Oracle Cloud Infrastructureドキュメント

キー管理の概要

Oracle Cloud Infrastructure Key Managementでは、データの暗号化を集中管理できます。 キー管理を使用して、マスター暗号化キーとデータ暗号化キーの作成、キーのローテーションによる新しい暗号化内容の生成、暗号化操作で使用するキーの有効化と無効化、リソースへのキーの割当て、暗号化と復号化のためのキーの使用ができます。

Oracle Cloud Infrastructure Object StorageOracle Cloud Infrastructure Block Volumeおよび「Oracle Cloud Infrastructureファイル・ストレージ」「キー管理」と統合することで、バケット、ブロックまたはブート・ボリュームおよびファイル・システム内のデータの暗号化をサポートします。 Oracle Cloud Infrastructure Identity and Access Management (IAM)との統合により、誰が、どのサービスがどのキーにアクセスし、どのようなサービスがそのキーで実行できるかを制御できます。 Oracle Cloud InfrastructureAudit統合によって、主な使用状況を監視できます。 「監査」は、キーとボールトに対する管理アクションを追跡します。

キーは、高可用性で永続的なハードウェア・セキュリティ・モジュール(HSM)に格納され、連邦情報処理規格(FIPS) 140-2セキュリティ・レベル3のセキュリティ証明を満たすものです。 キー管理では、Advanced Encryption Standard (AES)が暗号化アルゴリズムとして使用され、そのキーはAES対称キーです。

キー管理の概念

キー管理を理解するには、次の概念が不可欠です。

キー
キーは、データの暗号化および復号化に使用される暗号化データを格納し、格納先のデータを保護する1つ以上のキーバージョンを表す論理エンティティです。 暗号化アルゴリズムの一部として処理される場合、キーは、暗号化の際に平文を暗号文に変換する方法と、復号化の際に暗号文を平文に変換する方法を指定します。 概念的には、キー管理は2タイプの暗号化キーを認識します。 マスター暗号化キーは、コンソールまたはAPIを使用して作成できます。 キー管理では、これらのキーをキーボールトに格納します。 マスター暗号化キーがあれば、APIを使用して、サービスから返されるデータ暗号化キーを生成できます。 キー管理は、マスター暗号化キーをOracle Cloud Infrastructureリソースとして導入します。
ボールト
キー・ボールトは、キー管理がキーを作成し、永続的に格納する論理エンティティです。 ボールトは、ハードウェア・セキュリティ・モジュール上のパーティションで、相互に分離されているため、格納されている暗号化キーのセキュリティと整合性を確保します。 保存するボールトのタイプによって、ストレージ分離の程度、管理と暗号化へのアクセス、スケーラビリティおよび価格設定などの機能と機能が決まります。 このときに作成できるボールトのタイプは、仮想プライベート・ボールトのみです。 キー管理は、Oracle Cloud Infrastructureリソースとしてボールトを指定します。
キー・バージョン
各マスター暗号化キーには、キーバージョンが自動的に割り当てられます。 キーを回転すると、キー管理により新しいキー・バージョンが生成されます。 キーを定期的に回転させることで、1つのキーバージョンで暗号化されるデータ量が制限されます。 キーのローテーションによって、キーが危険にさらされた場合にリスクを軽減します。 Oracle Cloud ID (OCID)と呼ばれるキーの一意のOracle割当て識別子は回転単位で同じままですが、キー・バージョンにより、キー管理は、可能なコンプライアンス要件を満たすようにキーをシームレスに回転させることができます。 回転後に古いバージョンの暗号化を使用することはできませんが、キー・バージョンは、暗号化前に暗号化されたデータを復号化するために引き続き使用できます。 キー管理では、キー管理が復号化に必要とする情報が暗号化されるため、どのキー・バージョンを使用してどのデータを暗号化したかを追跡する必要がありません。
ハードウェア・セキュリティ・モジュール
コンソールまたはAPIを使用してマスター暗号化キーを作成する場合、キー管理は、キー・バージョンをハードウェア・セキュリティ・モジュール(HSM)内に格納して、物理的なセキュリティ・レイヤーを提供します。 特定のキー・バージョンが作成された後、サービス・インフラストラクチャ内でハードウェアの障害に対する保護の指標としてレプリケートされます。 キー・バージョンは、それ以外の場所に格納されず、HSMからエクスポートすることもできません。 キー管理では、連邦情報処理規格(FIPS) 140-2セキュリティ・レベル3セキュリティ証明に適合するHSMが使用されます。 これは、HSMハードウェアが改ざん防止され、耐改ざんの物理的な保護機能を備えていることを意味し、負荷ベースの認証を必要とし、改ざんが検出されたときにデバイスからキーを削除します。
エンベロープ暗号化
データの暗号化に使用されるデータ暗号化キーは、それ自体であり、マスター暗号化キーで暗号化されます。 この概念はエンベロープ暗号化と呼ばれます。 Oracle Cloud Infrastructureサービスは、キー管理と対話せずに平文データにアクセスすることも、Oracle Cloud Infrastructure Identity and Access Management (IAM)によって保護されているマスター暗号化キーにアクセスすることもありません。 復号化のために、「オブジェクト・ストレージ」「ブロック・ボリューム」および「ファイル・ストレージ」は、暗号化された形式のデータ暗号化キーのみを格納します。

