9 Oracle Key Vaultエンドポイントの管理
Oracle Key Vaultのエンドポイントは、データベース・サーバーまたはアプリケーション・サーバーなどのコンピュータ・システムであり、ここではキーおよび資格証明を使用してデータにアクセスします。
- エンドポイントの管理の概要
スタンドアロン環境とマルチマスター・クラスタの両方でエンドポイントを管理する方法はほぼ同じですが、マルチマスター・クラスタにはより多くの制限がある点が異なります。 - エンドポイントの管理
エンドポイントをエンロール、再エンロール、一時停止および削除できます。 - デフォルト・ウォレットとエンドポイント
エンドポイントでは、仮想ウォレットの1つのタイプであるデフォルト・ウォレットを使用できます。 - 仮想ウォレットへのエンドポイント・アクセス権の管理
仮想ウォレットへのエンドポイント・アクセス権を付与し、必要でなくなった場合にアクセス権を取り消したり変更することができます。 - エンドポイント・グループの管理
エンドポイント・グループは、ウォレットの共通セットを共有するエンドポイントの名前付きグループです。 - エンドポイント詳細の管理
エンドポイント詳細は、エンドポイント名、タイプ、説明、プラットフォームおよび電子メール、グループへのエンドポイントの追加、またはエンドポイント・ソフトウェアのアップグレードを指します。 - エンドポイントのアップグレード
エンドポイントのアップグレードは、Oracle Key Vault管理コンソールのログイン・ページまたはエンドポイントから実行できます。
9.1 エンドポイントの管理の概要
スタンドアロン環境とマルチマスター・クラスタの両方でエンドポイントを管理する方法はほぼ同じですが、マルチマスター・クラスタにはより多くの制限がある点が異なります。
- エンドポイントの管理について
Oracle Key Vaultと通信するには、エンドポイントを登録してエンロールする必要があります。 - マルチマスター・クラスタによるエンドポイントへの影響
マルチマスター・クラスタのエンドポイントには制限があります。
親トピック: Oracle Key Vaultエンドポイントの管理
9.1.1 エンドポイントの管理について
Oracle Key Vaultと通信するには、エンドポイントを登録してエンロールする必要があります。
その後、エンドポイント内のキーをOracle Key Vaultにアップロードして他のエンドポイントと共有し、ユーザーがデータにアクセスできるようにこれらのエンドポイントからキーをダウンロードできます。システム管理者ロールを持つユーザーのみがOracle Key Vaultにエンドポイントを追加できます。エンドポイントを追加した後、エンドポイント管理者は、エンドポイントでエンドポイント・ソフトウェアをダウンロードしてインストールすることによって、エンドポイントをエンロールできます。その後、エンドポイントでは、エンドポイント・ソフトウェアとともにパッケージ化されたユーティリティを使用して、Oracle Key Vaultとの間でセキュリティ・オブジェクトをアップロードおよびダウンロードできます。
すべてのユーザーが仮想ウォレットを作成できますが、キー管理者ロールを持つユーザーのみが、仮想ウォレットに含まれるセキュリティ・オブジェクトへのエンドポイント・アクセス権を付与できます。キー管理者は、仮想ウォレットへの共有アクセスを可能にするために、エンドポイント・グループを作成することもできます。仮想ウォレットへのエンドポイント・グループ・アクセス権を付与すると、すべてのメンバー・エンドポイントがその仮想ウォレットへのアクセス権を持ちます。たとえば、Oracle Real Application Clusters (Oracle RAC)データベースのすべてのノードをエンドポイント・グループに入れることによって、仮想ウォレットへのアクセス権をそれらのノードに付与できます。これにより、仮想ウォレットへのアクセス権を各ノードに付与するステップを省略できます。
大規模なデプロイメントがある場合は、少なくとも4つのOracle Key Vaultサーバーをインストールし、エンドポイントをエンロールするときにこれら4つのサーバー間でバランスをとり高可用性を確保します。たとえば、データ・センターに登録するデータベース・エンドポイントが1000個あり、それらに対応するためのOracle Key Vaultの4つのサーバーがある場合、4つのサーバーそれぞれに250個のエンドポイントをエンロールします。
エンドポイントに名前を付ける際は、Oracle Key Vaultユーザー名をOracle Key Vaultエンドポイント名と同じにすることはできません。
エンドポイントに関連する2つの管理ロールは次のとおりです。
- システム管理者ロールを持つユーザー:
- 名前、タイプ、プラットフォーム、説明、電子メール通知などのエンドポイント・メタデータの管理
- エンドポイントのエンロール、一時停止、再エンロールおよび削除で構成される、エンドポイント・ライフサイクルの管理
- キー管理者ロールを持つユーザー:
- エンドポイント・グループの作成、変更および削除で構成される、エンドポイント・グループ・ライフサイクルの管理
- セキュリティ・オブジェクトの作成、変更および削除で構成される、セキュリティ・オブジェクトのライフサイクルの管理
親トピック: エンドポイントの管理の概要
9.1.2 マルチマスター・クラスタによるエンドポイントへの影響
マルチマスター・クラスタ内のエンドポイントには制限があります。
- エンドポイントは、最後に作成または再エンロールされたノードと同じノードからのみエンロールできます。
- エンドポイントは、作成者ノードが属するクラスタ・サブグループに基づいて、初期および後続のエンドポイント・ノード・スキャン・リストを更新します。作成者ノードと同じクラスタ・サブグループからノードを初めて追加すると、Oracle Key Vaultによってエンドポイント・ノード・スキャン・リストが作成されます。Oracle Key Vaultでは、後で他のノードが追加されます。
- 1つまたは両方(ウォレットとエンドポイント)が
PENDING
状態にあり、その割当てが非作成者ノードから試行されている場合、デフォルト・ウォレットをエンドポイントに割り当てることはできません。エンドポイントとウォレットの両方がACTIVE
状態になると、この制限は終了します。
親トピック: エンドポイントの管理の概要
9.2 エンドポイントの管理
エンドポイントをエンロール、再エンロール、一時停止および削除できます。
- エンドポイント・エンロールのタイプ
エンドポイントをエンロールする最初のステップは、エンドポイントをOracle Key Vaultに追加することです。 - マルチマスター・クラスタでのエンドポイント・エンロール
クラスタのエンドポイントは、マルチマスター・クラスタのクライアント・システムです。 - Oracle Key Vaultシステム管理者としてのエンドポイントの追加
システム管理者ロールを付与されたユーザーは、「Endpoints」タブを使用してエンドポイントを追加できます。 - 自己エンロールを使用したエンドポイントの追加
自己エンロール・プロセスでは、エンドポイントは途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスに移行します。 - エンドポイントの削除、一時停止または再エンロール
エンドポイントがセキュリティ・オブジェクトの格納にOracle Key Vaultを使用しなくなった場合、それらを削除してから、再度必要になったときに再エンロールできます。
親トピック: Oracle Key Vaultエンドポイントの管理
9.2.1 エンドポイント・エンロールのタイプ
エンドポイントをエンロールする最初のステップは、エンドポイントをOracle Key Vaultに追加することです。
エンドポイントを追加する(登録するともいう)には、次の2つの方法があります。
- 管理者が開始
システム管理者ロールを持つOracle Key Vaultユーザーが、Oracle Key Vaultにエンドポイントを追加することによって、Oracle Key Vault側からエンロールを開始します。エンドポイントが追加されると、1回限りのエンロール・トークンが生成されます。このトークンは、次の2つの方法でエンドポイント管理者に送信できます。
- 電子メールによってOracle Key Vaultから直接。電子メール通知を使用するには、電子メール設定でSMTPを構成する必要があります。
- 電子メールまたは電話などのバンド外の方式。
エンドポイント管理者は、エンロール・トークンを使用してエンドポイント・ソフトウェアをダウンロードし、エンドポイント側でエンロール・プロセスを完了します。マルチマスター・クラスタでは、エンドポイントの追加に使用された同じノードを使用して、エンドポイントをエンロールする必要があります。
エンドポイントのエンロールに使用したエンロール・トークンを別のエンロールに再度使用することはできません。エンドポイントを再エンロールする必要がある場合は、再エンロール・プロセスで、この目的のために新しい1回限りのエンロール・トークンを生成します。
- 自己エンロール
人による管理操作なしで、特定の時間中にエンドポイントがそれ自体をエンロールできます。エンドポイント自己エンロールは、エンドポイント間でセキュリティ・オブジェクトを共有せず、主にOracle Key Vaultを使用してそれ自体のセキュリティ・オブジェクトを保存およびリストアする場合に役立ちます。エンドポイント自己エンロールの別の用途は、テストです。
自己エンロールされたエンドポイントは、
ENDPT_001
という形式の一般的なエンドポイント名で作成されます。クラスタでは、自己エンロールされたエンドポイントは、ENDPT_xx_001
という形式で汎用エンドポイント名で作成されます。xx
