14 Oracle Key Vaultの一般的なシステム管理

一般的なシステム管理とは、ネットワークの詳細およびサービスの構成など、Oracle Key Vaultシステムのシステム管理タスクを示します。

• Oracle Key Vaultの一般的なシステム管理の概要
  システム管理者は、Oracle Key Vault管理コンソールで、システム全体の現在のステータスの検索など、ほとんどの一般的な管理タスクを実行できます。
• マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成
  システムの「Settings」ページで、ネットワーク設定を構成できます。
• マルチマスター・クラスタ環境でのOracle Key Vaultの構成
  マルチマスター・クラスタ環境でOracle Key Vaultを構成する場合、個々のノードまたはマルチマスター・クラスタ環境全体を構成できます。
• システム・リカバリの管理
  システム・リカバリには、失われた管理パスワードのリカバリなどのタスクが含まれます。
• プライマリ/スタンバイ環境のサポート
  Oracle Key Vaultが常にセキュリティ・オブジェクトにアクセスできるように、Oracle Key Vaultを高可用性構成でデプロイできます。
• サード・パーティの証明書の管理
  Oracle Key Vault管理コンソールを使用して、サード・パーティの証明書を管理できます。
• 停止時間の最小化
  業務上重大な操作では、最小限の停止時間でデータにアクセスし、リカバリできるようにする必要があります。

14.1 Oracle Key Vaultの一般的なシステム管理の概要

システム管理者は、Oracle Key Vault管理コンソールで、システム全体の現在のステータスの検索など、ほとんどの一般的な管理タスクを実行できます。

• Oracle Key Vaultの一般的なシステム管理について
  システム管理者が、Oracle Key Vaultのシステム設定を構成します。
• Oracle Key Vaultダッシュボードの表示
  ダッシュボードは、Oracle Key Vaultの現在のステータスを高レベルで示すものであり、すべてのユーザーに公開されます。
• ダッシュボードでのステータス・ペインの使用
  ダッシュボードのステータス・ペインには、アラートへのリンクや現在のユーザー・アクティビティの概要など、有益な高レベルの情報が提供されます。

14.1.1 Oracle Key Vaultの一般的なシステム管理について

システム管理者が、Oracle Key Vaultのシステム設定を構成します。

Oracle Key Vaultシステム設定には、管理、ローカルおよびリモート・モニタリング、電子メール通知、バックアップおよびリカバリ操作、監査などがあります。これらのタスクを実行するには、適切なロールが必要です。システム管理者ロールを持つユーザーはほとんどの管理タスクを実行でき、監査マネージャ・ロールを持つユーザーはアラート設定を構成して、監査レコードをエクスポートできます。ほとんどの場合、Oracle Key Vault管理コンソールでこれらのタスクを実行します。

Oracle Key Vaultシステムの現在のステータスに関する情報をすばやく見つけるために、Oracle Key Vaultダッシュボードを表示できます。

14.1.2 Oracle Key Vaultダッシュボードの表示

ダッシュボードは、Oracle Key Vaultの現在のステータスを高レベルで示すものであり、すべてのユーザーに公開されます。

管理コンソールにログインすると、その「Home」タブにダッシュボードが表示されます。

ログイン時に最初に表示されるセクションは、「Alerts」および「Managed Content」です。

図14-1 「Alerts and Managed Content」ペイン

図14-1「「Alerts and Managed Content」ペイン」の説明

「Home」ページの「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」ペインが「Alerts」および「Managed Content」の後に続きます。

図14-2 「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」の各ペイン

図14-2「「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」の各ペイン」の説明

14.1.3 ダッシュボードの各種ステータス・ペインの使用

ダッシュボードのステータス・ペインには、アラートへのリンクや現在のユーザー・アクティビティの概要など、役立つ高レベルの情報が表示されます。

1. Oracle Key Vault管理コンソールにログインします。
   「Home」タブにダッシュボードが表示されます。
2. 特定のアラートに対して修正処理を実行する手順:
   1. 「Details」列で、アラートに対応するリンクをクリックします。適切なページが表示されます。
   2. 必要に応じて、アラートの修正処理を実行します。
3. ダッシュボードに表示するアラートを構成する手順:
   1. 「Reports」タブをクリックし、左側のサイドバーで「Alerts」をクリックして「Alerts」ページを表示します。
   2. 右上にある「Configure」をクリックするか、左側のサイドバーの「ALERTS」で「Configure Alerts」をクリックし、「Configure Alerts」ページを表示します。
   3. 「Alert Type」を選択し、「Save」をクリックします。
4. 管理対象コンテンツを表示するには、「Alerts」ペインの下に表示される「Managed Content」ボタン(「Show All」ボタンと「Activity」ボタンも表示されます)をクリックします。

   ダッシュボードの「Managed Content」ペインには、Oracle Key Vaultで現在格納および管理されているセキュリティ・オブジェクトに関する集計情報が表示されます。

   このステータス・ペインでは、集計情報が、キー、証明書、不透明オブジェクト、秘密キーおよびTDEマスター暗号化キー、さらに項目の状態(「Pre-Active」、「Active」、「Deactivated」)などの項目タイプに基づいて分類されます。

   「Managed Content」ペインには、「Data Interval」ステータス・ペインに示されるリフレッシュ間隔によって設定された前回リフレッシュ時点での項目タイプと項目の状態が表示されます。

