6 統一モードでのキーストアおよびTDEマスター暗号化キーの管理
統一モードでは、CDB、およびキーストアが統一モードになっているPDBの共通のキーストアを作成できます。
CDBおよびPDBのキーは共通キーストアに格納されます。
- 統一モードでのキーストアおよびTDEマスター暗号化キーの管理について
統一モードでは、同じキーストアに格納されるCDBおよびPDBのキーストアおよびTDEマスター暗号化キーを作成します。 - 統一モードで許可される操作
CDBルートで実行される多くのADMINISTER KEY MANAGEMENT
操作は、統一モードのPDBのキーストアおよび暗号化キーに適用されます。 - 統一モードのPDBで許可されない操作
統一モードのPDBで許可されないADMINISTER KEY MANAGEMENT
操作は、CDBルートで実行できます。 - 初期化パラメータ・ファイルおよびALTER SYSTEMを使用した統一モードの構成
環境がサーバー・パラメータ・ファイル(spfile
)に依存している場合は、SCOPE
を指定したALTER SYSTEM SET
を使用して、WALLET_ROOT
およびTDE_CONFIGURATION
を設定できます。 - 統一モードで使用するためのソフトウェア・キーストアの構成
統一モードでは、ソフトウェア・キーストアは、CDBルート内に存在しますが、このキーストアのマスター・キーは、統一モードのキーストアを持つPDBで使用可能です。 - 統一モードのPDBによるコンテナ・データベースのOracle Key Vault用の構成
すべての統一モードのPDBとCDBのTDEマスター・キーは、Oracle Key Vault内の同じ仮想ウォレットに存在します。 - 統一モードでのキーストアおよびTDEマスター暗号化キーの管理
統一モードで使用するためのキーストアとマスター暗号化キーを構成した後、TDEマスター暗号化キーのキー更新などのタスクを実行できます。 - 統一モードでの透過的データ暗号化の管理
統一モードで透過的データ暗号化を使用した一般的な管理タスクを実行できます。
親トピック: 透過的データ暗号化の使用
6.1 統一モードでのキーストアおよびTDEマスター暗号化キーの管理について
統一モードでは、同じキーストアに格納されるCDBおよびPDBのキーストアおよびTDEマスター暗号化キーを作成します。
統一モードのキーストアを持つPDBのキーは、CDBルートまたはPDBから作成できます。
この設計により、1つのキーストアでCDB環境全体を管理し、PDBでそのキーストアを共有できますが、個々の統一モードのPDBでこのキーストアの動作をカスタマイズできます。たとえば、統一モードのPDBでは、CDBルートで作成した統合キーストア内のPDB用のTDEマスター暗号化キーを構成し、キーストアをローカルで開き、キーストアをローカルで閉じることができます。これらのアクションを実行するには、CDBルートのキーストアが開いている必要があります。
統一モードまたは分離モードを使用するように環境を構成する前は、CDB環境内のすべてのPDBは、統一モードであるとみなされます。
統一モードを使用するには、次の一般的なステップに従う必要があります。
-
CDBルートで、
WALLET_ROOT
パラメータとTDE_CONFIGURATION
パラメータを設定することで、統一モードを使用するようにデータベースを構成します。WALLET_ROOT
パラメータは、ウォレット・ディレクトリの場所を設定し、TDE_CONFIGURATION
パラメータは、使用するキーストアのタイプを設定します。 -
これらの設定を有効にするために、データベースを再起動します。
-
CDBルートで、キーストアを作成し、キーストアを開き、TDEマスター暗号化キーを作成します。
-
統一モードの各PDBで、統一モードのPDBでローカルにキーストアを開いたり、PDBのTDEマスター暗号化キーを作成したりするなど、必要に応じてTDEマスター暗号化キーのタスクを実行します。キーストアはCDBルートで管理されますが、PDBでTDEを使用できるようにするには、PDB固有のTDEマスター暗号化キーがキーストアに含まれている必要があることに注意してください。
CDBルートから統一モードでADMINISTER KEY MANAGEMENT
文を実行すると、文でCONTAINER
句が受け入れられ、それをALL
に設定した場合、その文は、CDBルートおよびそれに関連付けられた統一モードのPDBにのみ適用されます。分離モードのPDBはすべて影響を受けません。
6.2 統一モードで許可される操作
CDBルートで実行される多くのADMINISTER KEY MANAGEMENT
操作は、統一モードのPDBのキーストアおよび暗号化キーに適用されます。
CDBルートで使用可能な統一モード関連の操作
表6-1では、CDBルートで実行できるADMINISTER KEY MANAGEMENT
操作について説明します。
表6-1 CDBルートでのADMINISTER KEY MANAGEMENT統一モード操作
操作 | 構文 | 統一モードのノート |
---|---|---|
キーストアの作成 |
ADMINISTER KEY MANAGEMENT
CREATE KEYSTORE
IDENTIFIED BY keystore_password; |
CDBルートでキーストアを作成した後、デフォルトで、そのキーストアは、統一モードのPDBで使用できます。 |
キーストアを開く |
ADMINISTER KEY MANAGEMENT
SET KEYSTORE OPEN
IDENTIFIED BY
[EXTERNAL STORE | keystore_password]
[CONTAINER = ALL | CURRENT]; |
この操作の |
キーストア・パスワードの変更 |
ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD IDENTIFIED BY old_keystore_password SET new_keystore_password WITH BACKUP [USING 'backup_identifier']; |
|
キーストアのバックアップ |
ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE [USING 'backup_identifier'] [FORCE KEYSTORE] IDENTIFIED BY [EXTERNAL STORE | keystore_password] [TO 'keystore_location']; |
|
強制せずにキーストアを閉じる |
ADMINISTER KEY MANAGEMENT
SET KEYSTORE CLOSE
[IDENTIFIED BY [EXTERNAL STORE | keystore_password]]
[CONTAINER = ALL | CURRENT]; |
- |
強制的にキーストアを閉じる |
ADMINISTER KEY MANAGEMENT
FORCE KEYSTORE CLOSE
[IDENTIFIED BY [EXTERNAL STORE | keystore_password]]
[CONTAINER = ALL | CURRENT]; |
- |
新しいTDEマスター暗号化キーの作成およびアクティブ化(キー更新) |
ADMINISTER KEY MANAGEMENT SET [ENCRYPTION] KEY [FORCE KEYSTORE] [USING TAG 'tag_name'] IDENTIFIED BY [EXTERNAL STORE | keystore_password] WITH BACKUP [USING 'backup_identifier'] [CONTAINER = ALL | CURRENT] |
- |
今すぐ( |
ADMINISTER KEY MANAGEMENT [SET | CREATE] [ENCRYPTION] KEY 'mkid:mk | mk' [USING ALGORITHM 'algorithm'] [FORCE KEYSTORE] [USING TAG 'tag_name'] IDENTIFIED BY [EXTERNAL STORE | keystore_password] [WITH BACKUP [USING 'backup_identifier']] [CONTAINER = CURRENT]; |
- |
既存のTDEマスター暗号化キーのアクティブ化 |
ADMINISTER KEY MANAGEMENT USE [ENCRYPTION] KEY 'key_id' IDENTIFIED BY [EXTERNAL STORE | keystore_password] WITH BACKUP [USING 'backup_identifier']; |
|
TDEマスター暗号化キーのタグ付け |
ADMINISTER KEY MANAGEMENT SET TAG 'tag' FOR 'key_id' IDENTIFIED BY [EXTERNAL STORE | keystore_password ] WITH BACKUP [USING 'backup_identifier']; |
|
TDEマスター暗号化キーを新しいキーストアに移動する |
ADMINISTER KEY MANAGEMENT MOVE [ENCRYPTION] KEYS TO NEW KEYSTORE 'keystore_location1' IDENTIFIED BY keystore1_password FROM [FORCE] KEYSTORE IDENTIFIED BY keystore_password [WITH IDENTIFIER IN { 'key_id' [, 'key_id' ]... | ( subquery ) } ] WITH BACKUP [USING 'backup_identifier']; |
マスター暗号化キーは、同じコンテナ内のキーストアにのみ移動できます(たとえば、CDBルートのキーストア間や同じPDBのキーストア間)。CDBルートのキーストアのマスター暗号化キーをPDBのキーストアに移動することはできず、その逆もできません。
|
統一モードのPDBで使用可能な操作
表6-2では、統一モードのPDBで実行できるADMINISTER KEY MANAGEMENT
操作について説明します。
表6-2 ADMINISTER KEY MANAGEMENT統一モードPDB操作
操作 | 構文 | 統一モードのノート |
---|---|---|
キーストアを開く |
ADMINISTER KEY MANAGEMENT
SET KEYSTORE CLOSE
[IDENTIFIED BY EXTERNAL STORE | keystore_password]
[CONTAINER = CURRENT]; |
この操作の |
強制せずにキーストアを閉じる |
ADMINISTER KEY MANAGEMENT
SET KEYSTORE CLOSE
[IDENTIFIED BY keystore_password]
[CONTAINER = CURRENT]; |
- |
強制的にキーストアを閉じる |
ADMINISTER KEY MANAGEMENT
FORCE KEYSTORE CLOSE
IDENTIFIED BY
[EXTERNAL STORE | keystore_password]
[CONTAINER = CURRENT]; |
- |
新しいTDEマスター暗号化キーを作成およびアクティブ化する(キー更新またはローテーション) |
ADMINISTER KEY MANAGEMENT SET [ENCRYPTION] KEY [FORCE KEYSTORE] [USING TAG 'tag_name'] IDENTIFIED BY EXTERNAL STORE | keystore_password WITH BACKUP [USING 'backup_identifier'] [CONTAINER = CURRENT]; |
- |
今すぐ( |
ADMINISTER KEY MANAGEMENT SET | CREATE [ENCRYPTION] KEY 'mkid:mk | mk' [USING ALGORITHM 'algorithm'] [FORCE KEYSTORE] [USING TAG 'tag'] IDENTIFIED BY EXTERNAL STORE | keystore_password WITH BACKUP [USING 'backup_identifier'] [CONTAINER = CURRENT]; |
- |
既存のTDEマスター暗号化キーのアクティブ化 |
ADMINISTER KEY MANAGEMENT USE [ENCRYPTION] KEY 'key_id' IDENTIFIED BY EXTERNAL STORE | keystore_password WITH BACKUP [USING 'backup_identifier']; |
|
TDEマスター暗号化キーのタグ付け |
ADMINISTER KEY MANAGEMENT SET TAG 'tag' FOR 'key_id' [FORCE KEYSTORE] IDENTIFIED BY EXTERNAL STORE | keystore_password WITH BACKUP [USING 'backup_identifier']; |
|
暗号化キーを新しいキーストアに移動する |
ADMINISTER KEY MANAGEMENT MOVE [ENCRYPTION] KEYS TO NEW KEYSTORE 'new_keystore_location' IDENTIFIED BY new_keystore_password FROM [FORCE] KEYSTORE IDENTIFIED BY keystore_password [WITH IDENTIFIER IN { 'key_id' [, 'key_id' ]... | ( subquery ) } ] WITH BACKUP [USING 'backup_identifier']; |
|
CDBルートの統一モードのキーストアにあるキーをPDBの分離モードのキーストアに移動する |
ADMINISTER KEY MANAGEMENT ISOLATE KEYSTORE IDENTIFIED BY isolated_keystore_password FROM ROOT KEYSTORE [FORCE KEYSTORE] IDENTIFIED BY EXTERNAL STORE | united_keystore_password WITH BACKUP [USING backup_id]; |
|
PDBのクローンが分離されているTDEマスター暗号化キーを使用している場合に |
ADMINISTER KEY MANAGEMENT FORCE ISOLATE KEYSTORE IDENTIFIED BY isolated_keystore_password FROM ROOT KEYSTORE [FORCE KEYSTORE] IDENTIFIED BY [EXTERNAL STORE | united_keystore_password] [WITH BACKUP [USING backup_id]]; |
- |
6.3 統一モードのPDBで許可されない操作
統一モードのPDBで許可されないADMINISTER KEY MANAGEMENT
操作は、CDBルートで実行できます。
操作は次のとおりです。
-
キーストアの操作:
-
キーストアでのマージ操作の実行
-
キーストアのエクスポート
-
キーストアのインポート
-
キーストアの移行
-
キーストアの逆移行
-
PDBのキーストアへのCDBルートにあるキーストアのキーの移動
-
CDBルートにある統一モードのキーストアへのPDBにあるキーの移動
-
-
暗号化キーの操作:
-
CONTAINER = ALL
句を使用した、各プラガブル・データベース(PDB)での後から使用する新しいTDEマスター暗号化キーの作成
-
-
クライアント・シークレットの操作:
-
クライアント・シークレットの追加
-
クライアント・シークレットの更新
-
クライアント・シークレットの削除
-
6.4 初期化パラメータ・ファイルおよびALTER SYSTEMを使用した統一モードの構成
環境がサーバー・パラメータ・ファイル(spfile
)に依存している場合は、SCOPE
を指定したALTER SYSTEM SET
を使用して、WALLET_ROOT
およびTDE_CONFIGURATION
を設定できます。
6.5 統一モードで使用するためのソフトウェア・キーストアの構成
統一モードでは、ソフトウェア・キーストアは、CDBルート内に存在しますが、このキーストアのマスター・キーは、統一モードのキーストアを持つPDBで使用可能です。
- 統一モードでのソフトウェア・キーストアの構成について
統一モードでは、CDBルートで作成されたキーストアは、統一モードのPDBからアクセス可能になります。 - パスワードで保護されたTDEウォレットの作成
統一モードでは、CDBルートにキーストアを作成する必要があります。 - ステップ2: 統一モードのPDBでTDEウォレットを開く
統一モードでTDEウォレットを開くには、ADMINISTER KEY MANAGEMENT
文をSET KEYSTORE OPEN
句とともに使用する必要があります。 - ステップ3: 統一モードでのTDEウォレットのTDEマスター暗号化キーの設定
PDBが統一モードで構成されている場合に、TDEウォレットのTDEマスター暗号化キーを設定するには、ADMINISTER KEY MANAGEMENT
文をSET KEY
句とともに使用します。
6.5.1 統一モードでのソフトウェア・キーストアの構成について
統一モードでは、CDBルートで作成されたキーストアは、統一モードのPDBからアクセス可能になります。
一般的に、統一モードを有効にした後、統一モードのソフトウェア・キーストアを構成するには、CDBルートでキーストアを作成して開き、そのキーストアのマスター暗号化キーを作成します。その後、CDB環境全体からアクセスできる表と表領域のデータの暗号化を開始できます。
V$ENCRYPTION_WALLET
動的ビューでは、キーストアのステータスと場所が示されます。たとえば、次の問合せでは、CDBルート・キーストア(CON_ID 1
)のステータス(開いている/閉じている)と場所、およびそれに関連付けられている統一モードのPDBのキーストアが示されます。WRL_PARAMETER
列では、CDBルート・キーストアの場所が$ORACLE_BASE/wallet/tde
ディレクトリ内にあることが示されています。
SELECT CON_ID, STATUS, WRL_PARAMETER FROM V$ENCRYPTION_WALLET; CON_ID STATUS WRL_PARAMETER ------ ------ ----------------------------- 1 OPEN /app/oracle/wallet/tde/ 2 CLOSED 3 OPEN 4 OPEN 5 OPEN
この出力では、このCDB内の他のPDBに対してキーストアのパスはリストされていません。それらのPDBは、CDBルート内のキーストアを使用するからです。これらのいずれかのPDBが分離されており、分離モードのPDBでキーストアを作成した場合は、この問合せを実行したときに、WRL_PARAMETER
列で分離モードのPDBのキーストア・パスが示されます。
ソフトウェア・キーストア用に安全な外部ストアを作成できます。この機能では、パスワードをオペレーティング・システムから隠すことができます。それにより、終夜のバッチ・スクリプトなどのユーザーの操作なしにデータベースにアクセスできるスクリプトや他のツールにクリアテキスト・キーストア・パスワードを保存する必要がなくなります。このキーストアの場所は、EXTERNAL_KEYSTORE_CREDENTIAL_LOCATION
初期化パラメータによって設定されます。マルチテナント環境では、ADMINISTER KEY MANAGEMENT
文をIDENTIFIED BY EXTERNAL STORE
句を使用して実行すると、様々なPDBがこの外部ストアの場所にアクセスできます。このように、パスワードをまとめて配置すると、パスワードの更新は外部ストアで一度のみで済みます。
親トピック: 統一モードで使用するためのソフトウェア・キーストアの構成
6.5.2 パスワードで保護されたTDEウォレットの作成
統一モードでは、CDBルート内にキーストアを作成する必要があります。
ewallet.p12
ファイルが、指定したキーストアの場所に生成されます。たとえば、WALLET_ROOT
パラメータを$ORACLE_BASE/wallet
に設定し、TDE_CONFIGURATION
パラメータをFILE
(TDEの場合、ウォレットのルートの場所にtde
ディレクトリが作成されます)に設定した場合、キーストアは、/etc/ORACLE/KEYSTORES/${ORACLE_SID}/tde
ディレクトリに作成されます。TDEウォレットの名前はewallet.p12
です。
関連トピック
親トピック: 統一モードで使用するためのソフトウェア・キーストアの構成
6.5.3 ステップ2: 統一モードのPDBでTDEウォレットを開く
統一モードでTDEウォレットを開くには、ADMINISTER KEY MANAGEMENT
文をSET KEYSTORE OPEN
句とともに使用する必要があります。
V$ENCRYPTION_WALLET
ビューのSTATUS
列のステータスがOPEN_NO_MASTER_KEY
になっていることでわかります。
親トピック: 統一モードで使用するためのソフトウェア・キーストアの構成
6.5.4 ステップ3: 統一モードでTDEウォレットのTDEマスター暗号化キーを設定する
PDBが統一モードで構成されている場合に、TDEウォレットのTDEマスター暗号化キーを設定するには、ADMINISTER KEY MANAGEMENT
文をSET KEY
句とともに使用します。
関連トピック
親トピック: 統一モードで使用するためのソフトウェア・キーストアの構成
6.6 統一モードのPDBによるコンテナ・データベースのOracle Key Vault用の構成
すべての統一モードのPDBとCDBのTDEマスター・キーは、Oracle Key Vault内の同じ仮想ウォレットに存在します。
- 統一モードのPDBによるコンテナ・データベースのOracle Key Vault用の構成について
統一モードの場合は、コンテナ・データベース(CDB)でWALLET_ROOT
パラメータとTDE_CONFIGURATION
パラメータを設定することで、Oracle Key Vaultを構成できます。 - ステップ1: 統一モード用のOracle Key Vaultの作成
統一モードのPDB用にOracle Key Vaultを構成するには、コンテナ・データベース(CDB)のWALLET_ROOT
パラメータとTDE_CONFIGURATION
パラメータを構成します。 - ステップ2: Oracle Key Vaultへの接続のオープン
TDEキー管理にOracle Key Vaultを使用するようにデータベースを構成したら、使用前にOracle Key Vaultへの接続を開く必要があります。 - ステップ3: Oracle Key VaultでのTDEマスター暗号化キーの設定
Oracle Key Vaultへの接続を開くと、TDEマスター暗号化キーを設定するための準備が整います。 - ステップ4: 統一モードでのデータの暗号化
外部キーストアまたはOracle Key Vaultキーストアの構成が完了したので、データの暗号化を開始できます。
6.6.1 統一モードのPDBによるコンテナ・データベースのOracle Key Vault用の構成について
統一モードの場合は、コンテナ・データベース(CDB)のWALLET_ROOT
パラメータとTDE_CONFIGURATION
パラメータを設定することで、Oracle Key Vaultを構成できます。
新しいデプロイメントにパラメータWALLET_ROOT
およびTDE_CONFIGURATION
を設定することをお薦めします。あるいは、sqlnet.ora file
の古い構成から、できるだけ早く(四半期ごとのバンドル・パッチを次に適用するときなど)、WALLET_ROOT
およびTDE_CONFIGURATION
を使用して新しい構成に移行できます。
統一モードは、Oracle Databaseリリース12.1.0.2以降でsqlnet.ora
のTDE構成で使用されるデフォルトのTDE設定です。Oracle Databaseリリース18c以降では、sqlnet.ora
のTDE構成は非推奨です。まず、静的初期化パラメータWALLET_ROOT
を既存のディレクトリに設定する必要があります。この変更が取得されるには、データベースの再起動が必要です。再起動後、動的TDE_CONFIGURATION
パラメータのKEYSTORE_CONFIGURATION
属性をOKV
(Oracle Key Vaultへのパスワードで保護された接続の場合)、またはOracle Key Vaultへの自動オープン接続の場合はOKV|FILE
に設定し、構成済の外部キーストアを開いてから、TDEマスター暗号化キーを設定します。これらのタスクを完了すると、データベース内のデータを暗号化できるようになります。
6.6.2 ステップ1: 統一モード用のOracle Key Vaultを構成する
統一モードPDB用のOracle Key Vaultは、コンテナ・データベース(CDB)のWALLET_ROOT
パラメータとTDE_CONFIGURATION
パラメータを設定することで構成できます。
6.6.3 ステップ2: Oracle Key Vaultへの接続を開く
TDEキー管理にOracle Key Vaultを使用するようにデータベースを構成したら、使用前にOracle Key Vaultへの接続を開く必要があります。
- Oracle Key Vaultへの接続のオープンについて
暗号化または復号化を実行する前に、Oracle Key Vaultへの接続を開いてデータベースがアクセスできるようにしておく必要があります。 - 統一モードのPDBでのOracle Key Vault接続のオープン
統一モードでOracle Key Vault接続を開くには、ADMINISTER KEY MANAGEMENT
文とともにSET KEYSTORE OPEN
句を使用する必要があります。
6.6.3.1 Oracle Key Vaultへの接続のオープンについて
暗号化または復号化を実行する前に、Oracle Key Vaultへの接続を開いてデータベースがアクセスできるようにしておく必要があります。
データベースにリカバリ操作が必要な場合(たとえば、正常に停止しなかったデータベースにリカバリが必要な暗号化された表領域がある場合)、データベース自体を開く前にOracle Key Vaultへの接続を開いておく必要があります。
Oracle Key Vaultの接続を開くには、次の2つの方法があります:
-
ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN
文を発行して、キーストアを手動で開きます。その後、操作を実行できます。 -
ADMINISTER KEY MANAGEMENT
文にFORCE KEYSTORE
句を含めます。FORCE KEYSTORE
は操作中にキーストアを一時的に開き、操作が完了すると、キーストアは再度閉じられます。FORCE KEYSTORE
は、データベースの負荷が高い場合に役に立ちます。このシナリオでは、データベース内の暗号化されたオブジェクトへの同時アクセスにより、自動ログイン・キーストアは、閉じられた直後でユーザーがパスワードベースのキーストアを開く機会を持つ前に開かれ続けます。
キーストアのステータスを確認するには、V$ENCRYPTION_WALLET
ビューのSTATUS
列を問い合せます。キーストアには、CLOSED
、NOT_AVAILABLE
(つまりWALLET_ROOT
の場所にない)、OPEN
、OPEN_NO_MASTER_KEY
、OPEN_UNKNOWN_MASTER_KEY_STATUS
というステータスがあります。
外部キーストアの場合は、データベースがマウント状態だと、データ・ディクショナリを使用できないため、マスター・キーが設定されているかどうかを確認できないということに注意してください。この場合、ステータスはOPEN_UNKNOWN_MASTER_KEY_STATUS
になります。
関連トピック
6.6.4 ステップ3: Oracle Key VaultでTDEマスター暗号化キーを設定する
Oracle Key Vaultへの接続を開くと、TDEマスター暗号化キーを設定する準備が整います。
- 外部キーストアのTDEマスター暗号化キーの設定について
外部キーストア内に格納されたTDEマスター暗号化キーを作成する必要があります。 - 外部キーストアのハートビート・バッチ・サイズ
各ハートビート期間中に発行されるハートビートのバッチのサイズを制御できます。 - 統一モードの外部キーストアのTDEマスター暗号化キーの設定
PDBが統一モードで構成されている場合、キーストアのTDEマスター暗号化キーを設定するには、SET KEY
句を指定して、ADMINISTER KEY MANAGEMENT
文を使用します。 - 暗号化されたデータベースのTDEウォレットからOracle Key VaultまたはOCI KMSへの移行
TDEウォレットからOracle Key VaultまたはOracle Cloud Infrastructure (OCI)キー管理サービス(KMS)による集中型キー管理に切り替えるには、現行およびリタイア済のすべてのTDEマスター・キーをアップロードした後で、TDEウォレットからOracle Key VaultまたはOCI KMSにデータベースを移行する必要があります。
6.6.4.1 外部キーストアのTDEマスター暗号化キーの設定について
外部キーストア内に格納されたTDEマスター暗号化キーを作成する必要があります。
Oracle Databaseは、Oracle Key VaultまたはOracle Cloud Infrastructure (OCI)キー管理サービス(KMS)のマスター暗号化キーを使用して、データベース内部のTDE表キーまたは表領域暗号化キー(データ暗号化キー)を暗号化または復号化します。
これまでにウォレットによるTDEを構成したことがない場合は、Oracle Key VaultまたはOCI KMSでマスター暗号化キーを設定する必要があります。すでにウォレットによるTDEを構成していた場合は、データベースをOracle Key VaultまたはOCI KMSに移行する必要があります。
現行のマスター暗号化キーとともに、すべてのTDEキーストア(TDEウォレット、Oracle Key VaultおよびOCI KMS)は、マスター暗号化キーをキー更新するキー更新操作のたびに生成される履歴マスター暗号化キーを保持します。こうした履歴マスター・キーにより、以前にいずれかの履歴マスター暗号化キーを使用して作成されたOracle Databaseのバックアップをリストアできます。Oracle Key Vaultを使用するようにデータベースを移行する前に、TDEウォレットからすべての履歴キーをアップロードできるのはOracle Key Vaultのみです。Oracle Key Vaultへの移行後には、TDEウォレットを削除できます。これにより、暗号化サーバーに暗号化キーが存在することを許可しないというセキュリティ規則を満たします。
6.6.4.2 外部キーストアのハートビート・バッチ・サイズ
各ハートビート期間中に発行されるハートビートのバッチのサイズを制御できます。
PDBが外部キー・マネージャを使用するように構成されている場合、GEN0
バックグラウンド・プロセスは、PDBのかわりに外部キー・マネージャへのハートビート・リクエストを実行する必要があります。このバックグラウンド・プロセスにより、外部キー・マネージャが使用可能であり、PDBのTDEマスター暗号化キーが外部キー・マネージャから使用可能であり、暗号化と復号化の両方に使用できることが確認されます。GEN0
バックグラウンド・プロセスは、ハートビート期間(デフォルトは3秒)内にこのリクエストを完了する必要があります。
外部キー・マネージャを使用するように非常に多数のPDB (1000など)が構成されている場合は、ハートビートをバッチ処理するようにHEARTBEAT_BATCH_SIZE
データベース・インスタンス初期化パラメータを構成することで、割り当てられたハートビート期間内に各PDBに対してハートビートを実行する時間がなかった場合に、ハング・アナライザがGEN0
プロセスが停止していると誤ってフラグを設定する可能性を軽減できます。
ハートビート・バッチ・サイズを設定することで、PDBのバッチ間でハートビートをずらして、ハートビート期間中にバッチ内の各PDBに対してバッチごとにハートビートを完了できるようにしたり、PDBマスター暗号化キーをOracle Key Vaultサーバーから確実にフェッチしてOracle Key Vault永続キャッシュにキャッシュできるようにすることができます。HEARTBEAT_BATCH_SIZE
パラメータは、ハートビート期間ごとに外部キー・マネージャに送信されるハートビートのバッチのサイズを構成します。値は2から100の間にする必要があり、デフォルトは5です。ハートビート期間のデフォルトの期間は3秒です。
たとえば、500個のPDBが構成されており、Oracle Key Vaultを使用している場合、GEN0
が単一のPDBのかわりにハートビートを実行するのに要した通常の時間は、0.5秒未満です。また、CDB$ROOT
が、Oracle Key Vault (OKV
)などの外部キー・マネージャを使用するように構成されているとします。したがって、通常は、3秒のハートビート期間ごとに5つのハートビート(CDB$ROOT
に1つと、4つのPDBバッチに4つ)を単一のバッチで送信できます。
HEARTBEAT_BATCH_SIZE
パラメータで1つのバッチで送信されるハートビートの数を構成しても、CDB$ROOT
が外部キー・マネージャを使用するように構成されている場合は、各ハートビート・バッチにCDB$ROOT
のハートビートが含まれている必要があります。HEARTBEAT_BATCH_SIZE
パラメータの最小値は2、最大値は100です。CDB$ROOT
が外部キー・マネージャを使用するように構成されている場合、ハートビートの各バッチにはCDB$ROOT
用にハートビート1つが含まれます。このため、最小バッチ・サイズは2になります。外部キー・マネージャを使用するように構成されている可能性があるため、CDB$ROOT
用に1つ予約する必要があります。
たとえば、HEARTBEAT_BATCH_SIZE
パラメータを次のように設定するとします。
ALTER SYSTEM SET HEARTBEAT_BATCH_SIZE=3 SCOPE=BOTH SID='*';
各反復は、GEN0
の3秒間のハートビート期間1つに対応します。
例1: Oracle Key Vaultを使用するように構成されたコンテナのハートビートの設定
コンテナ・リストが1 2 3 4 5 6 7 8 9 10で、すべてのコンテナがOracle Key Vault (OKV
)を使用するように構成されているとします。反復は次のとおりです。
- 反復1: バッチを構成するコンテナ: 1 2 3
- 反復2: バッチを構成するコンテナ: 1 4 5
- 反復3: バッチを構成するコンテナ: 1 6 7
- 反復4: バッチを構成するコンテナ: 1 8 9
- 反復5: バッチを構成するコンテナ: 1 10
- このサイクルを繰り返します。
例2: キーストアが異なる分離されたPDBのハートビートの設定(Oracle Key Vaultのルート・コンテナ)
この例では、コンテナ・リストは1 2 3 4 5 6 7 8 9 10であり、奇数のPDBのみがOKVを使用するように構成され、偶数のPDBはTDEウォレット(FILE
)を使用するように構成されています。
- 反復1: バッチを構成するコンテナ: 1 3 5
- 反復2: バッチを構成するコンテナ: 1 7 9
- 反復3: バッチを構成するコンテナ: 1
- このサイクルを繰り返します。
例3: キーストアが異なる分離されたPDBのハートビートの設定(TDEウォレットのルート・コンテナ)
コンテナ・リストが1 2 3 4 5 6 7 8 9 10で、偶数のコンテナ番号のみがOracle Key Vaultを使用するように構成され、奇数のコンテナがFILE
を使用するように構成されているとします。次の例では、FILE
を使用するように構成されているため、CDB$ROOT
のハートビートはありません。
- 反復1: バッチを構成するコンテナ: 2 4 6
- 反復2: バッチを構成するコンテナ: 8 10
- このサイクルを繰り返します。
6.6.4.3 統一モードの外部キーストアのTDEマスター暗号化キーの設定
PDBが統一モードに設定されている場合にキーストアのTDEマスター暗号化キーを設定するには、SET KEY
句を指定して、ADMINISTER KEY MANAGEMENT
文を使用します。
6.6.4.4 暗号化されたデータベースのTDEウォレットからOracle Key VaultまたはOCI KMSへの移行
TDEウォレットからOracle Key VaultまたはOracle Cloud Infrastructure (OCI)キー管理サービス(KMS)による集中型キー管理に切り替えるには、現行およびリタイア済のすべてのTDEマスター・キーをアップロードした後で、TDEウォレットからOracle Key VaultまたはOCI KMSにデータベースを移行する必要があります。
Oracle Data PumpやOracle Recovery Managerなどのツールは、TDEウォレットを使用してエクスポートまたはバックアップしたデータに復号化と暗号化の操作を実行するために、古いTDEウォレットにアクセスする必要があります。現在のマスター暗号化キーともに、Oracleキーストアでは、マスター暗号化キーをローテーションするキーの更新操作のたびに生成される履歴マスター暗号化キーを保持します。これらの履歴マスター暗号化キーにより、履歴マスター暗号化キーのいずれかを使用して、以前に作成されたOracleデータベースのバックアップをリストアできます。
6.7 統一モードでのキーストアおよびTDEマスター暗号化キーの管理
統一モードで使用するためのキーストアとマスター暗号化キーを構成した後、TDEマスター暗号化キーのキー更新などのタスクを実行できます。
- 統一モードでのキーストア・パスワードの変更
TDEウォレットまたは外部キーストアのパスワードは、CDBルートでのみ変更できます。 - 統一モードでのパスワードで保護されたTDEウォレットのバックアップ
ADMINISTER KEY MANAGEMENT
文のBACKUP KEYSTORE
句は、パスワードで保護されたTDEウォレットをバックアップします。 - 統一モードでのキーストアのクローズ
システム表領域が暗号化されている場合を除き、統一モードでTDEウォレットと外部キーストアの両方を閉じることができます。 - 統一モードでのユーザー定義のTDEマスター暗号化キーの作成
ユーザー定義のTDEマスター暗号化キーを作成するには、SET | CREATE [ENCRYPTION] KEY
句を指定して、ADMINISTER KEY MANAGEMENT
文を使用します。 - 例: すべてのPDBでのマスター暗号化キーの作成
ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG
文を使用して、すべてのPDBにTDEマスター暗号化キーを作成できます。 - 統一モードでの後で使用するためのTDEマスター暗号化キーの作成
統一モードで後で使用するTDEマスター暗号化キーを作成する前に、キーストアが開かれている必要があります。 - 統一モードでのTDEマスター暗号化キーのアクティブ化
統一モードでTDEマスター暗号化キーをアクティブ化するには、キーストアを開き、USE KEY
句を含むADMINISTER KEY MANAGEMENT
を使用する必要があります。 - 統一モードでのTDEマスター暗号化キーのキー更新
SET KEY
句を指定してADMINISTER KEY MANAGEMENT
文を使用することで、TDEマスター暗号化キーをキー更新できます。 - 統一モードでの使用中のTDEマスター暗号化キーの検出
使用中のTDEマスター暗号化キーは、データベースで最も最近アクティブ化されたキーです。 - 統一モードでのカスタム属性タグの作成
統一モードでカスタム属性タグを作成するには、ADMINISTER KEY MANAGEMENT
文のSET TAG
句を使用する必要があります。 - 統一モードでの新しいキーストアへのTDEマスター暗号化キーの移動
統一モードでは、既存のソフトウェア・パスワード・キーストアから新しいキーストアに既存のTDEマスター暗号化キーを移動できます。 - 統一モードでの非アクティブなTDEマスター暗号化キーの自動削除
統一モードでは、REMOVE_INACTIVE_STANDBY_TDE_MASTER_KEY
初期化パラメータにより、非アクティブなTDEマスター暗号化キーの自動削除を構成できます。 - プラガブル・データベース・キーストアの分離
PDBキーストアを分離すると、CDBルート・キーストアのマスター暗号化キーがPDBの分離モードのキーストアに移動します。
6.7.1 統一モードでのキーストア・パスワードの変更
TDEウォレットまたは外部キーストアのパスワードは、CDBルートでのみ変更できます。
- 統一モードでのパスワードで保護されたTDEウォレットのパスワードの変更
統一モードでパスワードで保護されたTDEウォレットのパスワードを変更するには、CDBルートでADMINISTER KEY MANAGEMENT
文を使用する必要があります。 - 統一モードでの外部キーストアのパスワードの変更
外部キーストアのパスワードを変更するには、外部キーストアを閉じた後、外部キーストアの管理インタフェースからパスワードを変更する必要があります。
6.7.1.1 統一モードでのパスワードで保護されたTDEウォレット・パスワードの変更
統一モードでパスワードで保護されたTDEウォレットのパスワードを変更するには、CDBルートでADMINISTER KEY MANAGEMENT
文を使用する必要があります。
WITH BACKUP
句を指定する必要があるため、常に現在のTDEウォレットのバックアップが作成されます。パスワードの変更操作中、暗号化や復号化などの透過的データ暗号化操作は正常に動作し続けます。このパスワードはいつでも変更できます。このパスワードは、安全性が損なわれた可能性があると思われる場合には変更する必要があります。
関連トピック
親トピック: 統一モードでのキーストア・パスワードの変更
6.7.1.2 統一モードでの外部キーストアのパスワードの変更
外部キーストアのパスワードを変更するには、外部キーストアを閉じた後、外部キーストアの管理インタフェースからパスワードを変更する必要があります。
関連トピック
親トピック: 統一モードでのキーストア・パスワードの変更
6.7.2 統一モードでのパスワードで保護されたTDEウォレットのバックアップ
ADMINISTER KEY MANAGEMENT
文のBACKUP KEYSTORE
句は、パスワードで保護されたTDEウォレットをバックアップします。
6.7.3 統一モードでキーストアを閉じる
システム表領域が暗号化されている場合を除き、統一モードでTDEウォレットと外部キーストアの両方を閉じることができます。
- 統一モードでソフトウェア・キーストアを閉じる
統一モードで、パスワード保護されたキーストア、自動ログイン・キーストアおよびローカル自動ログイン・ソフトウェア・キーストアを閉じることができます。 - 統一モードで外部キーストアを閉じる
外部キーストアを閉じるには、SET KEYSTORE CLOSE
句を含むADMINISTER KEY MANAGEMENT
文を使用する必要があります。
6.7.3.1 統一モードでソフトウェア・キーストアを閉じる
統一モードで、パスワード保護されたキーストア、自動ログイン・キーストアおよびローカル自動ログイン・ソフトウェア・キーストアを閉じることができます。
ADMINISTER KEY MANAGEMENT
権限またはSYSKM
権限を付与されたユーザーとして、CDBルート、または統一モードのPDBにログインします。- ソフトウェア・キーストアを閉じます。
- パスワードで保護されたソフトウェア・キーストアでは、CDBルート内にいる場合、次の構文を使用します。
ADMINISTER KEY MANAGEMENT SET | FORCE KEYSTORE CLOSE [IDENTIFIED BY [EXTERNAL STORE | software_keystore_password]] [CONTAINER = ALL | CURRENT];
SET
句を使用して、強制せずにキーストアを閉じます。開いている依存キーストアがある場合(たとえば、分離モードのPDBのキーストアで、CDBルートのキーストアを閉じようとしている場合)、「ORA-46692 ウォレットをクローズできません
」エラーが表示されます。この場合、SET
のかわりにFORCE
句を使用して、閉じる操作中に依存キーストアを一時的に閉じます。V$ENCRYPTION_WALLET
ビューのSTATUS
列で、キーストアが開いているかどうかが示されます。統一モードのPDBにいる場合、
CONTAINER
句を省略するか、CURRENT
に設定します。 - 自動ログイン・ソフトウェア・キーストアまたはローカル自動ログイン・ソフトウェア・キーストアでは、CDBルートにいる場合、次の構文を使用します。
ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE [CONTAINER = ALL | CURRENT];
- パスワードで保護されたソフトウェア・キーストアでは、CDBルート内にいる場合、次の構文を使用します。
関連トピック
親トピック: 統一モードでキーストアを閉じる
6.7.3.2 統一モードで外部キーストアを閉じる
外部キーストアを閉じるには、SET KEYSTORE CLOSE
句を含むADMINISTER KEY MANAGEMENT
文を使用する必要があります。
関連トピック
親トピック: 統一モードでキーストアを閉じる
6.7.4 統一モードでのユーザー定義のTDEマスター暗号化キーの作成
ユーザー定義のTDEマスター暗号化キーを作成するには、SET | CREATE [ENCRYPTION] KEY
句を含むADMINISTER KEY MANAGEMENT
文を使用します。
関連トピック
6.7.5 例: すべてのPDBでのマスター暗号化キーの作成
ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG
文を使用して、すべてのPDBにTDEマスター暗号化キーを作成できます。
例6-1に、マルチテナント環境のすべてのPDBにマスター暗号化キーを作成する方法を示します。ここでは、CDBルートの自動ログイン・キーストアが開いている場合に、FORCE KEYSTORE
句を使用します。パスワードが外部に格納されるため、IDENTIFIED BY
句にEXTERNAL STORE
設定が使用されます。この文を実行すると、マスター暗号化キーが各PDBに作成されます。それらのキーの識別子は次のように確認できます。
-
PDBにログインして、
V$ENCRYPTION_KEYS
ビューのTAG
列を問い合せます。 -
CDBルートにログインして、
GV$ENCRYPTION_KEYS
ビューのINST_ID
およびTAG
列を問い合せます。
また、最も最近作成されたキー(この文で作成したキー)を確認するには、それらのビューのCREATION_TIME
列を確認します。キーの作成後、各PDBでキーを個々にアクティブ化できます。
例6-1 すべてのPDBのマスター暗号化キーの作成
ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG 'scope:all pdbs;description:Create Key for ALL PDBS' FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE WITH BACKUP CONTAINER = ALL; keystore altered.