は2桁のノード識別子またはノード番号です。最初は、自己エンロールされたエンドポイントには、それ自体がアップロードまたは作成するセキュリティ・オブジェクトへのアクセス権のみがあります。仮想ウォレットへのアクセス権はありません。後で、そのアイデンティティを検証した後、仮想ウォレットへのエンドポイント・アクセス権を付与できます。エンドポイント自己エンロールはデフォルトでは無効で、システム管理者ロールを持っているユーザーによって有効化される必要があります。エンドポイントが自己エンロールすると予期される短期間に自己エンロールを有効化して、自己エンロール期間が終了したときに無効化することがベスト・プラクティスとなります。
関連項目
親トピック: エンドポイントの管理
9.2.2 マルチマスター・クラスタ内のエンドポイント・エンロール
クラスタのエンドポイントは、マルチマスター・クラスタのクライアント・システムです。
エンドポイント・エンロールは2つのステップに分かれています。最初にエンドポイントを追加してから、エンロールします。
初期ノードになるOracle Key Vaultサーバーは、特に以前のリリースからアップグレードされた場合に、すでにエンロールされているエンドポイントを保持できます。これらの既存のエンドポイントは、クラスタを初期化またはシードします。インダクション中に、クラスタにエンロールされたエンドポイントは新しく追加されたノードにレプリケートされます。インダクション中に、Oracle Key Vaultは、クラスタに追加されたすべての候補ノードにすでにエンロールされているエンドポイントを削除します。
エンドポイントは読取り/書込みノードにのみエンロールできます。
注意:
エンドポイントは、最後に追加または再エンロールされたノードと同じノードにエンロールする必要があります。異なるノード上のマルチマスター・クラスタに同時に追加された新しいエンドポイントには、名前の競合があります。Oracle Key Vaultは、エンドポイント名の競合を自動的に解決し、次の図のような競合解決ページに競合を表示します。ここから、システム管理者は名前の変更を選択できます。
図endpoint-name-conflicts-screenshot.pngの説明
関連項目
親トピック: エンドポイントの管理
9.2.3 Oracle Key Vaultシステム管理者としてのエンドポイントの追加
システム管理者ロールを付与されたユーザーが、「Endpoints」タブを使用してエンドポイントを追加できます。
親トピック: エンドポイントの管理
9.2.4 自己エンロールを使用したエンドポイントの追加
自己エンロール・プロセスでは、エンドポイントは途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスに移行します。
- 自己エンロールを使用したエンドポイントの追加について
Oracle Key Vaultは、エンドポイントの自己エンロールを介してエンロールされたすべてのエンドポイントに自己エンロール済属性を関連付けます。 - 自己エンロールを使用したエンドポイントの追加
Oracle Key Vault管理コンソールから、エンドポイントの自己エンロール・プロセスを構成できます。
親トピック: エンドポイントの管理
9.2.4.1 自己エンロールを使用したエンドポイントの追加について
Oracle Key Vaultでは、エンドポイント自己エンロールでエンロールされたすべてのエンドポイントに、自己エンロール済属性が関連付けられます。
自己エンロールされたエンドポイントは、エンドポイント・ソフトウェアをダウンロードするときに途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスになります。自己エンロールされたエンドポイントは、ENDPT_001
という形式の、システム生成の名前によって認識できます。マルチマスター・クラスタでは、システム生成エンドポイント名はENDPT_node_id_sequential_number
という形式で、node_id
は01
または02
などの値です。たとえば、ENDPT_01_001
は、生成されるエンドポイントの名前になります。
エンドポイント自己エンロールはデフォルトでは無効で、システム管理者ロールを持っているユーザーによって有効化される必要があります。
エンドポイントがエンロールすると予期される限られた期間にエンドポイント自己エンロールを有効化することがベスト・プラクティスとなります。予期したエンドポイントがエンロールされた後、エンドポイント自己エンロールを無効化する必要があります。
親トピック: 自己エンロールを使用したエンドポイントの追加
9.2.5 エンドポイントの削除、一時停止または再エンロール
エンドポイントがセキュリティ・オブジェクトの格納にOracle Key Vaultを使用しなくなった場合、それらを削除してから、再度必要になったときに再エンロールできます。
- エンドポイントの削除について
