Oracle Cloud Infrastructureドキュメント

キーの管理

このトピックでは、キーおよびキー・バージョンを使用して実行できる操作について説明します。暗号化操作でのキーの使用方法の詳細は、「キーの使用」を参照してください。 キーを格納するボールトの操作方法の詳細は、「ボールトの管理」を参照してください。

キーの管理には、次の操作を実行する機能が含まれます:

  • キーの作成
  • キー詳細の表示
  • キー・リストの表示
  • 特定のキーのキー・バージョンのリストの表示
  • キー名を更新
  • キー・タグの管理
  • 暗号化操作で使用するキーの有効化
  • キーを回転して新しい暗号化材料を生成
  • キーを無効にして、暗号化操作でキーが使用されないようにします。
  • キーを削除すると、暗号操作での使用またはリソースへの割当てを永久に防止できます。
  • 特定のリソースへのキーの割当て
  • 割当てから特定のリソースへのキーの削除
  • 新規コンパートメントへのキーの移動

必要なIAMポリシー

警告

Oracle Cloud Infrastructure Block VolumeおよびOracle Cloud Infrastructure Object Storageが代わりにキーを使用できるように認可しないかぎり、ボリュームおよびバケットに関連付けられたキーは機能しません。
また、最初の場所では、キーの使用状況をこれらのサービスに委任するユーザーも認可する必要があります。 詳細は、「共通ポリシー」「ユーザー・グループはコンパートメント内のキーの使用を委任します」および「ブロック・ボリュームおよびオブジェクト・ストレージ・サービスを暗号化および復号化し、ボリュームおよびバケットを取得します」を参照してください。

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

管理者向け: キーとボールトへのアクセス権を付与する一般的なポリシーについては、「セキュリティ管理者にボールトとキーを管理」を参照してください。

また、inspect vaultsを備えたポリシー文では、指定したグループにボールトに関するall情報を参照する能力が付与されることにも注意してください。 同様に、inspect keysを指定したポリシー文では、指定したグループに、そのキーに関するall情報を表示できます。 詳細は、「キー管理サービスの詳細」を参照してください。

新しいポリシーの場合は、「ポリシーの開始」「共通ポリシー」を参照してください。

リソースのタギング

リソースにタグを適用して、ビジネス・ニーズに合わせてタグを整理するのに役立てることができます。 リソースを作成するときにタグを適用することも、後でそのタグを使用してリソースを更新することもできます。 タグの適用に関する一般的な情報は、「リソース・タグ」を参照してください。

リソースのモニター

Oracle Cloud Infrastructureリソースのヘルス、容量、およびパフォーマンスをモニターするには、メトリック、アラーム、および通知を使用します。 詳細は、「モニタリング概要」および「通知概要」を参照してください。

マスター暗号化キーに関連付けられているトラフィックのモニタリングの詳細は、「キー管理メトリック」を参照してください。

別のコンパートメントへのリソースの移動

あるコンパートメントから別のコンパートメントにキーを移動できます。 新しいコンパートメントにキーを移動すると、それに固有のポリシーがただちに適用され、キーとキー・バージョンへのアクセスに影響を与えます。 キーを移動しても、キーが関連付けられているボールトへのアクセスに影響はありません。 ボールトをあるコンパートメントから別のコンパートメントに移動するには、そのいずれのキーも移動しません。 詳細は、「コンパートメントの管理」を参照してください。

コンソールの使用

新しいキーを作成するには
キーの詳細を表示するには
キーのリストを表示するには
キー・バージョンのリストを表示するには
キーの名前を変更するには
キー・タグを管理するには
キーを有効にするには
キーを回転するには
キーを無効にするには
キーを削除するには
キーの削除を取り消すには
新しいオブジェクト・ストレージ・バケットにキーを割り当てるには
既存のオブジェクト・ストレージ・バケットにキーを割り当てるには
新しいブロック・ボリュームにキーを割り当てるには
既存のブロック・ボリュームにキーを割り当てるには
暗号化されたブート・ボリュームを備えたコンピュート・インスタンスを作成するには
既存のブート・ボリュームにキーを割り当てるには
バケットからキー割当を削除するには
ブロック・ボリュームからキー割当てを除去するには
ブート・ボリュームからキー割当てを削除するには
異なるコンパートメントにキーを移動するには

コマンド・ライン・インタフェース(CLI)の使用

CLIの使用方法については、「コマンド・ライン・インタフェース(CLI)」を参照してください。 CLIコマンドで使用可能なフラグおよびオプションの完全なリストについては、「CLIヘルプ」を参照してください。

ヒント

各ボールトには、キーの作成、更新およびリスト操作用の一意のエンドポイントがあります。
このエンドポイントは、制御プレーンURLまたは管理エンドポイントと呼ばれます。 各ボールトには、暗号化操作の一意のエンドポイントもあります。 このエンドポイントは、データ・プレーンURLまたは暗号化エンドポイントと呼ばれます。 CLIをキー操作に使用する場合、操作のタイプに適したエンドポイントを提供する必要があります。 ボールト・エンドポイントを取得するには、「ボールト構成の詳細を表示するには」の手順を参照してください。

新しいキーを作成するには
リソース・タグを含む新しいキーを作成するには
キー詳細を表示するには
キーのリストを表示するには
キー・バージョンのリストを表示するには
キーの名前を変更するには
キーを有効にするには
キーを回転するには
キーを無効にするには
キーを削除するには
キーの削除を取り消すには
キーをオブジェクト・ストレージ・バケットに割り当てるには
オブジェクト・ストレージ・バケットに割り当てられたキーを更新するには
キー管理キーを使用して暗号化されたブロック・ボリュームを作成するには
既存のブロック・ボリュームに割り当てられているキーを更新するには
キー管理キーを使用して暗号化されたブート・ボリュームを作成するには
キー管理キーを使用して暗号化されたブート・ボリュームでコンピュート・インスタンスを作成するには
To update a key assigned to an existing boot volume
オブジェクト・ストレージ・バケットに割り当てられたキーを削除するには
ブロック・ボリュームに割り当てられたキーを削除するには
ブロック・ボリューム・ブート・ボリュームに割り当てられたキーを取り外すには
異なるコンパートメントにキーを移動するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

キーを管理するには、次の操作を使用します: