7 Oracle Key Vaultユーザーの管理
Oracle Key Vaultユーザーは、システムの管理、エンドポイントのエンロール、ユーザーおよびエンドポイントの管理、セキュリティ・オブジェクトへのアクセス権の制御、およびその他のユーザーへの管理ロールの付与を行います。
- ユーザー・アカウントの管理
Oracle Key Vaultユーザー・アカウントを作成し、これらのユーザーにKey Vault管理ロールを付与し、ユーザーをユーザー・グループに追加できます。 - 管理ロールおよび権限の管理
Oracle Key Vaultには、ユーザーに付与(または変更)したり、ユーザーから取り消すことができる事前定義済のロールがあります。 - ユーザー・パスワードの管理
管理者またはユーザーは、ユーザーのパスワードを変更できます。パスワードを自動的にリセットすることもできます。 - ユーザーの電子メールの管理
Oracle Key Vaultユーザーは、システムの変更などのアラートを受信できるように、現在の電子メールをファイルに保存する必要があります。 - ユーザー・グループの管理
共通の目的を持つユーザーを、指定されたユーザー・グループに編成できます。
7.1 ユーザー・アカウントの管理
Oracle Key Vaultユーザー・アカウントを作成し、これらのユーザーにKey Vault管理ロールを付与し、ユーザーをユーザー・グループに追加できます。
- Oracle Key Vaultユーザー・アカウントについて
Oracle Key Vaultユーザーは複数の機能を果たします。 - ユーザー・アカウントに対するマルチマスター・クラスタの影響
Oracle Key Vaultマルチマスター・クラスタ環境は、様々な形でユーザーに影響を与えます。 - Oracle Key Vaultユーザー・アカウントの作成
システム管理者ロールを持つユーザーが、Oracle Key Vault管理コンソールからユーザー・アカウントを作成できます。 - ユーザー・アカウントの詳細の表示
すべての管理ユーザーが、Oracle Key Vaultユーザー・アカウントとその詳細のリストを表示できます。 - Oracle Key Vaultユーザー・アカウントの削除
Oracle Key Vaultユーザーを削除すると、そのユーザーがOracle Key Vaultに含まれていたユーザー・グループからユーザーが削除されます。
親トピック: Oracle Key Vaultユーザーの管理
7.1.1 Oracle Key Vaultユーザー・アカウントについて
Oracle Key Vaultユーザーは複数の役割を担当します。
ユーザーの重要な役割は、Oracle Key Vaultエンドポイントを登録およびエンロールし、ユーザーがOracle Key Vaultを使用して自分のセキュリティ・オブジェクトを管理できるようにすることです。
Oracle Key Vaultユーザーには、次の2つのタイプがあります。
-
システム管理者、キー管理者または監査マネージャという3つの管理ロールのうち、1つ以上を持っている管理ユーザー
-
管理ロールは持っていないが、セキュリティ・オブジェクトへのアクセス権を持っている通常のユーザー
Oracle Key Vaultでの義務の分離とは、管理ロールを持っているユーザーはそれらのロールに関連する機能へのアクセス権を持っているが、他のロールに関連する機能へのアクセス権は持っていないことを意味します。たとえば、「System」タブにフルアクセスが許可されるのはシステム管理者ロールのユーザーのみで、キー管理者ロールや監査マネージャ・ロールのユーザーには許可されません。同様に、システム管理者はエンドポイントを追加できますが、エンドポイント・グループを作成することはできません。エンドポイント・グループの作成に必要なユーザー・インタフェース要素は、キー管理者にのみ表示されます。
管理ロールを持たないユーザーには、その役割に固有のセキュリティ・オブジェクトへのアクセス権を付与できます。たとえば、特定の仮想ウォレットへのユーザー・アクセス権を付与できます。このユーザーは、Oracle Key Vault管理コンソールにログインして、自分のセキュリティ・オブジェクトを追加、管理および削除できますが、システム・メニュー、他のユーザーおよびエンドポイントの詳細、それらのウォレットまたは監査レポートは確認できません。