6.7.7 統一モードでのTDEマスター暗号化キーのアクティブ化
統一モードでTDEマスター暗号化キーをアクティブ化するには、キーストアを開き、USE KEY
句を含むADMINISTER KEY MANAGEMENT
を使用する必要があります。
6.7.8 統一モードでのTDEマスター暗号化キーのキー更新
SET KEY
句を含むADMINISTER KEY MANAGEMENT
文を使用して、TDEマスター暗号化キーをキー更新できます。
-
ADMINISTER KEY MANAGEMENT
またはSYSKM
権限を付与されたユーザーとして、CDBルート、または統一モードのPDBにログインします。 -
自動ログインを有効化したキーストアのTDEマスター暗号化キーをキー更新する場合、
.sso
ファイルによって識別される自動ログイン・キーストアと.p12
ファイルによって識別される暗号化キーストアの両方が存在することを確認する必要があります。これらのファイルのロケーションは、
V$ENCRYPTION_WALLET
ビューのWRL_PARAMETER
列を問い合せることで確認できます。すべてのデータベース・インスタンスのWRL_PARAMETER
値を見つけるには、GV$ENCRYPTION_WALLET
ビューを問い合せます。 -
次の構文を使用して、TDEマスター暗号化キーをキー更新します。
ADMINISTER KEY MANAGEMENT SET [ENCRYPTION] KEY [FORCE KEYSTORE] [USING TAG 'tag_name'] IDENTIFIED BY [EXTERNAL STORE | keystore_password] [WITH BACKUP [USING 'backup_identifier']] [CONTAINER = ALL | CURRENT];
ここでは次のように指定します。
-
tag
は、定義する関連の属性および情報です。この設定は、一重引用符(' '
)で囲みます。 -
FORCE KEYSTORE
は、この操作のためにパスワードで保護されたTDEウォレットを一時的に開きます。この操作のためには、TDEウォレットを開く必要があります。 -
IDENTIFIED BY
は次のいずれかの設定にできます。-
EXTERNAL STORE
は、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。 -
keystore_password
は、このキーストア用に作成されたパスワードです。
-
-
CONTAINER
: CDBルートでは、CONTAINER
をALL
またはCURRENT
に設定します。PDBでは、CURRENT
に設定します。どちらの場合も、CONTAINER
を省略すると、デフォルトでCURRENT
に設定されます。
たとえば:
ADMINISTER KEY MANAGEMENT SET KEY FORCE KEYSTORE IDENTIFIED BY keystore_password WITH BACKUP USING 'emp_key_backup' CONTAINER = CURRENT; keystore altered.
-
関連トピック
6.7.9 統一モードで使用中のTDEマスター暗号化キーの確認
使用中のTDEマスター暗号化キーは、データベースで一番最近アクティブ化されたキーです。
6.7.10 統一モードでのカスタム属性タグの作成
統一モードでカスタム属性タグを作成するには、ADMINISTER KEY MANAGEMENT
文のSET TAG
句を使用する必要があります。
-
ADMINISTER KEY MANAGEMENT
またはSYSKM
権限を付与されたユーザーとして、CDBルート、または統一モードのPDBにログインします。 -
必要に応じて、
V$ENCRYPTION_KEY
動的ビューのTAG
列を問い合せて、TDEマスター暗号化キーの既存のタグのリストを確認します。TDEマスター暗号化キーの新しいタグを作成すると、そのTDEマスター暗号化キーの既存のタグは上書きされます。
-
次の構文を使用して、カスタム属性タグを作成します。
ADMINISTER KEY MANAGEMENT SET TAG 'tag' FOR 'master_key_identifier' [FORCE KEYSTORE] IDENTIFIED BY [EXTERNAL STORE | keystore_password] WITH BACKUP [USING 'backup_identifier'];
ここでは次のように指定します。
-
tag
は、定義する関連の属性または情報です。この情報は一重引用符(' '
)で囲みます。 -
master_key_identifier
は、tag
が設定されるTDEマスター暗号化キーを識別します。TDEマスター暗号化キー識別子のリストを確認するには、V$ENCRYPTION_KEYS
動的ビューのKEY_ID
列を問い合せます。 -
FORCE KEYSTORE
は、この操作のためにパスワードで保護されたTDEウォレットを一時的に開きます。この操作のためには、TDEウォレットを開く必要があります。 -
IDENTIFIED BY
は次のいずれかの設定にできます。-
EXTERNAL STORE
は、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。 -
keystore_password
は、このキーストア用に作成されたパスワードです。
-
-
backup_identifier
は、タグの値を定義します。この設定は一重引用符(' ')
で囲み、それぞれの値をコロンで区切ります。
たとえば、2つの値(1番目は特定のセッションID、2番目は特定の端末IDを取得)を使用するタグを作成するには、次のようにします。
ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY USING TAG 'sessionid=3205062574:terminal=xcvt' IDENTIFIED BY keystore_password WITH BACKUP; keystore altered.