リージョンと可用性ドメイン

「キー管理」「インド西部(Mumbai)」「韓国中部(ソウル)」「オーストラリア東部(シドニー)」「日本東部(東京)」「カナダ南西(トロント)」「ドイツ・セントラル(フランクフルト)」「スイス北部(チューリッヒ)」「ブラジル東部(サンパウロ)」「英国南部(ロンドン)」「米国東(アッシュバーン)」、および「US West (フェニックス)」リージョンの、「キー管理」を使用できます。 ただし、他のOracle Cloud Infrastructureサービスとは異なり、「キー管理」にはすべてのAPI操作に対してリージョン・エンドポイントが1つありません。 このサービスには、ボールトの作成、更新およびリスト操作を処理するプロビジョニング・サービス用の1つのリージョン・エンドポイントがあります。 キーの作成、更新およびリスト操作では、サービス・エンドポイントは複数の独立したクラスタに分散されます。

「キー管理」にはパブリック・エンドポイントがあるため、「キー管理」によって生成されたデータ暗号化キーをアプリケーションで直接使用できます。 ただし、「キー管理」と統合されたサービスでマスター暗号化キーを使用する場合は、キーを保持するサービスとキー・ボールトが両方同じリージョン内に存在するときにのみ、方法を使用できます。

キー管理では、リージョン内のすべての可用性ドメインにわたって暗号化キーのコピーを保守します。 このレプリケーションにより、キー管理「可用性ドメイン」を使用できなくてもキーを生成できます。

キー管理へのプライベート・アクセス

キー管理は、サービス・ゲートウェイを介して仮想クラウド・ネットワーク(VCN)にあるOracle Cloud Infrastructureリソースからのプライベート・アクセスをサポートします。 VCN上でサービス・ゲートウェイを設定および使用すると、リソース(暗号化ボリュームがアタッチされているインスタンスなど)は、パブリック・インターネットに公開せずにキー管理などのパブリックOracle Cloud Infrastructureサービスにアクセスできます。 インターネット・ゲートウェイは必要なく、リソースはプライベート・サブネットにあって、プライベートIPアドレスのみを使用できます。 詳細は、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

リソース識別子

キー管理では、Oracle Cloud Infrastructureリソースとしてキーとボールトが導入されます。 ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)という名前の一意のOracle割当て識別子があります。 OCID形式およびリソースを識別するその他の方法については、「リソース識別子」を参照してください。

Oracle Cloud Infrastructureにアクセスする方法

コンソール (ブラウザベースのインタフェース)またはREST APIを使用して、Oracle Cloud Infrastructureにアクセスできます。 コンソールおよびAPIの手順は、このガイドのトピックに含まれています。 使用可能なSDKのリストについては、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。 Terraformは、現在キー管理をサポートしていません。

コンソールにアクセスするには、「サポートされているブラウザ」を使用する必要があります。 このページの上部にあるコンソール・リンクを使用して、サインイン・ページにアクセスできます。 クラウド・テナント、ユーザー名、およびパスワードを入力するよう求められます。

APIの使用に関する一般的な情報は、REST APIを参照してください。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。

組織の管理者は、どのユーザーがどのサービス、どのリソースおよびアクセスのタイプにアクセスできるかを制御するグループ、コンパートメントおよびポリシーを設定する必要があります。 たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、「ポリシーの開始」を参照してください。 異なる各サービスに対するポリシーの記述の詳細は、「ポリシー・リファレンス」を参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、管理者に連絡してユーザーIDを設定してください。 管理者は、使用する必要があるコンパートメントを確認できます。

キー管理リソースの制限

適用可能な制限の一覧と制限の増加をリクエストする手順については、「サービス制限」を参照してください。 リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は「コンパートメントの割当」を使用できます。