ユーザー義務の分離をお薦めしますが、1人のユーザーにすべての管理ロールを付与して、すべての管理機能を実行させることができます。
Oracle Key Vaultでは、ユーザー名を別のユーザーまたはエンドポイントと同じ名前にすることはできません。マルチマスター・クラスタ環境でユーザーを作成する場合、同じ名前のユーザーが同時に別のノードで作成される可能性があります。この場合、Oracle Key Vaultではネーミングの競合がチェックされ、その名前の最初のユーザー・アカウントより後に作成されたユーザー・アカウントの名前が自動的に変更されます。2番目のユーザーを削除してから、別の名前で再作成する必要があります。
親トピック: ユーザー・アカウントの管理
7.1.2 ユーザー・アカウントに対するマルチマスター・クラスタの影響
Oracle Key Vaultマルチマスター・クラスタ環境は、様々な形でユーザーに影響します。
これらには、実行できるアクティビティを拡張し、それらの名前がクラスタ環境内の他のオブジェクトと競合しないようにすることが含まれます。
- システム管理者ユーザーに対するマルチマスター・クラスタの影響
システム管理者ロールが付与されているユーザーは、クラスタ構成の管理を担当します。 - キー管理者ユーザーに対するマルチマスター・クラスタの影響
キー管理者ロールを付与されたユーザーは、エンドポイント・グループ、ユーザー・グループ、ウォレットおよびオブジェクトを管理します。 - 監査マネージャ・ユーザーに対するマルチマスター・クラスタの影響
監査マネージャ・ロールを付与されているユーザーは、監査設定の構成を担当します。 - 管理ユーザーへのマルチマスター・クラスタの影響
管理ユーザーは、システム管理者、キー管理者、監査マネージャのロールなど、管理ロールを任意に組み合せて使用できます。 - システム・ユーザーに対するマルチマスター・クラスタの影響
システム・ユーザーは、各Oracle Key Vaultアプライアンス、サーバーおよびノードのオペレーティング・システムを担当します。
親トピック: ユーザー・アカウントの管理
7.1.2.1 システム管理者ユーザーに対するマルチマスター・クラスタの影響
システム管理者ロールを付与されているユーザーは、クラスタ構成の管理を担当します。
マルチマスター・クラスタのシステム管理者ロールには、次の職責があります。
- 単一のOracle Key Vaultサーバーのすべてのシステム管理者職責
- クラスタの初期化、最初のOracle Key Vaultサーバーの初期ノードへの変換
- クラスタへのノードの追加および削除
- クラスタ内のノードの無効化および有効化
- クラスタ全体のシステム設定の管理
- クラスタ操作およびクラスタのヘルス・インジケータの監視
- ノード間のレプリケーションの有効化および無効化
- データおよびネーミングの競合の監視と解決
- クラスタ・アラートの監視および対応
- クラスタ設定の管理
7.1.2.2 キー管理者ユーザーに対するマルチマスター・クラスタの影響
キー管理者ロールを付与されたユーザーは、エンドポイント・グループ、ユーザー・グループ、ウォレットおよびオブジェクトを管理します。
マルチマスター・クラスタでは、これらのアイテムが別々のノードおよび別々のデータ・センターにアップロードされると、名前の競合が発生する可能性があります。キー管理者は、ウォレット、KMIPオブジェクト、エンドポイント・グループおよびユーザー・グループのこれらの競合を解決するための情報をシステム管理者に提供します。
関連項目
7.1.2.3 監査マネージャ・ユーザーに対するマルチマスター・クラスタの影響
監査マネージャ・ロールを付与されているユーザーは、監査設定の構成を担当します。
マルチマスター・クラスタ環境では、このユーザーはクラスタ全体および個々のノードの監査設定を構成できます。監査マネージャ・ユーザーは、必要に応じて個々のノードに異なる設定を使用できます。ただし、このユーザーはクラスタ全体の監査設定を統一することもできます。