エンドポイントを削除すると、エンドポイントはOracle Key Vaultから永久に削除されます。 - 1つ以上のエンドポイントの削除
「Endpoints」ページでは、Oracle Key Vaultからエンドポイントのグループを一度に削除できます。 - 1つのエンドポイントの削除(代替方法)
「Endpoint Details」ページには、選択したエンドポイントの統合ビューが、Oracle Key Vaultからエンドポイントを削除するメカニズムも含めて表示されます。 - エンドポイントの一時停止
セキュリティ上の理由からエンドポイントを一時的に停止し、脅威が去った後でエンドポイントを回復できます。 - エンドポイントの再エンロール
エンドポイントを再エンロールすると、エンロール・プロセスによってエンドポイント・ソフトウェアが自動的にアップグレードされます。
親トピック: エンドポイントの管理
9.2.5.1 エンドポイントの削除について
エンドポイントを削除すると、Oracle Key Vaultから永久に削除されます。
ただし、そのエンドポイントによって以前に作成またはアップロードされたセキュリティ・オブジェクトは、Oracle Key Vaultに残ります。同様に、そのエンドポイントに関連付けられているセキュリティ・オブジェクトも残ります。これらのセキュリティ・オブジェクトを永久に削除または再割当てするには、キー管理者ロールを持っているユーザーであるか、ウォレットの権限を管理することでこれらのオブジェクトをマージする権限を持っている必要があります。エンドポイントで以前にダウンロードされたエンドポイント・ソフトウェアも、エンドポイント管理者が削除するまで、エンドポイントに残ります。
PENDING
状態のエンドポイントは、それを作成したユーザーでなければ削除できません。作成したノードで削除する必要があります。
親トピック: エンドポイントの削除、一時停止または再エンロール
9.2.5.2 1つ以上のエンドポイントの削除
「Endpoints」ページでは、Oracle Key Vaultからエンドポイントのグループを一度に削除できます。
関連項目
親トピック: エンドポイントの削除、一時停止または再エンロール
9.2.5.3 1つのエンドポイントの削除(代替方法)
「Endpoint Details」ページには、選択したエンドポイントの統合ビューが表示されます。これには、Oracle Key Vaultからエンドポイントを削除するメカニズムも含まれます。
関連項目
親トピック: エンドポイントの削除、一時停止または再エンロール
9.2.5.4 エンドポイントの一時停止
セキュリティ上の理由からエンドポイントを一時的に停止し、脅威が去った後でエンドポイントを回復できます。
PENDING
状態のエンドポイントは、それを作成したユーザーでなければ一時停止できません。
マルチマスター・クラスタ内のエンドポイントの一時停止には、次のルールが適用されます。
- 通常のエンドポイントの場合、すべての一時停止操作リクエストがクラスタ内のすべてのノードに到達するまで、エンドポイントは引き続き動作します。
- 任意のノードのエンドポイントを一時停止できます。
- クラウドベースのエンドポイントの場合、一時停止操作がリバースSSHトンネルの確立元であるすべてのノードに達するまで、エンドポイントは引き続き動作します。
- リバースSSHトンネルの確立元から、クラウドベースのエンドポイントの任意のノードのエンドポイントを一時停止できます。
関連項目
親トピック: エンドポイントの削除、一時停止または再エンロール
9.2.5.5 エンドポイントの再エンロール
エンドポイントを再エンロールすると、エンロール・プロセスによってエンドポイント・ソフトウェアが自動的にアップグレードされます。
okvclient.jar
をダウンロードして、既存のデプロイメントとは別のディレクトリにデプロイすることをお薦めします。ソフトウェアをデプロイする場合は、-o
オプションを使用して、古いokvclient.ora
を指すシンボリック・リンクを上書きします。PENDING
状態のエンドポイントは、それを作成したユーザーでなければ再エンロールできません。
9.3 デフォルト・ウォレットとエンドポイント
エンドポイントでは、仮想ウォレットの1タイプであるデフォルト・ウォレットを使用できます。
- デフォルト・ウォレットとエンドポイントの関連付け
デフォルト・ウォレットは、ウォレットが明示的に指定されていない場合にセキュリティ・オブジェクトがアップロードされる仮想ウォレットのタイプです。 - エンドポイントのデフォルト・ウォレットの設定
エンドポイントのデフォルト・ウォレットを設定すると、別のウォレットが明示的に指定されていないかぎり、エンドポイントのセキュリティ・オブジェクトがウォレットに自動的にアップロードされます。
親トピック: Oracle Key Vaultエンドポイントの管理
9.3.1 デフォルト・ウォレットとエンドポイントの関連付け