5. 操作およびエンドポイント・アクティビティに関する特定の時間(データ間隔)の情報を表示するには、「Show All」ボタンをクリックします。

   Data Interval: このペインには、期間の長さが表示されます。期間は、「Last 24 hours」、「Last week」、「Last Month」またはユーザー定義の日付範囲に設定できます。「Operations」、「Endpoint Activity」および「User Activity」ペインのリフレッシュ間隔も表示されます。

   Operations: 「Operations」ペインには、キー関連の操作(たとえば、位置確認、アクティブ化、エンドポイントの追加、デフォルト・ウォレットの割当て)を棒で表した棒グラフが含まれます。

   Endpoint Activity: 「Endpoint Activity」ペインには、各エンドポイントで実行された操作の数を追跡する棒グラフが含まれます。

   User Activity: 「User Activity」ペインには、各ユーザーが実行した操作の数を追跡する3D棒グラフが含まれます。

14.2 マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

システムの「Settings」ページで、ネットワーク設定を構成できます。

これらの設定には、DNSの接続情報、SSH、FIPSモード、およびOracle Key Vaultでの再起動または停止操作の実行などの設定が含まれます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」を選択し、左側のサイドバーで「System Settings」を選択します。

   「Settings」ページが表示されます。

   
   図system_settings.pngの説明

   システムの「Settings」ページは次のペインで構成されます。

   • Network Details: このペインのフィールドには、Oracle Key VaultサーバーのIPアドレスおよびホスト名が自動的に移入されます。ただし、変更があった場合は、Oracle Key Vaultインストールの「Host Name」、「IP Address」、「Network Mask」および「Gateway」を更新できます。「MAC Address」はネットワーク・インタフェースのハードウェアに設定されたアドレスであるため、変更できません。

   • Network Services: 次のいずれかのオプションを選択して、「Web Access」および「SSH Access」(セキュア・シェル・アクセス)のサービスをすべてのクライアントまたは一部のクライアント(IPアドレスで指定)に対して有効にすることや、完全に無効にすることができます。

     • All: すべてのIPアドレスが選択されます。

     • IP address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。「Web Access」のオプションとして「IP address(es)」を使用すると、組織のニーズに応じて特定のユーザーを指定し、Oracle Key Vault管理コンソールへのアクセスを一連の限られたユーザーのみに制限できます。

     「SSH Access」を有効化すると、コマンドラインからOracle Key Vaultにアクセスできるようになります。このことは、管理コンソールからすぐには理解できない問題の診断に役立ちます。ユーザーsupportとして、インストール時に作成したサポート・パスワードを使用してログインします。

     Bashシェルを使用している場合は、SSHアクセスで機能するパッチ・セットまたはセキュリティ修正のダウンロードが必要になることがあります。パッチ・セットまたはセキュリティ修正のダウンロードと有効化の方法は、パッチ・セットのリリース・ノートを参照してください。

     診断やトラブルシューティングの目的でSSHアクセスを短期間だけ有効化し、作業が終了したらすぐに無効化することをお薦めします。

     SSHアクセスを有効化または無効化すると、Oracle Key VaultサーバーへのインバウンドSSH接続が有効化または無効化されます。この方法でSSHアクセスを有効化または無効化しても、SSHトンネル設定またはOracle Key Vaultサーバー自体が確立した他のアウトバウンドSSH接続に影響はありません。SSHトンネル設定の場合のように、Oracle Key Vaultでは他のサーバーへのSSH接続も確立できます。

   • System Time: NTPサーバーを使用して現在の時間との同期を維持するようにOracle Key Vaultを構成できます。(最大3つのサーバーのフィールドが表示されます。)NTPサーバーが使用できない場合は、手動で現在の時間を設定できます。カレンダ・アイコンを使用して日付と時間を設定し、これらの値が正しい形式で格納されるようにする必要があります。プライマリ・スタンバイ・デプロイメントでは、プライマリ・サーバーとスタンバイ・サーバーを同じ時間に設定する必要があります。NTPサーバーを使用する場合は、NTPサーバー用のDNSサーバーのIPアドレスが構成および保存されていることを確認します。

   • DNS: 最大3つのIPアドレスにホスト名を変換するように、ドメイン名サービス(DNS)を構成できます。アクセス対象のサーバーのホスト名のみがわかり、IPアドレスはわからない場合に、このことが役立ちます。たとえば、電子メール通知のためにSMTPサーバーを構成しているとき、DNSを設定した後、オプションで、IPアドレスではなくホスト名を入力できます。

   • FIPS mode: このチェック・ボックスの「Enable」を選択するとFIPSモードが有効になり、このチェック・ボックスの選択を解除するとFIPSモードが無効になります。プライマリ/スタンバイ環境では、両方のサーバーのFIPSモード設定が一致していること(両方とも有効になっているか両方とも無効になっていること)を確認します。

   • Syslog: すべてのシステム関連のアラートがsyslogに送信されます。syslogファイルを転送するためのプロトコルを選択します: TCPまたはUDP。

     syslogファイルの宛先コンピュータを設定するには、「Syslog Destinations」フィールドに表示された形式でIPアドレス(およびTCPのポート番号)を入力します。宛先コンピュータが複数ある場合は、それぞれの宛先コンピュータのIPアドレス(およびTCPのポート番号)をスペースで区切ります。

