宛先ホストでOracleキーストアを使用可能にする
ソース・データベースで透過的暗号化が構成されている場合、補助インスタンスでソース・データベースのOracleソフトウェア・キーストアを使用できることを確認する必要があります。ソース・データベースから宛先ホストに手動でキーストアをコピーします。
Oracleソフトウェア・キーストアには、次のことに使用されるTDEマスター・キーが含まれています。
-
バックアップベースの複製の実行時に暗号化バックアップを復号化します。
-
TDEで暗号化されたデータベースまたは表領域のアクティブなデータベースの複製を実行するときに、データベースまたは表領域データを復号化します。
複製データベースでのキーストアの要件は次のとおりです。
-
キーストアは、デフォルトの場所、または
sqlnet.ora
ファイルに指定された場所にある必要がある。 -
データベースがファイルにアクセスできるように、Oracleキーストア・ファイルに権限を設定する必要がある。
-
複製中に補助インスタンスは再起動されるため、Oracleソフトウェア・キーストアは使用できなくなります。補助インスタンスからキーストアへのアクセスを確保するため、
sqlnet.ora
ファイルのENCRYPTION_WALLET_LOCATION
パラメータをキーストアの場所をポイントするように設定します。ENCRYPTION_WALLET_LOCATION
sqlnet.ora
パラメータは、Oracle Databaseリリース 19cでは非推奨です。ソフトウェア・キーストアの場所を構成するには、WALLET_ROOT
初期化パラメータとTDE_CONFIGURATION
初期化パラメータを使用します。 -
Oracle Real Application Clusters (Oracle RAC)では、補助インスタンスをOracle Grid Infrastructureリスナーに静的に登録し、Oracle Gridホームの
sqlnet.ora
ファイル内のENVS
パラメータを使用して、キーストアの場所とデータベースの一意の名前を設定する環境変数を指定します。次の例では、
sqlnet.ora
のENVS
パラメータを設定して、キーストアの場所と一意のデータベース名を指定します。(ENVS="ORACLE_UNQNAME=cdbrptl, ENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=/etc/ORACLE/WALLETS/cdbrpt1)))")
-
ソース・データベースでパスワードベースのソフトウェア・キーストア(自動ログイン・ソフトウェア・キーストアではなく)が使用される場合、複製を開始する前に、キーストア・パスワードを指定する必要があります。
DECRYPTION WALLET OPEN IDENTIFIED BY
句を指定してSET
コマンドを使用し、キーストアをオープンするために使用するパスワードを指定します。次のコマンドは、キーストアを開くために使用するパスワードを指定します(password
は、入力する実際のパスワードのプレースホルダ)。SET DECRYPTION WALLET OPEN IDENTIFIED BY password;
関連項目:
-
sqlnet.ora
でのOracleキーストアの場所の指定の詳細は、『Oracle Database Advanced Securityガイド』を参照してください。 -
Oracleキーストアのデフォルトの場所の詳細は、『Oracle Database Advanced Securityガイド』を参照してください。
-
標準的なOracleキーストアから自動ログイン・キーストアへの変換については、『Oracle Database Advanced Securityガイド』を参照してください。
-
SET
コマンドの詳細は、『Oracle Databaseバックアップおよびリカバリ・リファレンス』を参照してください。
親トピック: 宛先ホストでの補助インスタンスの準備