デフォルト・ウォレットは、ウォレットが明示的に指定されていない場合にセキュリティ・オブジェクトがアップロードされる仮想ウォレットのタイプです。
デフォルト・ウォレットは、Oracle Real Application Clusters (Oracle RAC)のノードやOracle Data Guardのプライマリおよびスタンバイ・ノードなど、他のエンドポイントと共有し、すべてのエンドポイントで同じデフォルト・ウォレットを使用できるので便利です。
デフォルト・ウォレットを使用する場合は、エンドポイントを登録した後、エンロールする前に設定する必要があります。エンロール後にデフォルト・ウォレットを使用することを決定した場合は、デフォルト・ウォレットを削除してから、エンドポイントを再エンロールする必要があります。
エンロール・ステータス「registered」は、エンドポイントはOracle Key Vaultに追加されているが、エンドポイント・ソフトウェアがダウンロードおよびインストールされていないことを意味します。ステータスが「registered」の場合は、デフォルト・ウォレットをエンドポイントに関連付ける必要があります。
エンドポイント・エンロール・ステータスは、エンドポイント・ソフトウェアをエンドポイントにダウンロードおよびインストールすると「enrolled」になります。エンドポイントのエンロール後にデフォルト・ウォレットを設定する場合は、エンドポイントを再エンロールして、エンドポイントで今後作成されるすべてのセキュリティ・オブジェクトがそのウォレットに自動的に関連付けられるようにしてください。
マルチマスター・クラスタでは、作成されたエンドポイントおよびウォレットのいずれかがPENDING
状態の場合、デフォルト・ウォレットはそれらが作成された同じノードでのみ割り当てることができます。両方がACTIVE
状態の場合、制限はありません。デフォルト・ウォレットが割り当てられ、エンドポイントがエンロールされると、両方がACTIVE
状態で、そのノードに情報がレプリケートされているかぎり、どのノードからもデフォルト・ウォレットにアクセスできます。
Parent topic: デフォルト・ウォレットとエンドポイント
9.3.2 エンドポイントのデフォルト・ウォレットの設定
エンドポイントのデフォルト・ウォレットを設定すると、別のウォレットが明示的に指定されていないかぎり、エンドポイントのセキュリティ・オブジェクトがウォレットに自動的にアップロードされます。
Parent topic: デフォルト・ウォレットとエンドポイント
9.4 仮想ウォレットへのエンドポイント・アクセス権の管理
仮想ウォレットへのエンドポイント・アクセス権を付与し、必要でなくなった場合にアクセス権を取り消したり変更することができます。
- 仮想ウォレットへのエンドポイント・アクセス権の付与
セキュリティ・オブジェクトをアップロードまたはダウンロードする前に、エンドポイントにはウォレットに対する「Read and Modify」および「Manage Wallet」権限が必要です。 - 仮想ウォレットへのエンドポイント・アクセス権の取消し
「Endpoints」タブを使用して、エンドポイントの仮想ウォレットへのアクセス権を取り消すことができます。 - エンドポイントによってアクセスされるウォレット項目の表示
「ウォレット項目」という用語は、エンドポイントがアクセスできるセキュリティ・オブジェクトを表します。
親トピック: Oracle Key Vaultエンドポイントの管理
9.4.1 仮想ウォレットへのエンドポイント・アクセス権の付与
セキュリティ・オブジェクトをアップロードまたはダウンロードする前に、エンドポイントにはウォレットに対する「Read and Modify」および「Manage Wallet」権限が必要です。
関連項目
親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理
9.4.2 仮想ウォレットへのエンドポイント・アクセス権の取消し
「Endpoints」タブを使用して、エンドポイントの仮想ウォレットへのアクセス権を取り消すことができます。
親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理
9.4.3 エンドポイントによってアクセスされるウォレット項目の表示
ウォレット項目という用語は、エンドポイントがアクセスできるセキュリティ・オブジェクトを指します。
親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理
9.5 エンドポイント・グループの管理
エンドポイント・グループは、ウォレットの共通セットを共有するエンドポイントの名前付きグループです。
- マルチマスター・クラスタによるエンドポイント・グループへの影響
任意のノードにエンドポイント・グループを作成でき、クラスタ全体のプレゼンスが設定されます。 - エンドポイント・グループの作成