     TCPの場合、IPアドレスとポート番号を指定します。UDPの場合、IPアドレスのみを指定します。

   • RESTful Services: 最初に、「Network Services」の「Web Access」オプションが設定されていることを確認します。次に、「Enable」の後にあるチェック・ボックスを選択して、RESTfulサービスを有効化します。RESTfulサービスを使用すると、エンドポイント・エンロールおよびプロビジョニングを自動化できます。RESTfulサービスは、通常のキー管理アクティビティもサポートしています。

   • Oracle Audit Vault Integration: 集中監査レポート作成およびアラートのために、「Enable」の後にあるボックスを選択して、Oracle Key VaultからOracle Audit Vaultに監査データを送信します。パスワードと確認用パスワードを入力するよう求められます。

3. 「Save」をクリックします。
4. Oracle Key Vaultサーバーを手動で再起動したり、電源をオフにするには、右上にある「Reboot」または「Power Off」をクリックします。
   手動の再起動または電源オフは、メンテナンスのために必要な場合、またはパッチやアップグレード手順でドキュメントに記載されているステップとして特に実行できます。システム設定を変更する場合は手動の再起動は必要ありません。

14.3 マルチマスター・クラスタ環境でのOracle Key Vaultの構成

マルチマスター・クラスタ環境でOracle Key Vaultを構成する場合、個々のノードまたはマルチマスター・クラスタ環境全体を構成できます。

• 個々のマルチマスター・クラスタ・ノードのシステム設定の構成
  クラスタ・ノードに適用される設定を設定または変更できます。
• Oracle Key Vaultマルチマスター・クラスタの管理
  Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultマルチマスター・クラスタを作成、構成および管理できます。

14.3.1 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

クラスタ・ノードに適用される設定を設定または変更できます。

これらの設定の例としては、ネットワーク詳細、ネットワーク・サービス、システム時間、DNS、FIPSモード、syslogおよびOracle Audit Vault統合があります。 ノードに設定された値はクラスタ設定をオーバーライドします。  ただし、個々のノード設定をクリアして、クラスタ設定に戻すことができます。

• ノードのネットワーク詳細の構成
  マルチマスター・クラスタでは、任意のOracle Key Vault管理コンソールからネットワーク詳細を構成できます。
• ノードのネットワーク・サービスの構成
  マルチマスター・クラスタでは、任意のOracle Key Vault管理コンソールからネットワーク・サービスを構成できます。
• ノードのシステム時間の構成
  個々のノードの時間を設定およびクリアできます。
• ノードのDNSの構成
  個々のノードのDNSを設定およびクリアできます。
• ノードのFIPSモードの設定
  すべてのマルチマスター・クラスタ・ノードで同じFIPSモード設定を使用する必要があります。使用しないとアラートを受信します。

14.3.1.1 ノードのネットワーク詳細の構成

マルチマスター・クラスタでは、任意のOracle Key Vault管理コンソールからネットワーク詳細を構成できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 次のフィールドの値を更新します。
   • Host Name: ノードの名前を入力します。
   • IP Address: ノードのIPアドレスを入力します。この値は保存後に変更できないことに注意してください。
   • Network Mask: ノードのネットワーク・マスクを入力します。
   • Gateway: ノードのネットワーク・ゲートウェイを入力します。
4. 「Save」をクリックします。

14.3.1.2 ノードのネットワーク・サービスの構成

マルチマスター・クラスタでは、任意のOracle Key Vault管理コンソールからネットワーク・サービスを構成できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「Web Access」で、次のいずれかのオプションを選択します。
   • All: すべてのIPアドレスでこのノードの管理コンソールにアクセスできます。
   • IP Address(es): 管理コンソールへのアクセスを、アドレス・ボックスに入力されたスペース区切りのIPアドレス・リストに制限します。
4. 「Save」をクリックします。

14.3.1.3 ノードのシステム時間の構成

個々のノードの時間を設定およびクリアできます。

• ノードのシステム時間の設定
  マルチマスター・クラスタでは、ノードのシステム時間を設定できます。
• ノードのシステム時間のクリア
  マルチマスター・クラスタでは、ノードの時間設定をクリアし、クラスタの時間設定を使用するようにリセットできます。

14.3.1.3.1 ノードのシステム時間の設定

マルチマスター・クラスタでは、ノードのシステム時間を設定できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「System Settings」ページの「DNS」セクションで、DNSサーバーのIPアドレスを最大で3つ入力して、「Save」をクリックします。
   システム時間に必要なNTPサーバーを構成する前に、DNSサーバーを構成して保存しておく必要があります。
4. 必要に応じて、「System」タブの「System Settings」を選択して、「System Settings」ページに戻ります。
5. 「Use Network Time Protocol」を選択します。
6. 次のフィールドに値を入力します。
   • Synchronize After Save: これを設定して設定を保存すると、指定されたNTPサーバーのいずれかとノードのシステム時間が即座に同期されます。
   • Synchronize Periodically: これを設定すると、事前に決められた間隔でノードのシステム時間が同期されます。
   • Server 1: NTPサーバーのIPアドレスを入力します。サーバー1のアドレスを指定する必要があります。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
   • Server 2: 2番目のNTPサーバーのIPアドレスを入力します。この値はオプションです。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
   • Server 3: 3番目のNTPサーバーのIPアドレスを入力します。この値はオプションです。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
7. 「Save」をクリックします。

