14 Oracle Key Vaultの一般的なシステム管理

一般的なシステム管理とは、ネットワークの詳細およびサービスの構成など、Oracle Key Vaultシステムのシステム管理タスクを示します。

• Oracle Key Vaultの一般的なシステム管理の概要
  システム管理者は、Oracle Key Vault管理コンソールで、システム全体の現在のステータスの検索など、ほとんどの一般的な管理タスクを実行できます。
• マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成
  システムの「Settings」ページで、ネットワーク設定を構成できます。
• マルチマスター・クラスタ環境でのOracle Key Vaultの構成
  マルチマスター・クラスタ環境でOracle Key Vaultを構成する場合、個々のノードまたはマルチマスター・クラスタ環境全体を構成できます。
• システム・リカバリの管理
  システム・リカバリには、失われた管理パスワードのリカバリなどのタスクが含まれます。
• プライマリ/スタンバイ環境のサポート
  Oracle Key Vaultが常にセキュリティ・オブジェクトにアクセスできるように、Oracle Key Vaultをプライマリ/スタンバイ(可用性の高い)構成にデプロイできます。
• Commercial National Security Algorithmスイートのサポート
  スクリプトを使用して、Oracle Key Vault HSMのバックアップおよびアップグレード操作のためにCommercial National Security Algorithm (CNSA)操作を実行できます。
• 停止時間の最小化
  業務上重大な操作では、最小限の停止時間でデータにアクセスし、リカバリできるようにする必要があります。

14.1 Oracle Key Vaultの一般的なシステム管理の概要

システム管理者は、Oracle Key Vault管理コンソールで、システム全体の現在のステータスの検索など、ほとんどの一般的な管理タスクを実行できます。

• Oracle Key Vaultの一般的なシステム管理について
  システム管理者が、Oracle Key Vaultのシステム設定を構成します。
• Oracle Key Vaultダッシュボードの表示
  ダッシュボードは、Oracle Key Vaultの現在のステータスを高レベルで示すものであり、すべてのユーザーに公開されます。
• ダッシュボードでのステータス・ペインの使用
  ダッシュボードのステータス・ペインには、アラートへのリンクや現在のユーザー・アクティビティの概要など、有益な高レベルの情報が提供されます。

14.1.1 Oracle Key Vaultの一般的なシステム管理について

システム管理者が、Oracle Key Vaultのシステム設定を構成します。

Oracle Key Vaultシステム設定には、管理、ローカルおよびリモート・モニタリング、電子メール通知、バックアップおよびリカバリ操作、監査などがあります。これらのタスクを実行するには、適切なロールが必要です。システム管理者ロールを持つユーザーはほとんどの管理タスクを実行でき、監査マネージャ・ロールを持つユーザーはアラート設定を構成して、監査レコードをエクスポートできます。ほとんどの場合、Oracle Key Vault管理コンソールでこれらのタスクを実行します。

Oracle Key Vaultシステムの現在のステータスに関する情報をすばやく見つけるために、Oracle Key Vaultダッシュボードを表示できます。

14.1.2 Oracle Key Vaultダッシュボードの表示

ダッシュボードは、Oracle Key Vaultの現在のステータスを高レベルで示すものであり、すべてのユーザーに公開されます。

管理コンソールにログインすると、その「Home」タブにダッシュボードが表示されます。

ログイン時に最初に表示されるセクションは、「Alerts」および「Managed Content」です。

図14-1 「Alerts and Managed Content」ペイン

図14-1「「Alerts and Managed Content」ペイン」の説明

「Home」ページの「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」ペインが「Alerts」および「Managed Content」の後に続きます。

図14-2 「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」の各ペイン

図14-2「「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」の各ペイン」の説明

14.1.3 ダッシュボードの各種ステータス・ペインの使用

ダッシュボードのステータス・ペインには、アラートへのリンクや現在のユーザー・アクティビティの概要など、役立つ高レベルの情報が表示されます。

1. Oracle Key Vault管理コンソールにログインします。
   「Home」タブにダッシュボードが表示されます。
2. 特定のアラートに対して修正処理を実行する手順:
   1. 「Details」列で、アラートに対応するリンクをクリックします。適切なページが表示されます。
   2. 必要に応じて、アラートの修正処理を実行します。
3. ダッシュボードに表示するアラートを構成する手順:
   1. 「Reports」タブをクリックし、左側のサイドバーで「Alerts」をクリックして「Alerts」ページを表示します。
   2. 右上にある「Configure」をクリックするか、左側のサイドバーの「ALERTS」で「Configure Alerts」をクリックし、「Configure Alerts」ページを表示します。
   3. 「Alert Type」を選択し、「Save」をクリックします。
4. 管理対象コンテンツを表示するには、「Alerts」ペインの下に表示される「Managed Content」ボタン(「Show All」ボタンと「Activity」ボタンも表示されます)をクリックします。

   ダッシュボードの「Managed Content」ペインには、Oracle Key Vaultで現在格納および管理されているセキュリティ・オブジェクトに関する集計情報が表示されます。

   このステータス・ペインでは、集計情報が、キー、証明書、不透明オブジェクト、秘密キーおよびTDEマスター暗号化キー、さらに項目の状態(「Pre-Active」、「Active」、「Deactivated」)などの項目タイプに基づいて分類されます。

