle Key Vault (OKV)を使用するようにデータベースを構成します。

    また、この値を使用して、自動ログインOKV構成を無効にし、OKV_PASSWORDクライアント・シークレットとしてOKVサーバーへの資格証明を含む既存のcwallet.ssoファイルを無視することもできます。

  • HSM: この値は、ハードウェア・セキュリティ・モジュール(HSM)を構成します。

    Oracleでは、TDEキー管理でのHSMの使用はサポートされていません。詳細は、My Oracle Supportノート2310066.1「サードパーティHSMベンダーとのOracle TDEのサポート」を参照してください(URL: https://support.oracle.com/rs?type=doc&id=2310066.1)

  • FILE|OKV: この値は、OKVからウォレット・キーストアへの移行を構成します。

  • FILE|HSM: この値は、HSMからウォレット・キーストアへの逆移行を構成します。

  • OKV|FILE: この値は、ウォレットからOKVへの移行を構成します。

    この値は自動ログインOKV構成でも使用されます。この構成では、OracleサーバーはOKV_PASSWORDクライアント・シークレットを含むcwallet.ssoファイルを使用してOKVサーバーにログインするための資格証明を取得する必要があるためです。

  • HSM|FILE: この値は、ウォレットからHSMへの移行を構成します。

    Oracleでは、TDEキー管理でのHSMの使用はサポートされていません。詳細は、My Oracle Supportノート2310066.1「サードパーティHSMベンダーとのOracle TDEのサポート」を参照してください(URL: https://support.oracle.com/rs?type=doc&id=2310066.1)

  KEYSTORE_CONFIGURATION属性には、1つの単語(FILE、OKV、HSM値など)で構成されるものがあります。もう1つのKEYSTORE_CONFIGURATION属性値は、値の構文の必須部分(FILE|OKV、FILE|HSM、OKV|FILE、HSM|FILE値など)である"|"文字で区切られた2つの単語で構成されます。

  Oracle Database 18.1より前のOracle Databaseリリースでは、キーストア・タイプは、SQLNET.ENCRYPTION_WALLET_LOCATIONパラメータのMETHOD属性を使用してsqlnet.oraで構成されていました。

• CONTAINER属性: このオプション属性は、CDBのCDB$ROOTでパラメータを設定する場合にのみ使用できます。CONTAINER属性は、CDB$ROOTがMOUNTED状態の場合にのみ指定できます。この属性の場合、パラメータを設定するPDBの名前を指定する必要があります。CONTAINER属性を指定する場合は、KEYSTORE_CONFIGURATION属性とCONTAINER属性との区切り文字としてセミコロン(;)を使用する必要があります。

例

次の文では、文の発行元となるオープン状態のPDBのウォレット・キーストアを構成します。

ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=FILE" SCOPE=BOTH SID='*';

次の文では、文の発行元となるMOUNTED状態のPDBのOKVキーストアを構成します。

ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=OKV" SCOPE=SPFILE SID='*';

次の文は、自動オープンOracle Key Vault設定用に分離スタンバイPDBを構成します。スタンバイPDBはMOUNTEDであるため、コマンドはスタンバイ・ルートCDBで実行する必要があります。

ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=OKV|FILE; CONTAINER=FINANCIALS" SCOPE=both SID='*';

ノート:

このパラメータは、Oracle Databaseリリース18c, バージョン18.1以降で使用可能です。

関連項目:

• WALLET_ROOT

• V$ENCRYPTION_WALLET

• キーストアおよび暗号化キーを統合モードで管理する方法の詳細は、『Oracle Database Advanced Securityガイド』を参照してください

• 分離モードでキーストアおよび暗号化キーを管理する方法の詳細は、『Oracle Database Advanced Securityガイド』を参照してください