14.3.1.3.2 ノードのシステム時間のクリア

マルチマスター・クラスタでは、ノードの時間設定をクリアして、クラスタ時間設定を使用するようにリセットできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「System Time」セクションで「Use Cluster Settings」ボタンをクリックします。
   「Use Cluster Settings」をクリックすると、この設定がすぐに有効になります。後で「Save」をクリックする必要はありません。

14.3.1.4 ノードのDNSの構成

個々のノードのDNSを設定およびクリアできます。

• ノードのDNSの設定
  マルチマスター・クラスタ・ノードのDNSを構成するときは、複数のDNS IPアドレスを入力する必要があります。
• ノードのDNSのクリア
  マルチマスター・クラスタでは、ノードのDNSをクリアできます。これにより、ノードはクラスタDNSを使用するようにリセットされます。

14.3.1.4.1 ノードのDNSの設定

マルチマスター・クラスタ・ノードにDNSを構成する場合は、複数のDNS IPアドレスを入力する必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「System Settings」ページの「DNS」セクションで、DNSサーバーのIPアドレスを最大で3つ入力します。
   最初の値のみ必須ですが、フォルト・トレランスのために他の2つの入力をお薦めします。
4. 「Save」をクリックします。

14.3.1.4.2 ノードのDNSのクリア

マルチマスター・クラスタでは、ノードのDNSをクリアして、クラスタDNSを使用するようにリセットできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「DNS」セクションで「Use Cluster Settings」ボタンをクリックします。
   「Use Cluster Settings」をクリックすると、この設定がすぐに有効になります。後で「Save」をクリックする必要はありません。

14.3.1.5 ノードのFIPSモードの設定

すべてのマルチマスター・クラスタ・ノードでは同じFIPSモード設定を使用する必要があり、そうしないとアラートを受信します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「FIPS Mode」セクションで、次のいずれかを実行します。
   • FIPSモードを有効にするには、「Enable」チェック・ボックスを選択します。
   • FIPSモードを無効にするには、「Enable」チェック・ボックスの選択を解除します。
   FIPSモードの有効化または無効化には数分かかります。
4. 「Save」をクリックします。
   「Save」をクリックすると、Oracle Key Vaultが自動的に再起動します。

14.3.2 Oracle Key Vaultマルチマスター・クラスタの管理

Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultのマルチマスター・クラスタを作成、構成および管理できます。

• クラスタ・システム設定の構成について
  マルチマスター・クラスタ全体に適用される設定を設定または変更できます。
• クラスタのシステム時間の構成
  システム時間を構成するときは、複数のサーバーに対して設定することも、同期を設定することもできます。
• クラスタのDNSの構成
  クラスタのDNSを構成するときは、最大3つのDNSサーバーIPアドレスを入力できます。
• クラスタの最大無効化ノード期間の構成
  クラスタの最大ノード継続時間の構成を時間単位で設定できます。
• クラスタのRESTfulサービスの構成
  クラスタに対してRESTfulサービスを有効または無効にできます。
• クラスタのSyslogの構成
  クラスタのTransmission Control Protocol (TCP)またはユーザー・データグラム・プロトコル(UDP)のいずれかに対してsyslogを有効にできます。
• クラスタのSNMP設定の構成
  マルチマスター・クラスタのSNMPアクセスを有効または無効にできます。

14.3.2.1 クラスタ・システム設定の構成について

マルチマスター・クラスタ全体に適用される設定を設定または変更できます。 

システム時間、DNS、サーバーをクラスタから削除する前に無効化できる最大時間、RESTfulサービスの有効化、syslogに使用するプロトコル、syslog宛先、およびクラスタのモニタリング設定を設定できます。 設定されて個々のノードに保存されている値は、クラスタ設定によってオーバーライドされません。変更を他のノードに伝播するために数分かかる場合があります。

14.3.2.2 クラスタのシステム時間の構成

システム時間を構成するとき、複数のサーバーに対してシステム時間を設定し、同期を設定することもできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
3. 「User Network Time Protocol」オプションを選択します。
   最初の値のみ必須です。
4. 次のフィールドに値を入力します。

   • Synchronize After Save: 設定の保存後に、クラスタ全体で時間を同期します。

   • Synchronize Periodically: 事前に決められた間隔でクラスタ全体で時間を同期します。選択して適用された後は、このオプションの選択を解除できません。

   • Server 1: NTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。

   • Server 2: 2番目のNTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。

   • Server 3: 3番目のNTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。

5. 「System Time」セクションで「Save to Cluster」をクリックします。

14.3.2.3 クラスタのDNSの構成

クラスタのDNSを構成するとき、DNSサーバーのIPアドレスを最大で3つ入力できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
3. 「Cluster System Settings」ページの「DNS」セクションで、DNSサーバーのIPアドレスを最大で3つ入力します。
4. 「DNS」セクションで「Save to Cluster」をクリックします。

14.3.2.4 クラスタの最大無効化ノード期間の構成

クラスタの最大ノード継続時間の構成を時間単位で設定できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
3. 「Maximum Disable Node Duration」セクションで、ノードをクラスタから削除する前に無効化できる期間の値を時間単位で入力します。
4. 「Maximum Disable Node Duration」セクションで、「Save to Cluster」をクリックします。