   「Managed Content」ペインには、「Data Interval」ステータス・ペインに示されるリフレッシュ間隔によって設定された前回リフレッシュ時点での項目タイプと項目の状態が表示されます。

5. 操作およびエンドポイント・アクティビティに関する特定の時間(データ間隔)の情報を表示するには、「Show All」ボタンをクリックします。

   Data Interval: このペインには、期間の長さが表示されます。期間は、「Last 24 hours」、「Last week」、「Last Month」またはユーザー定義の日付範囲に設定できます。「Operations」、「Endpoint Activity」および「User Activity」ペインのリフレッシュ間隔も表示されます。

   Operations: 「Operations」ペインには、キー関連の操作(たとえば、位置確認、アクティブ化、エンドポイントの追加、デフォルト・ウォレットの割当て)を棒で表した棒グラフが含まれます。

   Endpoint Activity: 「Endpoint Activity」ペインには、各エンドポイントで実行された操作の数を追跡する棒グラフが含まれます。

   User Activity: 「User Activity」ペインには、各ユーザーが実行した操作の数を追跡する3D棒グラフが含まれます。

14.2 マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

システムの「Settings」ページで、ネットワーク設定を構成できます。

これらの設定には、DNSの接続情報、SSH、FIPSモード、およびOracle Key Vaultでの再起動または停止操作の実行などの設定が含まれます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」を選択し、左側のサイドバーで「System Settings」を選択します。

   「Settings」ページが表示されます。

   
   図system_settings.pngの説明

   システムの「Settings」ページは次のペインで構成されます。

   • Network Details: このペインのフィールドには、Oracle Key VaultサーバーのIPアドレスおよびホスト名が自動的に移入されます。ただし、変更があった場合は、Oracle Key Vaultインストールの「Host Name」、「IP Address」、「Network Mask」および「Gateway」を更新できます。「MAC Address」はネットワーク・インタフェースのハードウェアに設定されたアドレスであるため、変更できません。

   • Network Services: 次のいずれかのオプションを選択して、「Web Access」および「SSH Access」(セキュア・シェル・アクセス)のサービスをすべてのクライアントまたは一部のクライアント(IPアドレスで指定)に対して有効にすることや、完全に無効にすることができます。

     • All: すべてのIPアドレスが選択されます。

     • IP address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。「Web Access」のオプションとして「IP address(es)」を使用すると、組織のニーズに応じて特定のユーザーを指定し、Oracle Key Vault管理コンソールへのアクセスを一連の限られたユーザーのみに制限できます。

     「SSH Access」を有効化すると、コマンドラインからOracle Key Vaultにアクセスできるようになります。このことは、管理コンソールからすぐには理解できない問題の診断に役立ちます。ユーザーsupportとして、インストール時に作成したサポート・パスワードを使用してログインします。SSHアクセスは、バンドル・パッチをダウンロードして適切な場所にコピーする必要がある場合にのみ使用します。

     Bashシェルを使用している場合は、SSHアクセスで機能するパッチ・セットまたはセキュリティ修正のダウンロードが必要になることがあります。パッチ・セットまたはセキュリティ修正のダウンロードと有効化の方法は、パッチ・セットのリリース・ノートを参照してください。

     診断やトラブルシューティングの目的でSSHアクセスを短期間だけ有効化し、作業が終了したらすぐに無効化することをお薦めします。

     SSHアクセスを有効化または無効化すると、Oracle Key VaultサーバーへのインバウンドSSH接続が有効化または無効化されます。この方法でSSHアクセスを有効化または無効化しても、SSHトンネル設定またはOracle Key Vaultサーバー自体が確立した他のアウトバウンドSSH接続に影響はありません。SSHトンネル設定の場合のように、Oracle Key Vaultでは他のサーバーへのSSH接続も確立できます。

   • System Time: NTPサーバーを使用して現在の時間との同期を維持するようにOracle Key Vaultを構成できます。(最大3つのサーバーのフィールドが表示されます。)NTPサーバーが使用できない場合は、手動で現在の時間を設定できます。カレンダ・アイコンを使用して日付と時間を設定し、これらの値が正しい形式で格納されるようにする必要があります。プライマリ・スタンバイ・デプロイメントでは、プライマリ・サーバーとスタンバイ・サーバーを同じ時間に設定する必要があります。NTPサーバーを使用する場合は、NTPサーバー用のDNSサーバーのIPアドレスが構成および保存されていることを確認します。

   • DNS: 最大3つのIPアドレスにホスト名を変換するように、ドメイン名サービス(DNS)を構成できます。アクセス対象のサーバーのホスト名のみがわかり、IPアドレスはわからない場合に、このことが役立ちます。たとえば、電子メール通知のためにSMTPサーバーを構成しているとき、DNSを設定した後、オプションで、IPアドレスではなくホスト名を入力できます。

   • FIPS mode: このチェック・ボックスの「Enable」を選択するとFIPSモードが有効になり、このチェック・ボックスの選択を解除するとFIPSモードが無効になります。プライマリ/スタンバイ環境では、両方のサーバーのFIPSモード設定が一致していること(両方とも有効になっているか両方とも無効になっていること)を確認します。

   • Syslog: すべてのシステム関連のアラートがsyslogに送信されます。syslogファイルを転送するためのプロトコルを選択します: TCPまたはUDP。

     syslogファイルの宛先コンピュータを設定するには、「Syslog Destinations」フィールドに表示された形式でIPアドレス(およびTCPのポート番号)を入力します。宛先コンピュータが複数ある場合は、それぞれの宛先コンピュータのIPアドレス(およびTCPのポート番号)をスペースで区切ります。