監査マネージャは、必要に応じてノード間で監査証跡をレプリケートできます。ただし、これによりノード間のトラフィックが大量になるため、監査マネージャは監査証跡レプリケーションを有効または無効にできます。デフォルトでは、監査証跡のレプリケーションはオフになっています。
7.1.2.4 管理ユーザーに対するマルチマスター・クラスタの影響
管理ユーザーは、システム管理者、キー管理者および監査マネージャの各ロールを含む管理ロールの任意の組合せを持つことができます。
初期ノードとして使用されるOracle Key Vaultサーバーで作成された管理ユーザー情報では、クラスタがシードされます。
クラスタに追加された新しいサーバーは、クラスタから管理ユーザー情報を取得します。サーバーをクラスタにインダクションするためにサーバーに作成された管理者情報は削除されます。
ノードがOracle Key Vaultクラスタに参加した後にノードで作成された管理ユーザーは、クラスタ全体で認識されます。個々のOracle Key VaultノードでOracle Key Vaultクラスタに追加される新しい管理ユーザーの名前は競合することがあります。ユーザー・アカウントが作成されるときに、Oracle Key Vaultによって管理ユーザー名の競合が自動的に解決されます。ユーザーおよびエンドポイントの競合が「Conflicts Resolution」ページに表示され、管理者は競合するエンドポイントの名前を変更できます。ユーザー名の競合がある場合は、自動的に生成されたユーザー名を受け入れるか、ユーザーを削除して再作成する必要があります。ユーザー・アカウントは使用できず、名前解決が完了するまでPENDING
状態になります。
関連項目
7.1.2.5 システム・ユーザーに対するマルチマスター・クラスタの影響
システム・ユーザーは、各Oracle Key Vaultアプライアンス、サーバーおよびノードのオペレーティング・システムを担当します。
最初にOracle Key Vaultサーバーをインストールし、後でOracle Key Vaultクラスタのノードになるように構成します。サーバー構成の一部として、オペレーティング・システム・ユーザー(support
およびroot
)が作成されます。これらのユーザーは、サーバーがクラスタに参加した後も変更されません。
すべてのOracle Key Vaultノードに同じsupport
およびroot
のパスワードを使用する必要があります。レプリケートされるOracle Key Vaultの管理アカウントとは異なり、support
およびroot
アカウントはオペレーティング・システム・ユーザーであり、それらのパスワードはクラスタ間で自動的に同期されません。このため、各ノードでsupport
またはroot
のユーザー・パスワードが異なる可能性があり、クラスタの複数ノードの管理が困難になります。
7.1.3 Oracle Key Vaultユーザー・アカウントの作成
システム管理者ロールを持っているユーザーは、Oracle Key Vault管理コンソールからユーザー・アカウントを作成できます。
親トピック: ユーザー・アカウントの管理
7.1.4 ユーザー・アカウントの詳細の表示
すべての管理ユーザーは、Oracle Key Vaultユーザー・アカウントとその詳細のリストを表示できます。
3つの管理ロールのいずれも持っていないユーザーは、自分のユーザー詳細のみを確認できます。「User Details」ページに、Oracle Key Vaultユーザーの統合ビューが表示されます。このページで、すべてのユーザー管理タスクが実行されます。
親トピック: ユーザー・アカウントの管理
7.1.5 Oracle Key Vaultユーザー・アカウントの削除
Oracle Key Vaultユーザーを削除すると、そのユーザーがOracle Key Vaultに含まれていたユーザー・グループからユーザーが削除されます。
この操作によって、このユーザーが管理するセキュリティ・オブジェクトが削除されることはありません。
管理者はPENDING
状態でないユーザーのみを削除できます。
親トピック: ユーザー・アカウントの管理