14.3.2.5 クラスタのRESTfulサービスの構成

クラスタのRESTfulサービスを有効または無効にできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
3. 「RESTful Services」セクションで「Enable」チェック・ボックスを選択します。
4. 「RESTful Services」セクションで「Save to Cluster」をクリックします。

14.3.2.6 クラスタのSyslogの構成

クラスタのTransmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかに対してsyslogを有効にできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
3. 「Syslog」セクションで、次のいずれかのプロトコルを選択します。
   • TCP: TCPプロトコルを使用してsyslogを有効にします。
   • UDP: UDPプロトコルを使用してsyslogを有効にします。
4. 「Syslog Destinationsフィールドに、syslog宛先IPアドレスとポート番号をIP_address:portの形式で入力します。
   複数の宛先をスペースで区切って入力できます。
5. 「Syslog」セクションで「Save to Cluster」をクリックします。

14.3.2.7 クラスタのSNMP設定の構成

マルチマスター・クラスタのSNMPアクセスを有効または無効にできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Monitoring Settings」を選択します。
3. 「Scope」で「Cluster」を選択します。
4. 次のいずれかのオプションを選択して、マルチマスター・クラスタへのSNMPアクセス権を持つユーザーを選択します。
   • All: すべてのIPアドレスからSNMPアクセスを許可します。
   • Disabled: SNMPアクセスは許可されません。
   • IP address(es): アドレス・ボックスに指定されたIPアドレスのリストからSNMPアクセスを許可します。  IPアドレスのスペース区切りリストを入力します。
5. 次のフィールドに値を入力します。
   • Username: SNMPユーザー名を入力します。
   • Password: SNMPパスワードを入力します。
   • Reenter Password: SNMPパスワードを再入力します。
6. 「Save to Cluster」をクリックします。

14.4 システム・リカバリの管理

システム・リカバリには、失われた管理パスワードのリカバリなどのタスクが含まれます。

• システム・リカバリの管理について
  システム・リカバリを実行するには、リカバリ・パスフレーズを使用します。
• 管理者の資格証明のリカバリ
  管理ユーザーの資格証明を追加することで、システムをリカバリできます。
• クラスタ以外の環境でのリカバリ・パスフレーズの変更
  リカバリ・パスフレーズを定期的に変更することがセキュリティ上のよい習慣です。
• マルチマスター・クラスタでのリカバリ・パスフレーズの変更
  マルチマスター・クラスタでのリカバリ・パスフレーズの変更は、2ステップのプロセスです。
• インストール・パスフレーズの変更
  インストール・パスフレーズは、システム・コンソールから変更できます。

14.4.1 システム・リカバリの管理について

システム・リカバリを実行するには、リカバリ・パスフレーズを使用します。

緊急時に管理ユーザーがいない場合、または管理ユーザーのパスワードを変更する必要がある場合は、Oracle Key Vaultのインストール時に作成したリカバリ・パスフレーズを使用してシステムをリカバリできます。また、セキュリティのベスト・プラクティスに従ってリカバリ・パスフレーズを変更することもできます。

14.4.2 管理者の資格証明のリカバリ

管理ユーザーの資格証明を追加して、システムをリカバリできます。

1. HTTPSを使用するWebブラウザで、Oracle Key VaultインストールのIPアドレスを入力します。
2. Oracle Key Vaultのログイン・ページでログインしないでください。
3. ページの右下隅にある「System Recovery」リンクをクリックします。
4. 「Recovery Passphrase」フィールドにリカバリ・パスフレーズを入力し、「Login」をクリックします。

   上部に「Administrator Recovery」および「Recovery Passphrase」の2つのタブが配置された「Administrator Recovery」ページが表示されます。

5. 「Administrator Recovery」ページで、「Key Administrator」、「System Administrator」および「Audit Manager」のフィールドに記入して、これらのロールを新規や既存のユーザー・アカウントに割り当てます。
6. 「Save」をクリックします。

14.4.3 非クラスタ環境でのリカバリ・パスフレーズの変更

リカバリ・パスフレーズを定期的に変更することがセキュリティ上のよい習慣です。

リカバリ・パスフレーズを変更する場合は、常に、システム管理者ロールを持っているユーザーが新しくバックアップを行って、最新のリカバリ・パスフレーズで保護されたバックアップが常に存在する状態にする必要があります。これにより、最新のデータを含むバックアップが必ず1つ以上存在することになります。

1. サーバー・バックアップを実行します。
2. Webブラウザで、Oracle Key VaultインストールのIPアドレスを入力します。
3. Oracle Key Vaultのログイン・ページでログインしないでください。
4. 「System Recovery」リンクをクリックします。

   「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。

5. リカバリ・パスフレーズを入力し、「Login」をクリックします。

   上部に「Administrator Recovery」および「Recovery Passphrase」の2つのタブが配置された「Administrator Recovery」ページが表示されます。

6. 「Recovery Passphrase」をクリックします。

   新しいパスフレーズを入力および再入力するための2つのフィールドを含む「Recovery Passphrase」ページが表示されます。

7. 2つのフィールドに新しいリカバリ・パスフレーズを入力します。
8. 「Submit」をクリックします。

14.4.4 マルチマスター・クラスタのリカバリ・パスフレーズの変更

マルチマスター・クラスタでのリカバリ・パスフレーズの変更は、2ステップのプロセスです。

マルチマスター・クラスタのリカバリ・パスフレーズを変更するには、リカバリ・パスフレーズを変更する前に最初にマルチマスター・クラスタ環境のノード全体で変更を開始する必要があります。