     TCPの場合、IPアドレスとポート番号を指定します。UDPの場合、IPアドレスのみを指定します。

   • RESTful Services: 最初に、「Network Services」の「Web Access」オプションが設定されていることを確認します。次に、「Enable」の後にあるチェック・ボックスを選択して、RESTfulサービスを有効化します。RESTfulサービスを使用すると、エンドポイント・エンロールおよびプロビジョニングを自動化できます。RESTfulサービスは、通常のキー管理アクティビティもサポートしています。(この設定は、スタンドアロンまたはプライマリ/スタンバイ構成では非クラスタ・モードで表示されます。また、マルチマスター・クラスタ構成では「Cluster System Settings」ページにも表示されます。)

   • Oracle Audit Vault Integration: 集中監査レポート作成およびアラートのために、「Enable」の後にあるボックスを選択して、Oracle Key VaultからOracle Audit Vaultに監査データを送信します。パスワードと確認用パスワードを入力するよう求められます。

3. 「Save」をクリックします。
4. Oracle Key Vaultサーバーを手動で再起動したり、電源をオフにするには、右上にある「Reboot」または「Power Off」をクリックします。
   手動の再起動または電源オフは、メンテナンスのために必要な場合、またはパッチやアップグレード手順でドキュメントに記載されているステップとして特に実行できます。システム設定を変更する場合は手動の再起動は必要ありません。

14.3 マルチマスター・クラスタ環境でのOracle Key Vaultの構成

マルチマスター・クラスタ環境でOracle Key Vaultを構成する場合、個々のノードまたはマルチマスター・クラスタ環境全体を構成できます。

• 個々のマルチマスター・クラスタ・ノードのシステム設定の構成
  クラスタ・ノードに適用される設定を設定または変更できます。
• Oracle Key Vaultマルチマスター・クラスタの管理
  Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultマルチマスター・クラスタを作成、構成および管理できます。

14.3.1 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

クラスタ・ノードに適用される設定を設定または変更できます。

これらの設定の例としては、ネットワーク詳細、ネットワーク・サービス、システム時間、DNS、FIPSモード、syslogおよびOracle Audit Vault統合があります。 ノードに設定された値はクラスタ設定をオーバーライドします。  ただし、個々のノード設定をクリアして、クラスタ設定に戻すことができます。

• ノードのネットワーク詳細の構成
  マルチマスター・クラスタでは、任意のOracle Key Vault管理コンソールからネットワーク詳細を構成できます。
• ノードのネットワーク・サービスの構成
  マルチマスター・クラスタでは、任意のOracle Key Vault管理コンソールからネットワーク・サービスを構成できます。
• ノードのシステム時間の構成
  個々のノードの時間を設定およびクリアできます。
• ノードのDNSの構成
  個々のノードのDNSを設定およびクリアできます。
• ノードのFIPSモードの設定
  すべてのマルチマスター・クラスタ・ノードで同じFIPSモード設定を使用する必要があります。使用しないとアラートを受信します。

14.3.1.1 ノードのネットワーク詳細の構成

マルチマスター・クラスタでは、任意のOracle Key Vault管理コンソールからネットワーク詳細を構成できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 次のフィールドの値を更新します。
   • Host Name: ノードの名前を入力します。
   • IP Address: ノードのIPアドレスを入力します。この値は保存後に変更できないことに注意してください。
   • Network Mask: ノードのネットワーク・マスクを入力します。
   • Gateway: ノードのネットワーク・ゲートウェイを入力します。
4. 「Save」をクリックします。

14.3.1.2 ノードのネットワーク・サービスの構成

マルチマスター・クラスタでは、任意のOracle Key Vault管理コンソールからネットワーク・サービスを構成できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「Web Access」で、次のいずれかのオプションを選択します。
   • All: すべてのIPアドレスでこのノードの管理コンソールにアクセスできます。
   • IP Address(es): 管理コンソールへのアクセスを、アドレス・ボックスに入力されたスペース区切りのIPアドレス・リストに制限します。
4. 「Save」をクリックします。

14.3.1.3 ノードのシステム時間の構成

個々のノードの時間を設定およびクリアできます。

• ノードのシステム時間の設定
  マルチマスター・クラスタでは、ノードのシステム時間を設定できます。
• ノードのシステム時間のクリア
  マルチマスター・クラスタでは、ノードの時間設定をクリアし、クラスタの時間設定を使用するようにリセットできます。

14.3.1.3.1 ノードのシステム時間の設定

マルチマスター・クラスタでは、ノードのシステム時間を設定できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「System Settings」ページの「DNS」セクションで、DNSサーバーのIPアドレスを最大で3つ入力して、「Save」をクリックします。
   システム時間に必要なNTPサーバーを構成する前に、DNSサーバーを構成して保存しておく必要があります。
4. 必要に応じて、「System」タブの「System Settings」を選択して、「System Settings」ページに戻ります。
5. 「Use Network Time Protocol」を選択します。
6. 次のフィールドに値を入力します。
   • Synchronize After Save: これを設定して設定を保存すると、指定されたNTPサーバーのいずれかとノードのシステム時間が即座に同期されます。
   • Synchronize Periodically: これを設定すると、事前に決められた間隔でノードのシステム時間が同期されます。
   • Server 1: NTPサーバーのIPアドレスを入力します。サーバー1のアドレスを指定する必要があります。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
   • Server 2: 2番目のNTPサーバーのIPアドレスを入力します。この値はオプションです。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
   • Server 3: 3番目のNTPサーバーのIPアドレスを入力します。この値はオプションです。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
7. 「Save」をクリックします。