セッションID (
3205062574
)と端末ID (xcvt
)はどちらも、SYS_CONTEXT
関数でUSERENV
ネームスペースを使用するか、USERENV
関数を使用することで、値を導出できます。 -
関連トピック
6.7.11 統一モードでの新しいキーストアへのTDEマスター暗号化キーの移動
統一モードでは、既存のTDEマスター暗号化キーを既存のソフトウェア・パスワード・キーストアから新しいキーストアに移動できます。
関連トピック
6.7.12 統一モードでの非アクティブなTDEマスター暗号化キーの自動削除
統一モードでは、REMOVE_INACTIVE_STANDBY_TDE_MASTER_KEY
初期化パラメータにより、非アクティブなTDEマスター暗号化キーの自動削除を構成できます。
6.8 統一モードでの透過的データ暗号化の管理
統一モードで透過的データ暗号化を使用して一般的な管理タスクを実行できます。
- 統一モードでのあるCDBから別のCDBへのPDBの移動
暗号化されたPDBを同じコンテナ・データベース内またはコンテナ・データベース間でクローニングまたは再配置できます。 - 統一モードでの暗号化データを含むPDBのCDBに対するアンプラグとプラグイン
統一モードでは、暗号化データを含むPDBをCDBにプラグインできます。反対に、このPDBをCDBからアンプラグすることもできます。 - 統一モードでの暗号化データを含むクローニングされたPDBの管理
統一モードでは、CDBで暗号化されたデータのあるPDBをクローニングできます。 - 統一モードでのキーストアの開閉操作の機能
統一モードでキーストアの開閉操作がどのように機能するのかを知っておく必要があります。 - 統一モードでのすべてのPDBのキーストア・ステータスの確認
V$ENCRYPTION_WALLET
ビューを使用する簡易関数を作成して、CDBにおけるすべてのPDBのキーストアのステータスを確認できます。
6.8.1 統一モードでのあるCDBから別のCDBへのPDBの移動
暗号化されたPDBを同じコンテナ・データベース内またはコンテナ・データベース間でクローニングまたは再配置できます。
SYSTEM
、SYSAUX
、UNDO
またはTEMP
表領域が暗号化されている非CDBまたはPDBを移動し、キーの手動エクスポートまたはインポートを使用する場合は、まずPDBを作成する前に、ターゲット・データベースのCDB$ROOT
にある非CDBまたはPDBのキーをインポートする必要があります。キーをPDBに関連付けるには、PDB内でキーのインポートが再度必要です。
関連トピック
親トピック: 統一モードでの透過的データ暗号化の管理
6.8.2 統一モードでの暗号化データを含むPDBのCDBに対するアンプラグとプラグイン
統一モードでは、暗号化データを含むPDBをCDBにプラグインできます。反対に、このPDBをCDBからアンプラグすることもできます。
- 統一モードでの暗号化データを含むPDBのアンプラグ
統一モードでは、暗号化データを含むPDBをアンプラグして、XMLファイルまたはアーカイブ・ファイルにエクスポートできます。 - 統一モードでの暗号化データを含むPDBのCDBへのプラグイン
暗号化データを含むPDBをCDBにプラグインするには、まずPDBにプラグインしてから、そのPDBのマスター暗号化キーを作成します。 - 統一モードで外部キーストアにマスター暗号化キーが格納されたPDBのアンプラグ
外部キーストアを使用するように構成されたCDBからPDBをアンプラグした後、外部キーストアを使用するように構成された別のCDBにプラグインできます。 - 統一モードで外部キーストアに格納されたマスター暗号化キーを含むPDBのプラグイン
ADMINISTER KEY MANAGEMENT
文を使用すると、外部キーストアから他のCDBに移されたPDBにTDEマスター暗号化キーをインポートできます。
親トピック: 統一モードでの透過的データ暗号化の管理
6.8.2.1 統一モードでの暗号化データを含むPDBのアンプラグ
統一モードでは、暗号化データを含むPDBをアンプラグして、XMLファイルまたはアーカイブ・ファイルにエクスポートできます。
DBA_PDBS
データ・ディクショナリ・ビューのSTATUS
列を問い合せることで、PDBがアンプラグされたかどうかを確認できます。
6.8.2.2 統一モードでの暗号化データを含むPDBのCDBへのプラグイン
暗号化データを含むPDBをCDBにプラグインするには、まずPDBにプラグインしてから、そのPDBのマスター暗号化キーを作成します。
0
に設定されます。キー・バージョンは、V$ENCRYPTED_TABLESPACES
動的ビューのKEY_VERSION
を問い合せて確認できます。同様に、制御ファイルが失われ再作成された場合、以前のキーの履歴は0
にリセットされます。DBA_PDBS
データ・ディクショナリ・ビューのSTATUS
列を問い合せることで、PDBがすでにプラグインされているかどうかを確認できます。
-
CDBルートから、アンプラグされたPDBをCDBにプラグインすることで、PDBを作成します。
統一モードの場合にこの操作を実行するには、
DECRYPT USING transport_secret
句を含めます。PDBのXMLまたはアーカイブ・ファイルに暗号化データが含まれている場合は、この句を使用する必要があります。それ以外の場合、「
ORA-46680: コンテナ・データベースのマスター・キーをエクスポートする必要があります
」エラーが返されます。-
たとえば、PDBデータをXMLファイルにエクスポートした場合は、次のように指定します。
CREATE PLUGGABLE DATABASE CDB1_PDB2 USING '/tmp/cdb1_pdb2.xml' KEYSTORE IDENTIFIED BY EXTERNAL STORE|TDE_wallet_password DECRYPT USING transport_secret;
-
PDBをアーカイブ・ファイルにエクスポートした場合は、次のように指定します。
CREATE PLUGGABLE DATABASE CDB1_PDB2 USING '/tmp/cdb1_pdb2.pdb' KEYSTORE IDENTIFIED BY EXTERNAL STORE|TDE_wallet_password DECRYPT USING transport_secret;
プラグ操作後のPDBのオープン操作中に、Oracle DatabaseによってPDBに暗号化データが含まれるかどうかが判別されます。その場合、PDBは
RESTRICTED
モードでオープンされます。別のPDBをクローニングしてPDBを作成するか、非CDBからPDBを作成するときに、ソース・データベースに暗号化されたデータまたは設定されているTDEマスター暗号化キーがある場合、
CREATE PLUGGABLE DATABASE ... FROM
SQL文のKEYSTORE IDENTIFIED BY keystore_password
句を含めることによって、ターゲット・キーストアのキーストア・パスワードを提供する必要があります。このパスワードは、ターゲット・データベースが自動ログインTDEウォレットを使用している場合でも、指定する必要があります。V$ENCRYPTION_KEYS
動的ビューを問い合せることで、ソース・データベースに暗号化されたデータがあるかどうかや、TDEウォレットでTDEマスター暗号化キーが設定されているかどうかを確認できます -
-
PDBを開きます。
たとえば:
ALTER PLUGGABLE DATABASE CDB1_PDB2 OPEN;
-
次のいずれかの方法を使用して、CDBルートのキーストアを開きます。
- CDBのTDEウォレットが開いていない場合は、次の構文を使用して、コンテナおよび開いているすべてのPDBに対して開きます:
ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN [FORCE KEYSTORE] IDENTIFIED BY EXTERNAL STORE|KEYSTORE_PASSWORD CONTAINER = ALL;
- CDBのTDEウォレットが開いている場合は、プラグインしたPDBに接続し、次の構文を使用してキーストアを開きます:
ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN [FORCE KEYSTORE] IDENTIFIED BY EXTERNAL STORE|KEYSTORE_PASSWORD [CONTAINER = CURRENT];
- CDBのTDEウォレットが開いていない場合は、次の構文を使用して、コンテナおよび開いているすべてのPDBに対して開きます:
-
プラグインしたPDBで、次の構文を使用してPDBのTDEマスター暗号化キーを設定します。
ADMINISTER KEY MANAGEMENT SET KEY [FORCE KEYSTORE] IDENTIFIED BY EXTERNAL STORE|TDE_wallet_password WITH BACKUP [USING 'backup_identifier'];
6.8.2.3 統一モードでの外部キーストアにマスター暗号化キーが格納されたPDBのアンプラグ
外部キーストアを使用するように構成されたCDBからPDBをアンプラグした後、それを同様に外部キーストアを使用するように構成された別のCDBにプラグインできます。
6.8.3 統一モードでの暗号化データを含むクローニングされたPDBの管理
統一モードでは、暗号化データを含むPDBをCDBでクローニングできます。
- 統一モードでの暗号化データを含むクローニングされたPDBの管理について
PDBをクローニングする際、ソースPDBのマスター・キーをクローニングされたPDBが使用できるようにしておく必要があります。 - 統一モードでの暗号化データを含むPDBのCDBへのクローニング
KEYSTORE IDENTIFIED BY
句を含むCREATE PLUGGABLE DATABASE
文によって、暗号化データを含むPDBをクローニングできます。 - 統一モードで、暗号化データを含むPDBのリモート・クローニングを2つのCDB間で実行する
KEYSTORE IDENTIFIED BY
句を含むCREATE PLUGGABLE DATABASE
文は、暗号化されたデータを含むPDBをリモートからクローニングできます。 - TDE Academyビデオ: 暗号化されたPDBのリモートでのクローニングおよびアップグレード
Oracle TDE Academyでは、暗号化されたプラガブル・データベース(PDB)をリモートでクローニングおよびアップグレードする方法についてのビデオを提供しています。 - 統一モードでの暗号化データを含むPDBのCDB間での再配置
KEYSTORE IDENTIFIED BY
句を含むCREATE PLUGGABLE DATABASE
文によって、暗号化データを含むPDBをCDB間で再配置できます。
親トピック: 統一モードでの透過的データ暗号化の管理
6.8.3.1 統一モードでの暗号化データを含むクローニングされたPDBの管理について
PDBをクローニングする際、ソースPDBのマスター暗号化キーをクローニングされたPDBが使用できるようにしておく必要があります。