• ステップ1: ノード間でのリカバリ・パスフレーズの変更の開始
  システム管理者ロールを持つユーザーは、リカバリ・パスフレーズが変更されるたびに新しいバックアップを実行する必要があります。
• ステップ2: リカバリ・パスフレーズの変更
  リカバリ・パスフレーズの変更が近いことがマルチマスター・クラスタ・ノードに通知された後に、リカバリ・パスフレーズを変更できます。

14.4.4.1 ステップ1: ノード間のリカバリ・パスフレーズ変更の開始

システム管理者ロールを持つユーザーは、リカバリ・パスフレーズが変更されるたびに新しいバックアップを実行する必要があります。

これは、現在のリカバリ・パスフレーズで保護されているバックアップが常に存在するようにするためです。これにより、最新のデータを含むバックアップが必ず1つ以上存在することになります。最初に、リカバリ・パスフレーズの変更を開始して、マルチマスター・クラスタのすべてのノードにその変更が通知されるようにする必要があります。

1. サーバー・バックアップを実行します。
2. すべてのノードがACTIVE状態で、すべてのノード間でレプリケーションが検証されていることを確認します。
3. Webブラウザに、読取り専用制限モードではないOracle Key VaultインストールのIPアドレスを入力してください。
4. Oracle Key Vaultのログイン・ページでログインしないでください。
5. ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。

   「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。

6. リカバリ・パスフレーズを入力し、「Login」をクリックします。

   上部に「Administrator Recovery」および「Recovery Passphrase」の2つのタブが配置された「Administrator Recovery」ページが表示されます。

7. 「Recovery Passphrase」タブをクリックします。

   
   図screenshot-initiate-change.pngの説明

8. 「Initiate Change」ボタンをクリックします。
9. ログアウトします。
10. 3分から4分待機してから続行します。

    この間に、パスフレーズの変更が実行されることがすべてのノードに通知されます。パスフレーズの変更を取り消すには、「Reset」ボタンをクリックします。

    すべてのノードで、複数のパスフレーズの変更が開始されたかどうかが判断されます。複数のパスフレーズの変更が開始されると、競合解決が実行されます。

14.4.4.2 ステップ2: リカバリ・パスフレーズの変更

リカバリ・パスフレーズの変更が近いことがマルチマスター・クラスタ・ノードに通知された後に、リカバリ・パスフレーズを変更できます。

1. Webブラウザで、Oracle Key Vaultインストールのマルチマスター・クラスタ・ノードのIPアドレスを入力します。
   Oracle Key Vault管理コンソールで使用可能なノードのリストを確認するには、「Clusters」タブを選択し、「Cluster Details」セクションをチェックします。
2. Oracle Key Vaultのログイン・ページでログインしないでください。
3. ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。

   「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。

4. リカバリ・パスフレーズを入力し、「Login」をクリックします。

   上部に「Administrator Recovery」および「Recovery Passphrase」の2つのタブが配置された「Administrator Recovery」ページが表示されます。

5. 「Recovery Passphrase」タブをクリックします。

   新しいパスフレーズを入力および再入力するための2つのフィールドを含む「Recovery Passphrase」ページが表示されます。

6. 2つのフィールドに新しいリカバリ・パスフレーズを入力します。
7. 「Submit」をクリックします。
8. クラスタ内の各ノードに対して前述のステップを繰り返します。

   注意:

   リカバリ・パスフレーズの変更中は、HSM逆移行を実行できません。

   注意:

   ユーザーは、クラスタ内のすべてのノードでリカバリ・パスフレーズを同一に保つ必要があります。クラスタ・ノード間で異なるリカバリ・パスフレーズを設定すると、クラスタ機能(ノードやHSM対応ノードの追加など)に悪影響を及ぼすことがあります。

14.4.5 インストール・パスフレーズの変更

インストール・パスフレーズは、システム・コンソールから変更できます。

• インストール・パスフレーズの変更について
  インストール・パスフレーズは、特定の期間中にのみ変更できます。
• インストール・パスフレーズの変更
  インストール・パスフレーズはシステム・コンソールで変更する必要があります。

14.4.5.1 インストール・パスフレーズの変更について

インストール・パスフレーズは、特定の期間中にのみ変更できます。

インストール・パスフレーズは、インストール時に指定します。インストール・パスフレーズを使用してOracle Key Vaultにログインし、インストール後のタスクを完了する必要があります。インストール・パスフレーズは、インストールした後、インストール後タスクを実行する前にのみ変更できます。インストール後タスクが完了した後、このオプションはコンソールに表示されなくなります。

インストール・パスフレーズを忘れた場合は、新しいインストール・パスフレーズを作成できます。Oracle Key Vaultのすべてのパスフレーズと同様に、インストール・パスフレーズは安全な方法で格納することが重要です。

14.4.5.2 インストール・パスフレーズの変更

システム・コンソールでインストール・パスフレーズを変更する必要があります。

1. Oracle Key Vaultがインストールされているサーバーのシステム・コンソールにアクセスします。

   「Oracle Key Vault Server <Release Number>」画面が表示されます。

   
   図installation_02_18100.pngの説明

2. 「Change Installation Passphrase」を選択し、[Enter]を押します。

   「New Passphrase」画面が表示されます。

   
   図reset_os_user_password_02_18100.pngの説明

3. 「New Passphrase」および「Confirm」フィールドに新しいインストール・パスフレーズを入力します。
   インストール・パスフレーズは8文字以上で、英大文字、英小文字、数字および特殊文字(ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、スペース)をそれぞれ1つ以上含める必要があります。
4. 「OK」を選択し、[Enter]を押します。