14.3.1.3.2 ノードのシステム時間のクリア

マルチマスター・クラスタでは、ノードの時間設定をクリアして、クラスタ時間設定を使用するようにリセットできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「System Time」セクションで「Use Cluster Settings」ボタンをクリックします。
   「Use Cluster Settings」をクリックすると、この設定がすぐに有効になります。後で「Save」をクリックする必要はありません。

14.3.1.4 ノードのDNSの構成

個々のノードのDNSを設定およびクリアできます。

• ノードのDNSの設定
  マルチマスター・クラスタ・ノードのDNSを構成するときは、複数のDNS IPアドレスを入力する必要があります。
• ノードのDNSのクリア
  マルチマスター・クラスタでは、ノードのDNSをクリアできます。これにより、ノードはクラスタDNSを使用するようにリセットされます。

14.3.1.4.1 ノードのDNSの設定

マルチマスター・クラスタ・ノードにDNSを構成する場合は、複数のDNS IPアドレスを入力する必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「System Settings」ページの「DNS」セクションで、DNSサーバーのIPアドレスを最大で3つ入力します。
   最初の値のみ必須ですが、フォルト・トレランスのために他の2つの入力をお薦めします。
4. 「Save」をクリックします。

14.3.1.4.2 ノードのDNSのクリア

マルチマスター・クラスタでは、ノードのDNSをクリアして、クラスタDNSを使用するようにリセットできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「DNS」セクションで「Use Cluster Settings」ボタンをクリックします。
   「Use Cluster Settings」をクリックすると、この設定がすぐに有効になります。後で「Save」をクリックする必要はありません。

14.3.1.5 ノードのFIPSモードの設定

すべてのマルチマスター・クラスタ・ノードでは同じFIPSモード設定を使用する必要があり、そうしないとアラートを受信します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「FIPS Mode」セクションで、次のいずれかを実行します。
   • FIPSモードを有効にするには、「Enable」チェック・ボックスを選択します。
   • FIPSモードを無効にするには、「Enable」チェック・ボックスの選択を解除します。
   FIPSモードの有効化または無効化には数分かかります。
4. 「Save」をクリックします。
   「Save」をクリックすると、Oracle Key Vaultが自動的に再起動します。

14.3.2 Oracle Key Vaultマルチマスター・クラスタの管理

Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultのマルチマスター・クラスタを作成、構成および管理できます。

• クラスタ・システム設定の構成について
  マルチマスター・クラスタ全体に適用される設定を設定または変更できます。
• クラスタのシステム時間の構成
  システム時間を構成するときは、複数のサーバーに対して設定することも、同期を設定することもできます。
• クラスタのDNSの構成
  クラスタのDNSを構成するときは、最大3つのDNSサーバーIPアドレスを入力できます。
• クラスタの最大無効化ノード期間の構成
  クラスタの最大ノード継続時間の構成を時間単位で設定できます。
• クラスタのRESTfulサービスの構成
  クラスタに対してRESTfulサービスを有効または無効にできます。
• クラスタのSyslogの構成
  クラスタのTransmission Control Protocol (TCP)またはユーザー・データグラム・プロトコル(UDP)のいずれかに対してsyslogを有効にできます。
• クラスタのSNMP設定の構成
  マルチマスター・クラスタのSNMPアクセスを有効または無効にできます。

14.3.2.1 クラスタ・システム設定の構成について

マルチマスター・クラスタ全体に適用される設定を設定または変更できます。 

システム時間、DNS、サーバーをクラスタから削除する前に無効化できる最大時間、RESTfulサービスの有効化、syslogに使用するプロトコル、syslog宛先、およびクラスタのモニタリング設定を設定できます。 設定されて個々のノードに保存されている値は、クラスタ設定によってオーバーライドされません。変更を他のノードに伝播するために数分かかる場合があります。

14.3.2.2 クラスタのシステム時間の構成

システム時間を構成するとき、複数のサーバーに対してシステム時間を設定し、同期を設定することもできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
3. 「User Network Time Protocol」オプションを選択します。
   最初の値のみ必須です。
4. 次のフィールドに値を入力します。

   • Synchronize After Save: 設定の保存後に、クラスタ全体で時間を同期します。

   • Synchronize Periodically: 事前に決められた間隔でクラスタ全体で時間を同期します。選択して適用された後は、このオプションの選択を解除できません。

   • Server 1: NTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。

   • Server 2: 2番目のNTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。

   • Server 3: 3番目のNTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。

5. 「System Time」セクションで「Save to Cluster」をクリックします。

14.3.2.3 クラスタのDNSの構成

クラスタのDNSを構成するとき、DNSサーバーのIPアドレスを最大で3つ入力できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
3. 「Cluster System Settings」ページの「DNS」セクションで、DNSサーバーのIPアドレスを最大で3つ入力します。
4. 「DNS」セクションで「Save to Cluster」をクリックします。