7.2 管理ロールおよび権限の管理
Oracle Key Vaultには、ユーザーに付与(または変更)したり、取り消したりできる事前定義済のロールがあります。
- 管理ロールの管理について
追加したユーザー・アカウントの管理ロールを付与または変更できます。 - ユーザーの管理ロールの付与または変更
「Manage Users」ページを使用して、ユーザー管理ロールを付与または変更できます。 - 仮想ウォレットへのユーザー・アクセス権の付与
キー管理者ロールを持つユーザーが、ユーザー、エンドポイントおよびそれぞれのグループのセキュリティ・オブジェクトへのアクセス権を制御します。 - ユーザーからの管理ロールの取消し
「Manage User」ページを使用して、ユーザーからロールを取り消すことができます。
親トピック: Oracle Key Vaultユーザーの管理
7.2.1 管理ロールの管理について
追加したユーザー・アカウントに管理ロールを付与したり、変更することができます。
他のユーザーに管理ロールを付与するには、その管理ロールを持っているユーザーである必要があります。また、必要でなくなった管理ロールを取り消すこともできます。これらのロールを追加、変更または削除することはできません。
マルチマスター・クラスタ環境を使用している場合は、PENDING
状態のユーザーに対して管理ロールの付与、変更および削除を行うことはできません。
親トピック: 管理ロールおよび権限の管理
7.2.3 仮想ウォレットへのユーザー・アクセス権の付与
キー管理者ロールを持っているユーザーは、ユーザー、エンドポイントおよびそれぞれのグループのセキュリティ・オブジェクトへのアクセス権を制御します。
すべてのユーザーに、組織におけるその機能に適したレベルで、Oracle Key Vaultのセキュリティ・オブジェクトへのアクセス権を付与できます。
ウォレットがPENDING
状態の場合、仮想ウォレットへのアクセス権限を付与できません。
7.3 ユーザー・パスワードの管理
管理者またはユーザーはユーザーのパスワードを変更できます。パスワードを自動的にリセットすることもできます。
- ユーザー・パスワードの変更について
有効なOracle Key Vaultユーザーは誰でも自分のパスワードを変更できます。 - 自分のパスワードの変更
ユーザーは誰でも自分のOracle Key Vaultアカウント・パスワードを変更できます。 - 別のユーザーのパスワードの変更
システム管理者ロールを持つユーザーが、別のユーザーのパスワードを変更できます。
親トピック: Oracle Key Vaultユーザーの管理
7.3.1 ユーザー・パスワードの変更について
有効なOracle Key Vaultユーザーなら誰でも、自分のパスワードを変更できます。
システム管理者ロールを持っている場合は、別のユーザーのパスワードを変更できます。また、別のユーザーと同じかそれ以上の管理ロールを持っている場合も、そのユーザーのパスワードをリセットできます。たとえば、監査マネージャ・ロールを持っているユーザーのパスワードを変更する場合、パスワードを変更するには、あらかじめ監査マネージャ・ロールを持っている必要があります。
次のユーザーとロールについて見てみましょう。
ユーザー | システム管理者 | キー管理者 | 監査マネージャ |
---|---|---|---|
|
あり |
あり |
あり |
|
あり |
あり |
- |
|
あり |
- |
- |
|
- |
あり |
- |
|
- |
- |
あり |
|
- |
- |
- |
システム管理者とキー管理者のロールを持っているユーザーOKV_SYS_KEYS_JOE
がログインして、他のユーザーのパスワードを変更するとします。次のような結果になります。
-
OKV_KEYS_KATE
:OKV_SYS_KEYS_JOE
は共通のキー管理者ロールを持っているため、OKV_KEYS_KATE
のパスワードを変更できます。 -
OKV_AUD_AUDREY
:OKV_SYS_KEYS_JOE
は監査マネージャ・ロールを持っていないため、OKV_SYS_KEYS_JOE
はOKV_AUD_AUDREY
のパスワードを変更できません。 -
OKV_ALL_JANE