   「Installation Passphrase」画面が表示されます。

   
   図reset_os_user_password_03_18100.pngの説明

5. 古いインストール・パスフレーズを入力し、[Enter]を押します。

14.5 プライマリ・スタンバイ環境のサポート

Oracle Key Vaultが常にセキュリティ・オブジェクトにアクセスできるように、Oracle Key Vaultを可用性の高い構成にデプロイできます。

この構成は、障害時リカバリ・シナリオもサポートします。

プライマリ/スタンバイ構成では、2台のOracle Key Vaultサーバーをデプロイできます。プライマリ・サーバーは、エンドポイントからのリクエストにサービスを提供します。プライマリ・サーバーで障害が発生した場合、事前に設定された構成可能な遅延の後にスタンバイ・サーバーが引き継ぎます。この構成可能な遅延によって、通信が短時間断絶した場合にスタンバイ・サーバーによる不必要な引継ぎが発生しないようにできます。

プライマリ・スタンバイ構成は、以前は高可用性構成と呼ばれていました。プライマリ・スタンバイ構成とマルチマスター・クラスタ構成は相互に排他的です。

Oracle Key Vaultでは、プライマリ・スタンバイ読取り専用制限モードをサポートしています。プライマリOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合、プライマリ/スタンバイ読取り専用制限モードでは、Oracle Key Vaultサーバーはエンドポイントにサービスを提供できるため、操作の継続性が保証されます。ただし、監査ログの生成などの操作は影響を受けませんが、キーの生成などの重要で機密性の高い操作は無効になります。

計画外停止によってスタンバイ・サーバーにアクセスできなくなった場合でも、エンドポイントは読取り専用モードでプライマリ・サーバーを使用できます。

14.6 サード・パーティの証明書の管理

Oracle Key Vault管理コンソールを使用して、サード・パーティの証明書を管理できます。

• サード・パーティの証明書の管理について
  Oracle Key Vaultでは、よりセキュアな接続を確保するためにサード・パーティ認証局(CA)によって署名された証明書をインストールできます。
• ステップ1: 証明書リクエストのダウンロード
  証明書をリクエストするときに、警告メッセージを抑止できます。
• ステップ2: 証明書の署名
  Oracle Key Vault certificate.csrファイルをダウンロードした後、署名を受けることができます。
• ステップ3: 署名付き証明書のOracle Key Vaultへのアップロード
  署名付き証明書のアップロードに加えて、必要に応じて証明書の非アクティブ化と再アクティブ化を選択できます。
• 特別なユースケース・シナリオにおけるサード・パーティの証明書
  状況によっては、サード・パーティの証明書を使用する場合に追加のステップを実行する必要があります。

14.6.1 サード・パーティの証明書の管理について

Oracle Key Vaultでは、よりセキュアな接続を確保するためにサード・パーティ認証局(CA)によって署名された証明書をインストールできます。

ユーザーのアイデンティティの証明、通信チャネルの暗号化、およびOracle Key Vaultシステム全体の交換対象データの保護を目的として、サード・パーティのCAが署名した証明書をOracle Key Vaultにアップロードできます。

サード・パーティの証明書をインストールするには、証明書リクエストを生成し、CAによる署名を取得して、署名付き証明書をOracle Key Vaultにアップロードしなおす必要があります。

14.6.2 ステップ1: 証明書リクエストのダウンロード

証明書をリクエストするときに、警告メッセージを抑止できます。

これらの警告メッセージは、ブラウザで、サーバー証明書の属性とOracle Key Vault管理コンソールへのログイン・セッションの属性の間に不一致が検出された場合に表示されます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブをクリックし、「System」メニュー内の「Console Certificate」をクリックして、「Console Certificate」ページを表示します。
3. 右上にある「Generate Certificate Request」をクリックして、「Generate Certificate Request」ページを表示します。

   
   図screenshot-14.4.1-step-2.pngの説明

4. 「Common Name」の横に表示されるOracle Key Vaultサーバーのホスト名を変更する必要がある場合は、「Change」をクリックします。
   「System Settings」ページが表示されます。「Network」ページでホスト名を変更します。
5. サーバーIPアドレスの変更に関するブラウザ警告の表示を抑止する場合は、「Suppress warnings for IP based URL access」というテキストの左側にあるチェック・ボックスを選択します。
6. アスタリスクが付いた必須フィールド(「Organization Name」および「Country/Region」)に値を入力します。
   エラーなく続行するには、これらのフィールドには値を入力する必要があります。必要に応じて、残りのオプション・フィールドに値を入力します。
7. 右上にある「Submit and Download」をクリックします。
   ディレクトリ・ウィンドウが表示され、certificate.csrファイルを保存できます。ディレクトリを選択し、セキュアな場所にファイルを保存します。