14.3.2.4 クラスタの最大無効化ノード期間の構成

クラスタの最大ノード継続時間の構成を時間単位で設定できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
3. 「Maximum Disable Node Duration」セクションで、ノードをクラスタから削除する前に無効化できる期間の値を時間単位で入力します。
4. 「Maximum Disable Node Duration」セクションで、「Save to Cluster」をクリックします。

14.3.2.5 クラスタのRESTfulサービスの構成

クラスタのRESTfulサービスを有効または無効にできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
3. 「RESTful Services」セクションで「Enable」チェック・ボックスを選択します。
4. 「RESTful Services」セクションで「Save to Cluster」をクリックします。

14.3.2.6 クラスタのSyslogの構成

クラスタのTransmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかに対してsyslogを有効にできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
3. 「Syslog」セクションで、次のいずれかのプロトコルを選択します。
   • TCP: TCPプロトコルを使用してsyslogを有効にします。
   • UDP: UDPプロトコルを使用してsyslogを有効にします。
4. 「Syslog Destinationsフィールドに、syslog宛先IPアドレスとポート番号をIP_address:portの形式で入力します。
   複数の宛先をスペースで区切って入力できます。
5. 「Syslog」セクションで「Save to Cluster」をクリックします。

14.3.2.7 クラスタのSNMP設定の構成

マルチマスター・クラスタのSNMPアクセスを有効または無効にできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Monitoring Settings」を選択します。
3. 「Scope」で「Cluster」を選択します。
4. 次のいずれかのオプションを選択して、マルチマスター・クラスタへのSNMPアクセス権を持つユーザーを選択します。
   • All: すべてのIPアドレスからSNMPアクセスを許可します。
   • Disabled: SNMPアクセスは許可されません。
   • IP address(es): アドレス・ボックスに指定されたIPアドレスのリストからSNMPアクセスを許可します。  IPアドレスのスペース区切りリストを入力します。
5. 次のフィールドに値を入力します。
   • Username: SNMPユーザー名を入力します。
   • Password: SNMPパスワードを入力します。
   • Reenter Password: SNMPパスワードを再入力します。
6. 「Save to Cluster」をクリックします。

14.4 システム・リカバリの管理

システム・リカバリには、失われた管理パスワードのリカバリなどのタスクが含まれます。

• システム・リカバリの管理について
  システム・リカバリを実行するには、リカバリ・パスフレーズを使用します。
• 管理者の資格証明のリカバリ
  管理ユーザーの資格証明を追加することで、システムをリカバリできます。
• クラスタ以外の環境でのリカバリ・パスフレーズの変更
  リカバリ・パスフレーズを定期的に変更することがセキュリティ上のよい習慣です。
• マルチマスター・クラスタでのリカバリ・パスフレーズの変更
  マルチマスター・クラスタでのリカバリ・パスフレーズの変更は、2ステップのプロセスです。
• インストール・パスフレーズの変更
  インストール・パスフレーズは、システム・コンソールから変更できます。

14.4.1 システム・リカバリの管理について

システム・リカバリを実行するには、リカバリ・パスフレーズを使用します。

緊急時に管理ユーザーがいない場合、または管理ユーザーのパスワードを変更する必要がある場合は、Oracle Key Vaultのインストール時に作成したリカバリ・パスフレーズを使用してシステムをリカバリできます。また、セキュリティのベスト・プラクティスに従ってリカバリ・パスフレーズを変更することもできます。

14.4.2 管理者の資格証明のリカバリ

管理ユーザーの資格証明を追加して、システムをリカバリできます。

1. HTTPSを使用するWebブラウザで、Oracle Key VaultインストールのIPアドレスを入力します。
2. Oracle Key Vaultのログイン・ページでログインしないでください。
3. ページの右下隅にある「System Recovery」リンクをクリックします。
4. 「Recovery Passphrase」フィールドにリカバリ・パスフレーズを入力し、「Login」をクリックします。

   上部に「Administrator Recovery」および「Recovery Passphrase」の2つのタブが配置された「Administrator Recovery」ページが表示されます。

5. 「Administrator Recovery」ページで、「Key Administrator」、「System Administrator」および「Audit Manager」のフィールドに記入して、これらのロールを新規や既存のユーザー・アカウントに割り当てます。
6. 「Save」をクリックします。

14.4.3 非クラスタ環境でのリカバリ・パスフレーズの変更

リカバリ・パスフレーズを定期的に変更することがセキュリティ上のよい習慣です。

リカバリ・パスフレーズを変更する場合は、常に、システム管理者ロールを持っているユーザーが新しくバックアップを行って、最新のリカバリ・パスフレーズで保護されたバックアップが常に存在する状態にする必要があります。これにより、最新のデータを含むバックアップが必ず1つ以上存在することになります。

1. サーバー・バックアップを実行します。
2. Webブラウザで、Oracle Key VaultインストールのIPアドレスを入力します。
3. Oracle Key Vaultのログイン・ページでログインしないでください。
4. 「System Recovery」リンクをクリックします。

   「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。

5. リカバリ・パスフレーズを入力し、「Login」をクリックします。

   上部に「Administrator Recovery」および「Recovery Passphrase」の2つのタブが配置された「Administrator Recovery」ページが表示されます。