これにより、クローニングされたPDBが暗号化データに対して操作を行うことができます。クローニングされたPDBがリモートのCDBにある場合であっても、Oracle Databaseがキーを転送するため、クローニングを実行するためにキーをエクスポートまたはインポートする必要はありません。ただし、クローンを作成するCDBのキーストア・パスワードは指定する必要があります。
PDBに暗号化されたデータがある場合は、CDB間でPDBのリモート・クローニング操作を実行し、CDB間でPDBを再配置できます。
6.8.3.2 統一モードでの暗号化データを含むPDBのCDBへのクローニング
KEYSTORE IDENTIFIED BY
句を含むCREATE PLUGGABLE DATABASE
文によって、暗号化データを含むPDBをクローニングできます。
関連トピック
6.8.3.3 統一モードで、暗号化データを含むPDBのリモート・クローニングを2つのCDB間で実行する
KEYSTORE IDENTIFIED BY
句を含むCREATE PLUGGABLE DATABASE
文によって、暗号化データを含むPDBをリモートからクローニングできます。
6.8.3.4 TDE Academyビデオ: 暗号化されたPDBのリモートでのクローニングおよびアップグレード
Oracle TDE Academyでは、暗号化されたプラガブル・データベース(PDB)をリモートでクローニングおよびアップグレードする方法についてのビデオを提供しています。
6.8.4 統一モードでのキーストアの開閉操作の機能
統一モードでキーストアの開閉操作がどのように機能するかを知っておく必要があります。
統一モードの各PDBに関して、透過的データ暗号化の操作が続行できるように、パスワードで保護されたTDEウォレットまたは外部キーストアをPDBで明示的に開く必要があります。(自動ログインTDEウォレットとローカル自動ログインTDEウォレットは自動的に開きます。)PDBのキーストアを閉じることによって、PDBのすべての透過的データ暗号化操作がブロックされます。
PDBにおけるキーストアの開閉操作は、CDBルートにおけるキーストアの開閉ステータスに依存します。
次の点に注意してください。
-
統一モードの各PDBについて個別のキーストアのパスワードを作成できます。
-
パスワードで保護されたTDEウォレットまたは外部キーストアを個々のPDBで手動で開く前に、CDBルートでウォレットまたはキーストアを開く必要があります。
-
自動ログインTDEウォレットが使用されているか、キーストアが閉じている場合は、ウォレットを開くときに、
ADMINISTER KEY MANAGEMENT
文にFORCE KEYSTORE
句を含めます。 -
キーストアがパスワードで保護されたTDEウォレット(パスワードのために外部ストアを使用するウォレット)の場合は、
IDENTIFIED BY
句のパスワードをEXTERNAL STORE
に置き換えます。 -
個々のPDBでTDEマスター暗号化キーを設定するには、事前にCDBルートでキーを設定する必要があります。PDBにキーを設定するときに
USING TAG
句を含めることをお薦めします。たとえば:SELECT ' ADMINISTER KEY MANAGEMENT SET KEY USING TAG '''||SYS_CONTEXT('USERENV', 'CON_NAME')||' '||TO_CHAR (SYSDATE, 'YYYY-MM-DD HH24:MI:SS')||''' FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE WITH BACKUP CONTAINER = CURRENT;' AS "SET KEY COMMAND" FROM DUAL;
USING TAG
句を含めると、特定のPDBに属するキーと、それらがいつ作成されたかを迅速かつ容易に識別できます。 -
自動ログインTDEウォレットとローカル自動ログインTDEウォレットは自動的に開きます。これらを最初にCDBルートからまたはPDBから、手動で開く必要はありません。
-
CDBルートでキーストアを閉じると、これに依存するPDBのキーストアも閉じます。rootにおいてキーストアを閉じる操作は、
CONTAINER
句がALL
に設定されていてキーストアを閉じる操作を実行することと同等です。 -
CDBルートで
ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN
文を実行し、CONTAINER
句をALL
に設定した場合、キーストアは、統一モードで構成されている各オープンPDBでのみ開くことになります。分離モードで構成されているPDBのキーストアはオープンされません。
親トピック: 統一モードでの透過的データ暗号化の管理
6.8.5 統一モードでのすべてのPDBのキーストア・ステータスの確認
V$ENCRYPTION_WALLET
ビューを使用する便利なファンクションを作成して、CDBにおけるすべてのPDBのキーストアのステータスを確認できます。
V$ENCRYPTION_WALLET
ビューでは、PDBのキーストアのステータス(開いているか、閉じているか、ソフトウェアまたは外部キーストアを使用しているかなど)が表示されます。
-
V$ENCRYPTION_WALLET
ビューを使用してキーストアのステータスを検出するファンクションを作成するには、CREATE PROCEDURE
PL/SQL文を使用します。
例6-2に、このファンクションを作成する方法を示します。
例6-2 CDBにおけるすべてのPDBに関するキーストアのステータスを確認するファンクション
CREATE OR REPLACE PROCEDURE all_pdb_v$encryption_wallet IS err_occ BOOLEAN; curr_pdb VARCHAR2(30); pdb_name VARCHAR2(30); wrl_type VARCHAR2(20); status VARCHAR2(30); wallet_type VARCHAR2(20); wallet_order VARCHAR2(12); fully_backed_up VARCHAR2(15); wrl_parameter VARCHAR2(4000); cursor sel_pdbs IS SELECT NAME FROM V$CONTAINERS WHERE NAME <> 'PDB$SEED' order by con_id desc; BEGIN -- Store the original PDB name SELECT sys_context('userenv', 'con_name') INTO curr_pdb FROM DUAL; IF curr_pdb <> 'CDB$ROOT' THEN dbms_output.put_line('Operation valid in ROOT only'); END IF; err_occ := FALSE; dbms_output.put_line('---'); dbms_output.put_line('PDB_NAME WRL_TYPE STATUS '); dbms_output.put_line('------------------------------ -------- ------------------------------'); dbms_output.put_line('WALLET_TYPE WALLET_ORDER FULLY_BACKED_UP'); dbms_output.put_line('-------------------- ------------ ---------------'); dbms_output.put_line('WRL_PARAMETER'); dbms_output.put_line('--------------------------------------------------------------------------'); FOR pdbinfo IN sel_pdbs LOOP pdb_name := DBMS_ASSERT.ENQUOTE_NAME(pdbinfo.name, FALSE); EXECUTE IMMEDIATE 'ALTER SESSION SET CONTAINER = ' || pdb_name; BEGIN pdb_name := rpad(substr(pdb_name,1,30), 30, ' '); EXECUTE IMMEDIATE 'SELECT wrl_type from V$ENCRYPTION_WALLET' into wrl_type; wrl_type := rpad(substr(wrl_type,1,8), 8, ' '); EXECUTE IMMEDIATE 'SELECT status from V$ENCRYPTION_WALLET' into status; status := rpad(substr(status,1,30), 30, ' '); EXECUTE IMMEDIATE 'SELECT wallet_type from V$ENCRYPTION_WALLET' into wallet_type; wallet_type := rpad(substr(wallet_type,1,20), 20, ' '); EXECUTE IMMEDIATE 'SELECT wallet_order from V$ENCRYPTION_WALLET' into wallet_order; wallet_order := rpad(substr(wallet_order,1,9), 12, ' '); EXECUTE IMMEDIATE 'SELECT fully_backed_up from V$ENCRYPTION_WALLET' into fully_backed_up; fully_backed_up := rpad(substr(fully_backed_up,1,9), 15, ' '); EXECUTE IMMEDIATE 'SELECT wrl_parameter from V$ENCRYPTION_WALLET' into wrl_parameter; wrl_parameter := rpad(substr(wrl_parameter,1,79), 79, ' '); dbms_output.put_line(pdb_name || ' ' || wrl_type || ' ' || status); dbms_output.put_line(wallet_type || ' ' || wallet_order || ' ' || fully_backed_up); dbms_output.put_line(wrl_parameter); EXCEPTION WHEN OTHERS THEN err_occ := TRUE; END; END LOOP; IF err_occ = TRUE THEN dbms_output.put_line('One or more PDB resulted in an error'); END IF; END; . / set serveroutput on exec all_pdb_v$encryption_wallet;
親トピック: 統一モードでの透過的データ暗号化の管理