:OKV_SYS_KEYS_JOE
は監査マネージャ・ロールを持っていないため、ユーザーOKV_ALL_JANE
のパスワードを変更できません。 -
OKV_OLIVER
:OKV_SYS_KEYS_JOE
は、ロールがないユーザーOKV_OLIVER
のパスワードを変更できます。
親トピック: ユーザー・パスワードの管理
7.3.3 別のユーザーのパスワードの変更
システム管理者ロールを持つユーザーが、別のユーザーのパスワードを変更できます。
パスワードをリセットするユーザーと同じかそれ以上の管理ロールを持つユーザーである場合は、別のユーザーのパスワードを変更することもできます。
7.3.3.2 パスワードの自動変更
SMTPを構成せずに「Auto Generate Password」を選択すると、「Email Settings」へのリンクが表示されます。リンクをクリックして電子メール設定を構成し、このトピックのステップを繰り返します。
親トピック: 別のユーザーのパスワードの変更
7.3.3.3 オペレーティング・システム・ユーザー・アカウントのパスワードの変更
root
およびsupport
のパスワードを変更できます。その後、SSHを使用してroot
およびsupport
のパスワードを変更できます。
親トピック: 別のユーザーのパスワードの変更
7.4 ユーザーの電子メールの管理
Oracle Key Vaultユーザーは、システムの変更などのアラートを受信できるように、現在の電子メールをファイルに保存する必要があります。
- ユーザーの電子メール・アドレスの変更
ユーザー・アカウントの作成後、ユーザーの電子メール・アドレスを追加または変更できます。 - ユーザーに対する電子メール通知の無効化
「User Details」ページでユーザーの電子メール通知を無効化できます。
親トピック: Oracle Key Vaultユーザーの管理
7.5 ユーザー・グループの管理
共通の目的を持つユーザーは、指定したユーザー・グループに整理できます。
- ユーザー・グループの管理について
キー管理者ロールを持つユーザーは、ユーザー・グループを作成、変更および削除できます。 - ユーザー・グループに対するマルチマスター・クラスタの影響
ユーザー・グループは、ユーザー・ロールおよび権限をグループ化するためにOracle Key Vaultサーバーおよびクラスタ・レベルで使用されます。 - ユーザー・グループの作成
一連のユーザーが共通セキュリティ・オブジェクトを管理する必要がある場合に、ユーザー・グループを作成できます。 - ユーザー・グループへのユーザーの追加
既存のユーザーがユーザー・グループと同じセキュリティ・オブジェクトを管理する必要がある場合、そのユーザーをグループに追加できます。 - 仮想ウォレットへのユーザー・グループ・アクセス権の付与
機能の必要性に応じて、ユーザー・グループの仮想ウォレットへのアクセス・レベルを変更できます。 - ユーザー・グループの名前の変更
ステータスに応じてユーザー・グループの名前を変更できます。 - ユーザー・グループの説明の変更
グループの説明は、グループの目的を識別するために役立ちます。 - ユーザー・グループからのユーザーの削除
状況に応じて、ユーザー・グループからユーザーを削除できます。 - ユーザー・グループの削除
グループ内のユーザーが同じセキュリティ・オブジェクトにアクセスする必要がない場合は、ユーザー・グループを削除できます。
親トピック: Oracle Key Vaultユーザーの管理
7.5.1 ユーザー・グループの管理について
キー管理者ロールを持つユーザーは、ユーザー・グループを作成、変更および削除できます。
これにより、仮想ウォレットへのアクセスを管理できます。ユーザー・グループの作成後、その詳細を変更できます。
ユーザー・グループの主な目的は、セキュリティ・オブジェクトへのアクセス制御を簡素化することです。一連のユーザーが、セキュリティ・オブジェクトの共通セットにアクセスする必要がある場合、ユーザーごとまたは各セキュリティ・オブジェクトに基づいてアクセス権を付与するのではなく、これらのユーザーをグループに割り当ててグループ・アクセス権を付与できます。特定のユーザーがセキュリティ・オブジェクトにアクセスする必要がなくなった場合は、グループからユーザーを削除できます。新しいユーザーをグループに追加できます。セキュリティ・オブジェクトへのグループのアクセス・レベルはいつでも変更できます。