6. 「Recovery Passphrase」をクリックします。

   新しいパスフレーズを入力および再入力するための2つのフィールドを含む「Recovery Passphrase」ページが表示されます。

7. 2つのフィールドに新しいリカバリ・パスフレーズを入力します。
8. 「Submit」をクリックします。

14.4.4 マルチマスター・クラスタのリカバリ・パスフレーズの変更

マルチマスター・クラスタでのリカバリ・パスフレーズの変更は、2ステップのプロセスです。

マルチマスター・クラスタのリカバリ・パスフレーズを変更するには、リカバリ・パスフレーズを変更する前に最初にマルチマスター・クラスタ環境のノード全体で変更を開始する必要があります。

• ステップ1: ノード間でのリカバリ・パスフレーズの変更の開始
  システム管理者ロールを持つユーザーは、リカバリ・パスフレーズが変更されるたびに新しいバックアップを実行する必要があります。
• ステップ2: リカバリ・パスフレーズの変更
  リカバリ・パスフレーズの変更が近いことがマルチマスター・クラスタ・ノードに通知された後に、リカバリ・パスフレーズを変更できます。

14.4.4.1 ステップ1: ノード間のリカバリ・パスフレーズ変更の開始

システム管理者ロールを持つユーザーは、リカバリ・パスフレーズが変更されるたびに新しいバックアップを実行する必要があります。

これは、現在のリカバリ・パスフレーズで保護されているバックアップが常に存在するようにするためです。これにより、最新のデータを含むバックアップが必ず1つ以上存在することになります。最初に、リカバリ・パスフレーズの変更を開始して、マルチマスター・クラスタのすべてのノードにその変更が通知されるようにする必要があります。

1. サーバー・バックアップを実行します。
2. すべてのノードがACTIVE状態で、すべてのノード間でレプリケーションが検証されていることを確認します。進行中のクラスタ操作(ノードの追加など)がないことを確認します。
3. Webブラウザに、読取り専用制限モードではないOracle Key VaultインストールのIPアドレスを入力してください。
4. Oracle Key Vaultのログイン・ページでログインしないでください。
5. ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。

   「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。

6. リカバリ・パスフレーズを入力し、「Login」をクリックします。

   上部に「Administrator Recovery」および「Recovery Passphrase」の2つのタブが配置された「Administrator Recovery」ページが表示されます。

7. 「Recovery Passphrase」タブをクリックします。

   
   図screenshot-initiate-change.pngの説明

8. 「Initiate Change」ボタンをクリックします。
9. ログアウトします。
10. 3分から4分待機してから続行します。

    この間に、パスフレーズの変更が実行されることがすべてのノードに通知されます。パスフレーズの変更を取り消すには、「Reset」ボタンをクリックします。

    すべてのノードで、複数のパスフレーズの変更が開始されたかどうかが判断されます。複数のパスフレーズの変更が開始されると、競合解決が実行されます。

14.4.4.2 ステップ2: リカバリ・パスフレーズの変更

リカバリ・パスフレーズの変更が近いことがマルチマスター・クラスタ・ノードに通知された後に、リカバリ・パスフレーズを変更できます。

1. Webブラウザで、Oracle Key Vaultインストールのマルチマスター・クラスタ・ノードのIPアドレスを入力します。
   Oracle Key Vault管理コンソールで使用可能なノードのリストを確認するには、「Clusters」タブを選択し、「Cluster Details」セクションをチェックします。
2. Oracle Key Vaultのログイン・ページでログインしないでください。
3. ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。

   「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。

4. リカバリ・パスフレーズを入力し、「Login」をクリックします。

   上部に「Administrator Recovery」および「Recovery Passphrase」の2つのタブが配置された「Administrator Recovery」ページが表示されます。

5. 「Recovery Passphrase」タブをクリックします。

   新しいパスフレーズを入力および再入力するための2つのフィールドを含む「Recovery Passphrase」ページが表示されます。

6. 2つのフィールドに新しいリカバリ・パスフレーズを入力します。
7. 「Submit」をクリックします。
8. クラスタ内の各ノードに対して前述のステップを繰り返します。

   注意:

   リカバリ・パスフレーズの変更中は、HSM逆移行を実行できません。

   注意:

   ユーザーは、クラスタ内のすべてのノードでリカバリ・パスフレーズを同一に保つ必要があります。クラスタ・ノード間で異なるリカバリ・パスフレーズを設定すると、クラスタ機能(ノードやHSM対応ノードの追加など)に悪影響を及ぼすことがあります。

14.4.5 インストール・パスフレーズの変更

インストール・パスフレーズは、システム・コンソールから変更できます。

• インストール・パスフレーズの変更について
  インストール・パスフレーズは、特定の期間中にのみ変更できます。
• インストール・パスフレーズの変更
  インストール・パスフレーズはシステム・コンソールで変更する必要があります。

14.4.5.1 インストール・パスフレーズの変更について

インストール・パスフレーズは、特定の期間中にのみ変更できます。

インストール・パスフレーズは、インストール時に指定します。インストール・パスフレーズを使用してOracle Key Vaultにログインし、インストール後のタスクを完了する必要があります。インストール・パスフレーズは、インストールした後、インストール後タスクを実行する前にのみ変更できます。インストール後タスクが完了した後、このオプションはコンソールに表示されなくなります。

インストール・パスフレーズを忘れた場合は、新しいインストール・パスフレーズを作成できます。Oracle Key Vaultのすべてのパスフレーズと同様に、インストール・パスフレーズは安全な方法で格納することが重要です。