14.6.3 ステップ2: 証明書の署名

Oracle Key Vault certificate.csrファイルをダウンロードした後、署名を受けることができます。

証明書に署名を受けるには、バンド外の方式を使用して、選択したCAの署名を取得できます。

その後、管理コンソールを使用して、署名付き証明書をOracle Key Vaultにアップロードしなおすことができます。

14.6.4 ステップ3: Oracle Key Vaultへの署名付き証明書のアップロード

署名付き証明書のアップロードに加えて、オプションで証明書の非アクティブ化および再アクティブ化を選択できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブをクリックし、左側の「System」メニュー内の「Console Certificate」をクリックして、「Console Certificate」ページを表示します。
3. 右上にある「Upload Certificate」をクリックして、「Upload Certificate」ページを表示します。
4. 「Choose File」をクリックして、ローカル・システム上のディレクトリ・ウィンドウを表示します。
5. 署名付き証明書が格納されているディレクトリにナビゲートし、それを選択します。終了したら、「Choose File」というテキストの右側にファイル名が表示されます。
   証明書を選択すると、「Choose File」の右側にファイル名が表示されます。
6. 「Upload」をクリックします。
   証明書がエラーなくインストールされると、その詳細が「Console Certificate」のすぐ下の新しい「Uploaded Certificate Details」パネルに表示されます。

この段階では、必要に応じて、「Uploaded Certificate Details」セクションの右上にある「Deactivate」をクリックして、証明書を非アクティブ化できます。証明書を非アクティブ化すると、「Deactivate」ボタンが「Apply Certificate」ボタンに置き換わります。このボタンをクリックすると、証明書を再アクティブ化できます。

14.6.5 特殊なユース・ケース・シナリオのサード・パーティの証明書

状況によっては、サード・パーティの証明書を使用する際に追加のステップを実行する必要があります。

• プライマリ・スタンバイ環境: プライマリ・スタンバイ構成でサード・パーティの証明書を使用する場合は、最初にプライマリ・サーバーおよびスタンバイ・サーバーに証明書をインストールし、次に、それらをペアにする必要があります。

• RESTfulサービス: サード・パーティの証明書をインストールする場合は、新しい証明書を使用する前に、RESTfulソフトウェア・ユーティリティを再度ダウンロードする必要があります。

• バックアップからリストアされたデータ: サード・パーティの証明書をインストールしてバックアップを実行し、その後、そのバックアップから別のOracle Key Vaultアプライアンスをリストアした場合は、サード・パーティの証明書を使用する前に、新しいサーバーにサード・パーティの証明書を再インストールする必要があります。リストア・プロセスではサード・パーティの証明書はコピーされません。

14.7 停止時間の最小化

業務上重大な操作には、データにアクセスしやすいことと、最小限の停止時間でリカバリできることが必要です。

次の方法で、停止時間を最小限に抑えるようにOracle Key Vaultを構成できます。

• マルチマスター・クラスタの構成: 追加のノードの形式で冗長性を追加することで、マルチマスター・クラスタを構成できます。クライアントは使用可能な任意のノードにアクセスできます。いずれかのノードが失敗した場合、クライアントはエンドポイント・ノード・スキャン・リストの別のノードに自動的に接続します。これにより、停止時間が減少したり、停止時間がなくなる可能性もあります。

• プライマリ・スタンバイ環境の構成: プライマリ・スタンバイ環境は、スタンバイ・サーバーの形式で冗長性を追加することで構成されます。障害発生時にはスタンバイ・サーバーがプライマリ・サーバーから後を引き継ぐことで、単一障害点を排除し、停止時間を最小限に抑えます。

• 読取り専用制限モードの有効化: プライマリまたはスタンバイOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合、プライマリ・スタンバイ読取り専用制限モードにより、エンドポイントの操作の継続性が保証されます。計画外停止によってスタンバイ・サーバーにアクセスできなくなった場合でも、エンドポイントはプライマリ・サーバーを使用できます。

  プライマリ・スタンバイ読取り専用制限モードが無効になっている場合、スタンバイでの障害発生時に、プライマリ・サーバーは使用できなくなり、リクエストの受け入れは停止されます。プライマリ・サーバーとスタンバイ・サーバーの間で接続が復元されるまで、Oracle Key Vaultに接続されたエンドポイントはキーを取得できません。

  プライマリ・サーバーまたはスタンバイ・サーバーに障害が発生した場合のエンドポイントの操作の継続性を保証するには、読取り専用制限モードを有効にします。

• 永続マスター暗号化キー・キャッシュの有効化: 永続マスター暗号化キー・キャッシュにより、プライマリまたはスタンバイ・サーバーに障害が発生した場合にエンドポイントが確実にキーにアクセスできます。障害が発生したピアから存続するサーバーが後を引き継ぐため、エンドポイントは永続キャッシュからキーを取得して、正常に操作を続行できます。

• エンドポイントでのTDE Heartbeatデータベース・パッチの適用: バグ22734547のデータベース・パッチを適用してOracle Key Vaultのハートビートを調整します。

Oracle Key Vaultデータを定期的にバックアップすることをお薦めします。このようにすることで、バックアップとそのデータが最新に保たれます。このバックアップを使用して、新規または既存のOracle Key Vaultサーバーをリストアし、最小限の停止時間とデータ消失で完全稼働させることができます。

Oracle Key Vaultインストールでオンライン・マスター・キー(旧名はTDE直接接続)を使用する場合、停止時間合計を短縮するために、アップグレード中にデータベース・エンドポイントを並行してアップグレードします。