親トピック: ユーザー・グループの管理
7.5.2 ユーザー・グループに対するマルチマスター・クラスタの影響
ユーザー・グループは、ユーザー・ロールおよび権限をグループ化するためにOracle Key Vaultサーバーおよびクラスタ・レベルで使用されます。
新しいサーバーがクラスタに追加されると、クラスタ内にあるユーザー・グループ情報がOracle Key Vaultによって置き換えられます。新しいユーザー・グループは読取り/書込みペアからクラスタに作成できます。
ノードがOracle Key Vaultクラスタに追加された後にノードで作成されたユーザー・グループは、クラスタ全体で認識されます。2つの異なるノードで作成されたユーザー・グループには、名前の競合がある場合があります。ユーザー・グループ名の競合は自動的に解決されます。これらの競合は「Conflicts Resolution」ページに表示され、管理者は名前の変更を選択できます。
次の点に注意してください。
- ユーザー・グループが
PENDING
状態の場合、ユーザーを追加または削除してメンバーシップを変更することはできません。同様に、保留中状態のユーザーは、ACTIVE
状態のユーザー・グループに追加したり、ユーザー・グループから削除することはできません。 - ウォレットが
PENDING
状態の場合、ユーザーおよびユーザー・グループのアクセス・マッピングを変更できません。同様に、保留中状態のユーザーおよびユーザー・グループは、ウォレットがACTIVE
状態であっても、ウォレット・アクセス・マッピングに追加したり、ウォレット・アクセス・マッピングから削除したりできません。
関連項目
親トピック: ユーザー・グループの管理
7.5.3 ユーザー・グループの作成
一連のユーザーが、セキュリティ・オブジェクトの共通セットを管理する必要がある場合は、ユーザー・グループを作成できます。
グループの作成時またはグループの作成後に、ユーザーをグループに追加できます。
関連項目
親トピック: ユーザー・グループの管理
7.5.4 ユーザー・グループへのユーザーの追加
既存のユーザーがユーザー・グループと同じセキュリティ・オブジェクトを管理する必要がある場合、そのユーザーをグループに追加できます。
ACTIVE
状態の場合、グループの作成時またはグループを作成した後に、ユーザーをグループに追加できます。
親トピック: ユーザー・グループの管理
7.5.5 仮想ウォレットへのユーザー・グループ・アクセス権の付与
機能のニーズの変化に応じて、ユーザー・グループの仮想ウォレットへのアクセス・レベルを変更できます。
ACTIVE
状態の場合は、アクセス・レベルのみを変更できます。
関連項目
親トピック: ユーザー・グループの管理
7.5.6 ユーザー・グループの名前の変更
そのステータスに応じて、ユーザー・グループの名前を変更できます。
PENDING
状態の場合、作成者ユーザーのみがユーザー・グループの名前を変更できます。
親トピック: ユーザー・グループの管理
7.5.7 ユーザー・グループの説明の変更
グループの説明は、グループの目的を識別するために役立ちます。
PENDING
状態の場合、作成者のみがユーザー・グループの説明を変更できます。
親トピック: ユーザー・グループの管理
7.5.8 ユーザー・グループからのユーザーの削除
状況に応じて、ユーザーをユーザー・グループから削除できます。
ACTIVE
状態の場合は、ユーザー・グループからユーザーを削除できます。組織内での機能が変化して、グループと同じセキュリティ・オブジェクトを管理する必要がなくなったユーザーは削除できます。
親トピック: ユーザー・グループの管理
7.5.9 ユーザー・グループの削除
グループ内のユーザーが同じセキュリティ・オブジェクトにアクセスする必要がなくなった場合、ユーザー・グループを削除できます。
PENDING
状態の場合、作成者のみが削除できます。
親トピック: ユーザー・グループの管理