14.4.5.2 インストール・パスフレーズの変更

システム・コンソールでインストール・パスフレーズを変更する必要があります。

1. Oracle Key Vaultがインストールされているサーバーのシステム・コンソールにアクセスします。

   
   図os_user_pwd_change1.pngの説明

2. 「Change Installation Passphrase」を選択し、[Enter]を押します。

   「New Passphrase」画面が表示されます。

   
   図os_user_pwd_change3.pngの説明

3. 「New Passphrase」および「Confirm」フィールドに新しいインストール・パスフレーズを入力します。
   インストール・パスフレーズは8文字以上で、英大文字、英小文字、数字および特殊文字(ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、スペース)をそれぞれ1つ以上含める必要があります。
4. 「OK」を選択し、[Enter]を押します。

   「Installation Passphrase」画面が表示されます。

   
   図os_user_pwd_change4.pngの説明

5. 古いインストール・パスフレーズを入力し、[Enter]を押します。

14.5 プライマリ・スタンバイ環境のサポート

Oracle Key Vaultが常にセキュリティ・オブジェクトにアクセスできるように、Oracle Key Vaultをプライマリ/スタンバイ(可用性の高い)構成にデプロイできます。

この構成は、障害時リカバリ・シナリオもサポートします。

プライマリ/スタンバイ構成では、2台のOracle Key Vaultサーバーをデプロイできます。プライマリ・サーバーは、エンドポイントからのリクエストにサービスを提供します。プライマリ・サーバーで障害が発生した場合、事前に設定された構成可能な遅延の後にスタンバイ・サーバーが引き継ぎます。この構成可能な遅延によって、通信が短時間断絶した場合にスタンバイ・サーバーによる不必要な引継ぎが発生しないようにできます。

プライマリ・スタンバイ構成は、以前は高可用性構成と呼ばれていました。プライマリ・スタンバイ構成とマルチマスター・クラスタ構成は相互に排他的です。

Oracle Key Vaultでは、プライマリ・スタンバイ読取り専用制限モードをサポートしています。プライマリOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合、プライマリ/スタンバイ読取り専用制限モードでは、Oracle Key Vaultサーバーはエンドポイントにサービスを提供できるため、操作の継続性が保証されます。ただし、監査ログの生成などの操作は影響を受けませんが、キーの生成などの重要で機密性の高い操作は無効になります。

計画外停止によってスタンバイ・サーバーにアクセスできなくなった場合でも、エンドポイントは読取り専用モードでプライマリ・サーバーを使用できます。

14.6 Commercial National Security Algorithmスイートのサポート

スクリプトを使用して、Oracle Key Vault HSMのバックアップおよびアップグレード操作のためにCommercial National Security Algorithm (CNSA)操作を実行できます。

• Commercial National Security Algorithmスイートのサポートについて
  Oracle Key Vaultは、Commercial National Security Algorithm (CNSA)に準拠しています。
• Commercial National Security Algorithmスクリプトの実行
  Commercial National Security Algorithm (CNSA)スクリプトでは、okv_security.confファイルを更新します。
• CNSAを使用したバックアップおよびリストア操作の実行
  Oracle Key Vaultのバックアップおよびリストア後に、/usr/local/okv/bin/okv_cnsaを使用して、拡張されたCommercial National Security Algorithm (CNSA)を使用します。
• CNSAを使用するためのスタンドアロンOracle Key Vaultサーバーのアップグレード
  okv_cnsaスクリプトを実行することによって、Commercial National Security Algorithm (CNSA)を使用するようにスタンドアロンOracle Key Vaultをアップグレードできます。
• CNSAを使用するためのプライマリ/スタンバイOracle Key Vaultサーバーのアップグレード
  okv_cnsaスクリプトを実行することによって、Commercial National Security Algorithm (CNSA)を使用するようにOracle Key Vaultプライマリ/スタンバイ・サーバーをアップグレードできます。

14.6.1 Commercial National Security Algorithmスイートのサポートについて

Oracle Key Vaultは、Commercial National Security Algorithm (CNSA)に準拠しています。

この準拠は、Oracle Key Vaultアプライアンスとの間のTLS接続に適用されます。

CNSAスイートは強力な暗号化アルゴリズムとキー長のリストで、将来のセキュリテイおよび関連性を高めます。

Oracle Key Vaultリリース12.2 BP3以降では、システム内のあらゆるコンポーネントで完全に準拠しているわけではありません。CNSAアルゴリズム(入手できる場合)には、Oracle Key Vault ISOでパッケージ化されている次のスクリプトによって切り替えることができます。

• /usr/local/okv/bin/okv_cnsaは構成ファイルを変更し、できるだけ多くのコンポーネントを更新して拡張されたアルゴリズムを使用します。

• /usr/local/okv/bin/okv_cnsa_certは、CNSA準拠の公開キー・ペアと証明書を再生成します。

  注意:

  /usr/local/okv/bin/okv_cnsaスクリプトと/usr/local/okv/bin/okv_cnsa_certスクリプトはいずれも破壊的で、これは古いキー・ペアを新しいもので置き換えるためです。このため、次の操作を実行します。

  • エンドポイントのエンロール: 可能な場合、このスクリプトの実行後にエンドポイントをエンロールします。CNSAスクリプトを実行する前にエンドポイントがエンロールされている場合、これらを再度エンロールして、CNSAアルゴリズムを使用してCNSA準拠の新しいキーを生成します。