ウォレットに格納されたセキュリティ・オブジェクトの共通セットを共有する必要があるエンドポイントを、1つのエンドポイント・グループにまとめることができます。 - エンドポイント・グループ詳細の変更
エンドポイント・グループの作成後、エンドポイントおよびアクセス権のマッピングをエンドポイント・グループに追加できます。 - 仮想ウォレットへのエンドポイント・グループ・アクセス権の付与
エンドポイント・グループに仮想ウォレットへのアクセス権を付与できます。 - エンドポイント・グループへのエンドポイントの追加
名前付きエンドポイント・グループにエンドポイントを追加できます。 - エンドポイント・グループからのエンドポイントの削除
エンドポイント・グループからエンドポイントを削除すると、そのエンドポイント・グループに関連付けられているウォレットへのアクセス権が削除されます。 - エンドポイント・グループの削除
メンバー・エンドポイントが、同じ仮想ウォレットへのアクセス権を必要としなくなった場合、エンドポイント・グループを削除できます。
親トピック: Oracle Key Vaultエンドポイントの管理
9.5.1 マルチマスター・クラスタによるエンドポイント・グループへの影響
任意のノードでエンドポイント・グループを作成し、クラスタ全体のプレゼンスを設定できます。
いずれのノードでもエンドポイント・グループを追加、更新または削除できますが、読取り/書込みモードのみです。
初期ノードになるOracle Key Vaultサーバーは、すでに作成されているエンドポイント・グループを保持できます。これらのエンドポイント・グループは、クラスタの初期化またはシードに使用されます。インダクション中に、クラスタ内のエンドポイント・グループが新しく追加されたノードにレプリケートされます。クラスタに追加された他のすべてのノードで作成されたエンドポイント・グループは、インダクション中に削除されます。
異なるノード上のマルチマスター・クラスタに同時に追加された新しいエンドポイント・グループには、名前の競合があります。Oracle Key Vaultは、すべてのエンドポイント・グループ名の競合を自動的に解決します。これらの競合は競合解決ページに表示され、キー管理者は名前を変更できます。
関連項目
親トピック: エンドポイント・グループの管理
9.5.2 エンドポイント・グループの作成
ウォレットに格納されたセキュリティ・オブジェクトの共通セットを共有する必要がある複数のエンドポイントを、1つのエンドポイント・グループにまとめることができます。
たとえば、Oracle Real Application Clusters (Oracle RAC)、GoldenGateまたはOracle Active Data Guardを使用するエンドポイントが、共有データにアクセスするためのキーを共有する必要がある場合があります。
- キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
- 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。
「Endpoint Groups」ページが表示されます。
- 「Create Endpoint Group」をクリックします。
「Create Endpoint Group」ページが表示されます。
- 新しいグループの名前と簡単な説明を入力します。
- マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。
「Make Unique」は、マルチマスター・クラスタ環境全体でネーミングの競合を制御するために役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成されたエンドポイント・グループは、名前の競合による影響を受けません。
- 「Make Unique」を選択すると、エンドポイント・グループがただちにアクティブになり、ユーザーはこのエンドポイント・グループを使用できます。「Make Unique」をクリックすると、エンドポイント・グループに追加できるエンドポイントのリストも表示されます。
- 「Make Unique」を選択しない場合、エンドポイント・グループは
PENDING
状態で作成されます。その後、Oracle Key Vaultは名前解決操作を開始し、クラスタ全体で一意の名前にエンドポイント・グループ名を変更できます。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。エンドポイント・グループ名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたエンドポイント・グループ名を受け入れるか、エンドポイント・グループ名を変更する必要があります。エンドポイント・グループ名を変更すると、名前解決操作が再起動され、エンドポイント・グループがPENDING
状態に戻ります。PENDING
