1.348 TDE_CONFIGURATION
TDE_CONFIGURATION
を使用して、ルート・コンテナによってTransparent Data Encryption (TDE)に使用されるキーストアのタイプを設定します。統合PDBはルート・コンテナから値を継承し、分離されたPDBは個別に設定できます。
Oracle Database 18cより前では、各PDBでCDBのキーストアに個別の暗号化キーが格納されました(統合モード)。Oracle Database 18c Cloud環境以降では、PDBは暗号化キーを必要に応じて個別のキーストアに格納できるため(分離モード)、個別のキーストア・パスワードによって保護できます。Oracle Database 19c、バージョン19.14以降では、オンプレミス・データベース、レガシー・デプロイメント、エンジニアド・システムなど、すべてのOracleデータベース・デプロイメントで分離モードを使用できます。
TDE_CONFIGURATION
を有効にするには、WALLET_ROOT
初期化パラメータを設定する必要があります。
特性 | 説明 |
---|---|
パラメータ・タイプ |
文字列 |
構文 |
|
構文 |
value ::=
ノート:
|
デフォルト値 |
なし |
変更可能 |
|
PDBで変更可能 |
はい |
基本 |
いいえ |
Oracle RAC |
|
脚注1
このパラメータがALTER SYSTEM SCOPE=SPFILE
を使用して設定されている場合に、SHOW PARAMETER TDE_CONFIGURATION
文で正しい値が表示されないことがあります。ただし、TDE_CONFIGURATION
に設定された値は、V$ENCRYPTION_WALLET
ビューに表示される情報から導出できます。
指定可能な属性は、次のとおりです。
-
KEYSTORE_CONFIGURATION
属性。この属性は必須です。この属性で指定した値により、指定したPDBのキーストア・タイプが構成されます。この属性に指定可能な値は、次のとおりです。-
FILE
: この値は、ウォレット・キーストアを構成します。 -
OKV
: この値は、TDEキー管理にOracle Key Vault (OKV)を使用するようにデータベースを構成します。また、この値を使用して、自動ログインOKV構成を無効にし、
OKV_PASSWORD
クライアント・シークレットとしてOKVサーバーへの資格証明を含む既存のcwallet.sso
ファイルを無視することもできます。 -
HSM
: この値は、ハードウェア・セキュリティ・モジュール(HSM)を構成します。Oracleでは、TDEキー管理でのHSMの使用はサポートされていません。詳細は、My Oracle Supportノート2310066.1「サードパーティHSMベンダーとのOracle TDEのサポート」を参照してください(URL: https://support.oracle.com/rs?type=doc&id=2310066.1)
-
FILE|OKV
: この値は、OKVからウォレット・キーストアへの移行を構成します。 -
FILE|HSM
: この値は、HSMからウォレット・キーストアへの逆移行を構成します。 -
OKV|FILE
: この値は、ウォレットからOKVへの移行を構成します。この値は自動ログインOKV構成でも使用されます。この構成では、Oracleサーバーは
OKV_PASSWORD
クライアント・シークレットを含むcwallet.sso
ファイルを使用してOKVサーバーにログインするための資格証明を取得する必要があるためです。 -
HSM|FILE
: この値は、ウォレットからHSMへの移行を構成します。Oracleでは、TDEキー管理でのHSMの使用はサポートされていません。詳細は、My Oracle Supportノート2310066.1「サードパーティHSMベンダーとのOracle TDEのサポート」を参照してください(URL: https://support.oracle.com/rs?type=doc&id=2310066.1)
KEYSTORE_CONFIGURATION
属性には、1つの単語(FILE
、OKV
、HSM
値など)で構成されるものがあります。もう1つのKEYSTORE_CONFIGURATION
属性値は、値の構文の必須部分(FILE|OKV
、FILE|HSM
、OKV|FILE
、HSM|FILE
値など)である"|"文字で区切られた2つの単語で構成されます。Oracle Database 18.1より前のOracle Databaseリリースでは、キーストア・タイプは、
SQLNET.ENCRYPTION_WALLET_LOCATION
パラメータのMETHOD
属性を使用してsqlnet.ora
で構成されていました。 -
-
CONTAINER
属性: このオプション属性は、CDBのCDB$ROOT
でパラメータを設定する場合にのみ使用できます。CONTAINER
属性は、CDB$ROOT
がMOUNTED
状態の場合にのみ指定できます。この属性の場合、パラメータを設定するPDBの名前を指定する必要があります。CONTAINER
属性を指定する場合は、KEYSTORE_CONFIGURATION
属性とCONTAINER
属性との区切り文字としてセミコロン(;)を使用する必要があります。
例
次の文では、文の発行元となるオープン状態のPDBのウォレット・キーストアを構成します。
ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=FILE" SCOPE=BOTH SID='*';
次の文では、文の発行元となるMOUNTED
状態のPDBのOKVキーストアを構成します。
ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=OKV" SCOPE=SPFILE SID='*';
次の文は、自動オープンOracle Key Vault設定用に分離スタンバイPDBを構成します。スタンバイPDBはMOUNTED
であるため、コマンドはスタンバイ・ルートCDBで実行する必要があります。
ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=OKV|FILE; CONTAINER=FINANCIALS" SCOPE=both SID='*';
関連項目:
-
キーストアおよび暗号化キーを統合モードで管理する方法の詳細は、『Oracle Database Advanced Securityガイド』を参照してください
-
分離モードでキーストアおよび暗号化キーを管理する方法の詳細は、『Oracle Database Advanced Securityガイド』を参照してください