7.2.1 暗号化プロファイルとは

暗号化プロファイルとは、KMSからマスター・キーを取得するために使用する構成情報です。これには、KMSサーバーへの接続と認証に必要なすべての情報とともに、暗号化と復号化に使用する特定のマスター・キーを取得するために必要なすべての詳細が含まれます。

あらゆるキー管理サービスは、そのサービスのAPIにアクセスするために認証トークンを使用します。Oracle GoldenGate Microservices Architectureは、このアクセス・トークンを資格証明として保管します。この資格証明は、Microservices Architectureの暗号化プロファイルを使用して作成されます。暗号化プロファイル構成は、Microservices Architectureでのみ使用できます。Classic Architectureについては、キー管理サービスを使用したOracle GoldenGate Classic Architectureの暗号化の管理を参照してください。

暗号化プロファイルは、ライター・クライアントとリーダー・クライアントで使用されます。ライター・クライアントは情報を暗号化し、リーダー・クライアントは情報を復号化します。Microservices Architectureでは、これは各コンポーネントに割り当てられた次の役割によって定義されます。

• Extract: ライター・クライアント。

• Replicat: リーダー・クライアント。

• 配布サーバー・パス: ライター・クライアントおよびリーダー・クライアント。

• LogDump: リーダー・クライアント。

クライアントは、暗号化MAの設定時に選択した暗号化プロファイルを使用します。配布サーバーにはライターとリーダーの両方の役割があり、1つの暗号化プロファイルのみ使用されます。ただし、配布サーバーがPASSTHRUモードで動作している場合は、暗号化プロファイルは必要ありません。復号化は、列のフィルタ処理が使用される場合にのみ必要です。様々な暗号化プロファイルを作成できます。また、すべてのクライアントが、必要な暗号化プロファイルにアクセスできます。クライアントは、必要になるたびに、それに関連付けられている暗号化プロファイルにアクセスします。新しい証跡が読み取られるたびに、リーダーは暗号化プロファイルにアクセスします。TTLパラメータは、存続時間(TTL)に達するまでキーをメモリーに保持するために使用されます。

MAでは、それぞれのExtractおよびReplicatプロセスが1つの暗号化プロファイルに関連付けられます。デフォルトの暗号化プロファイルは、デフォルトとして別の暗号化プロファイルを指定していない場合、Local Walletになります。

すでに作成されたExtract、ReplicatおよびDistribution Pathでは関連する暗号化プロファイルを使用します(新しく作成されたものではありません)。新しく作成された暗号化プロファイルは、デフォルトの暗号化プロファイルが変更された後に作成されたプロセスのみが使用します。このため、Extract、ReplicatおよびDistribution Pathのプロセス用に他の暗号化プロファイルを指定した場合、Local Walletプロファイルは使用されません。

配布パスでは、次の場合に暗号化プロファイルが使用されます。

1. ソース証跡が暗号化されておらず、暗号化オブジェクト内でアルゴリズム・プロパティを指定してある。

   "target": {
               "details": {
                   "encryption": {
                       "algorithm": "AES256"
                   }
               },
               "uri": "ogg://localhost:13101/services/v2/targets?trail=b4"
           }

2. ソース証跡が暗号化されており、タイプがCOLUMNVALUESの定義済フィルタがある。

マイクロサービス内の管理サーバーを使用すると、暗号化プロファイルを管理できます。暗号化プロファイルは変更できません。変更する必要がある場合は、管理サーバーを使用してプロファイルを削除してから新しいプロファイルを追加する必要があります。