状態のエンドポイント・グループは、ほとんどの操作の実行に使用できません。
- すべてのエンドポイントをリストした「Select Members」ペインで、各エンドポイントの左側にあるボックスを選択して、エンドポイントをグループに追加します。
- 「Save」をクリックして、エンドポイント・グループの作成を完了します。
これで、新しいエンドポイント・グループが「Endpoint Groups」ページに表示されます。
親トピック: エンドポイント・グループの管理
9.5.3 エンドポイント・グループ詳細の変更
エンドポイント・グループの作成後、エンドポイントおよびアクセス権のマッピングをエンドポイント・グループに追加できます。
親トピック: エンドポイント・グループの管理
9.5.4 仮想ウォレットへのエンドポイント・グループ・アクセス権の付与
エンドポイント・グループに仮想ウォレットへのアクセス権を付与できます。
PENDING
状態のエンドポイント・グループに仮想ウォレットへのアクセス権を付与することはできません。
親トピック: エンドポイント・グループの管理
9.5.5 エンドポイント・グループへのエンドポイントの追加
名前付きエンドポイント・グループにエンドポイントを追加できます。
PENDING
状態のエンドポイントをエンドポイント・グループに追加することはできません。また、PENDING
状態のエンドポイント・グループにエンドポイントを追加することはできません。
関連項目
親トピック: エンドポイント・グループの管理
9.5.6 エンドポイント・グループからのエンドポイントの削除
エンドポイント・グループからエンドポイントを削除すると、そのエンドポイント・グループに関連付けられているウォレットへのアクセス権が削除されます。
PENDING
状態のエンドポイント・グループのエンドポイントを削除できません。
親トピック: エンドポイント・グループの管理
9.5.7 エンドポイント・グループの削除
メンバー・エンドポイントで、同じ仮想ウォレットへのアクセス権が必要がなくなった場合、エンドポイント・グループを削除できます。
PENDING
状態のエンドポイント・グループを削除できるのは、グループにメンバーがないか、またはウォレットへのアクセス権がない場合のみです。
親トピック: エンドポイント・グループの管理
9.6 エンドポイント詳細の管理
エンドポイント詳細は、エンドポイント名、タイプ、説明、プラットフォームおよび電子メール、グループへのエンドポイントの追加、またはエンドポイント・ソフトウェアのアップグレードを指します。
- エンドポイント詳細について
「Endpoint Details」ページには、エンドポイントの統合ビューが表示されます。 - エンドポイント詳細の変更
エンドポイント名、エンドポイント・タイプ、説明、プラットフォームおよび電子メールを変更できます。 - グローバル・エンドポイント構成パラメータ
Oracle Key Vaultでは、Oracle Key Vault管理コンソールで設定できるエンドポイント固有の構成パラメータが提供されています。
親トピック: Oracle Key Vaultエンドポイントの管理
9.6.1 エンドポイント詳細
エンドポイント詳細ページには、エンドポイントの統合ビューが表示されます。
このページにアクセスするには、「Endpoints」タブを選択し、エンドポイントの名前をクリックします。ここから、エンドポイント詳細を変更したり、エンドポイント管理タスクを完了することができます。
図screenshot-9.6.1.pngの説明
親トピック: エンドポイント詳細の管理
9.6.2 エンドポイント詳細の変更
エンドポイント名、エンドポイント・タイプ、説明、プラットフォームおよび電子メールを変更できます。
PENDING
状態にある場合のみです。
親トピック: エンドポイント詳細の管理
9.6.3 グローバル・エンドポイント構成パラメータ
Oracle Key Vaultでは、Oracle Key Vault管理コンソールで設定できるエンドポイント固有の構成パラメータが提供されています。
- グローバル・エンドポイント構成パラメータについて
システム管理者ロールを持つユーザーは、Oracle Key Vault管理コンソールで特定のエンドポイント構成パラメータを一元的に更新できます。 - グローバル・エンドポイント構成パラメータの設定
グローバル・エンドポイント構成パラメータは、Oracle Key Vault管理コンソールで設定できます。
親トピック: エンドポイント詳細の管理
9.6.3.1 グローバル・エンドポイント構成パラメータについて
システム管理者ロールを持つユーザーは、Oracle Key Vault管理コンソールで特定のエンドポイント構成パラメータを集中的に更新できます。
この機能により、システム管理者は特定のエンドポイント構成パラメータをグローバルに設定できます(すべてのエンドポイントまたはエンドポイントごとに)。 システム管理者の複数のエンドポイントを管理するプロセスを簡略化します。
エンドポイント固有のパラメータは、グローバル・パラメータより優先されます。グローバル・パラメータは、エンドポイント固有のパラメータがクリアされると有効になります。Oracle Key Vaultでは、グローバルおよびエンドポイント固有のパラメータがクリアされるか、Oracle Key Vault管理コンソールから設定されていない場合は、デフォルトのシステム・パラメータが使用されます。
Oracle Key Vault管理コンソールで設定された構成パラメータ値は、エンドポイントに動的に適用されます。次回エンドポイントがOracle Key Vaultサーバーに接続すると、更新された構成パラメータがエンドポイントに適用されます。エラーがある場合、更新は適用されません。okvutil
およびPKCS11ライブラリの両方で、エンドポイント構成の更新を取得および適用できます。
マルチマスター・クラスタでは、構成パラメータのレプリケーションはレプリケーション・ラグに依存します。接続先のノードがまだパラメータの新しい値を受信していないため、エンドポイントはすぐに更新を取得できない可能性があります。新しい値が設定されたノードに接続した場合、または過去1時間その構成がリフレッシュされなかった場合は、エンドポイントの構成がリフレッシュされます。
親トピック: グローバル・エンドポイント構成パラメータ
9.6.3.2 グローバル・エンドポイント構成パラメータの設定
グローバル・エンドポイント構成パラメータは、Oracle Key Vault管理コンソールで設定できます。
親トピック: グローバル・エンドポイント構成パラメータ
9.7 エンドポイントのアップグレード
エンドポイント・アップグレードは、Oracle Key Vault管理コンソール・ログイン・ページまたはエンドポイントから実行できます。
- エンロール解除されたエンドポイントからのエンドポイント・ソフトウェアのアップグレード
エンドポイント・ソフトウェアは、Oracle Key Vault管理コンソールのログイン・ウィンドウからアップグレードできます。 - エンロール済エンドポイント上のエンドポイント・ソフトウェアのアップグレード
Oracle Key Vaultの新しいリリースにアップグレードした際に、エンロールされたエンドポイントのエンドポイント・ソフトウェアをアップグレードする必要があります。
親トピック: Oracle Key Vaultエンドポイントの管理
9.7.1 エンロール解除されたエンドポイントからのエンドポイント・ソフトウェアのアップグレード
エンドポイント・ソフトウェアは、Oracle Key Vault管理コンソール・ログイン・ウィンドウからアップグレードできます。
- ステップ1: エンロール解除されたエンドポイント環境の準備
適切な権限があり、エンドポイントにOracle環境変数などの正しい構成があることを確認します。 - ステップ2: エンロール解除されたエンドポイントへのOracle Key Vaultソフトウェアのダウンロード
エンロール済エンドポイントのエンドポイント・ソフトウェアをアップグレードするには、エンドポイントを再エンロールせずにエンドポイント・ソフトウェアをダウンロードできます。 - ステップ3: エンロール解除されたエンドポイントへのOracle Key Vaultソフトウェアのインストール
エンロール済エンドポイントのエンドポイント・ソフトウェアをアップグレードするには、エンドポイントを再エンロールせずにエンドポイント・ソフトウェアをダウンロードできます。 - ステップ4: インストール後タスクの実行
インストールの完了後、エンドポイントのTDE接続を構成し、エンドポイント・ソフトウェアが正しくインストールされていることを確認できます。
親トピック: エンドポイントのアップグレード
9.7.1.2 ステップ2: エンロール解除されたエンドポイントへのOracle Key Vaultソフトウェアのダウンロード
エンロールされたエンドポイントのエンドポイント・ソフトウェアをアップグレードするには、エンドポイントを再エンロールせずにエンドポイント・ソフトウェアをダウンロードできます。
9.7.1.3 ステップ3: エンロール解除されたエンドポイントへのOracle Key Vaultソフトウェアのインストール
エンロールされたエンドポイントのエンドポイント・ソフトウェアをアップグレードするには、エンドポイントを再エンロールせずにエンドポイント・ソフトウェアをダウンロードできます。
9.7.2 エンロール済エンドポイント上のエンドポイント・ソフトウェアのアップグレード
Oracle Key Vaultの新しいリリースにアップグレードした場合は常に、エンロールされたエンドポイントのエンドポイント・ソフトウェアをアップグレードする必要があります。
okvclient.jar
をエンドポイントにダウンロードしてインストールできます。エンドポイントを再エンロールする必要はありません。