  • プライマリ/スタンバイ: 可能な場合、両方のOracle Key VaultインスタンスでCNSAスクリプトを実行してからプライマリ/スタンバイ構成でこれらをペアにします。CNSAスクリプトの実行前にプライマリ/スタンバイを設定していた場合、次のようにプライマリ/スタンバイを再構成する必要があります: プライマリおよびスタンバイのサーバーのペアを解除し、スタンバイ・サーバーを再インストールし、サーバーごとにCNSAスクリプトを個々に実行してから、それらを再度ペアにします。

制限事項:

• CNSA準拠は、Oracle Key Vaultインフラストラクチャの一部のコンポーネント(SSHやTransparent Data Encryption (TDE)など)ではサポートされていません。

• Firefoxブラウザでは、CNSAを有効化している場合にOracle Key Vault管理コンソールでの使用がサポートされていません。これは、FirefoxブラウザがCNSAで承認されている暗号スイートをサポートしていないためです。

14.6.2 Commercial National Security Algorithmスクリプトの実行

Commercial National Security Algorithm (CNSA)スクリプトでは、okv_security.confファイルを更新します。

1. Oracle Key Vaultをバックアップします。
2. 必要に応じて、SSHアクセスを有効にします。

   システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「SSH Access」を選択します。「IP address(es)」を選択し、必要なIPアドレスのみを入力します。「Save」をクリックします。

3. supportユーザーとしてOracle Key VaultサーバーにSSHし、プロンプトが表示されたら、インストール後に作成したsupportユーザー・パスワードを入力します。

    $ ssh support@okv_instance

4. rootユーザーに変更します。

   $  su root

5. 次のようにスクリプトを実行します。

   root#  /usr/local/okv/bin/okv_cnsa
   root#  /usr/local/okv/bin/okv_cnsa_cert

6. SSHアクセスを無効にして、Oracle Key Vaultサーバーを再起動します。

   システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「Disabled」を選択します。「Save」をクリックします。右上の「Reboot」をクリックして、Oracle Key Vaultサーバーを再起動します。

スクリプトにより、/usr/local/okv/etc/okv_security.confが次の行で更新されます。

USE_ENHANCED_ALGORITHMS_ONLY="1"

14.6.3 CNSAを使用したバックアップおよびリストア操作の実行

Oracle Key Vaultのバックアップおよびリストア後に、/usr/local/okv/bin/okv_cnsaを使用して、拡張されたCommercial National Security Algorithm (CNSA)を使用します。

1. バックアップおよびリストア操作を実行します。
2. リストア操作が完了し、システムが再起動するまで待機します。
   このステップを完了することなく先に進まないでください。
3. supportユーザーとしてOracle Key VaultサーバーにSSHします。

    $ ssh support@okv_instance

4. rootユーザーに切り替えます。

   $ su root

5. 次のCNSAスクリプトを実行します。

    root#  /usr/local/okv/bin/okv_cnsa
   

14.6.4 CNSAを使用するためのスタンドアロンOracle Key Vaultサーバーのアップグレード

okv_cnsaスクリプトを実行することによって、Commercial National Security Algorithm (CNSA)を使用するようにスタンドアロンOracle Key Vaultをアップグレードできます。

1. データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
   このステップを完了することなく先に進まないでください。
2. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
3. 必要に応じて、SSHアクセスを有効にします。

   システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「SSH Access」を選択します。「IP address(es)」を選択し、必要なIPアドレスのみを入力します。「Save」をクリックします。

4. 宛先ディレクトリ内に、アップグレードISOファイルに十分な領域があることを確認します。
5. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。
6. セキュア・コピー・プロトコルか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。

   scp remote_host:remote_path/okv-upgrade-disc-18.2.0.0.0.iso /var/lib/oracle/destination_directory_for_iso_file

   このように指定した場合:

   • remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
   • remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
7. mountコマンドを使用して、アップグレードをアクセス可能にします。

   root# /bin/mount -o loop,ro /var/lib/oracle/okv-upgrade-disc-18.2.0.0.0.iso /images

8. clean allコマンドを使用してキャッシュをクリアします。

   root# yum -c /images/upgrade.repo clean all

9. 次のアップグレードのrubyスクリプトを実行します。

   root# /usr/bin/ruby/images/upgrade.rb --confirm

   システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。

   Remove media and reboot now to fully apply changes

   エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。

10. 最初のCNSAスクリプトを実行します。これは、Oracle Key Vault ISOファイルの場所から入手できます。

     root#  /usr/local/okv/bin/okv_cnsa

11. Oracle Key Vaultデータベース・サーバーを再起動します。

    root# /sbin/reboot

    アップグレード後にコンピュータを初めて再起動すると、必要な変更が適用されます。これには数時間かかる場合があります。この間システムを停止しないでください。

    「Oracle Key Vault Server 18.2.0.0.0」という見出しの画面が表示されると、アップグレードは完了です。リビジョンには、アップグレードされたリリースが反映されます。見出しの下には、「Display Appliance Info」というメニュー項目が表示されます。「Display Appliance Info」を選択し、[Enter]キーを押して、アプライアンスのIPアドレス設定を表示します。

12. Oracle Key Vaultが正しいバージョンにアップグレードされていることを確認します。
    1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    2. 「System」タブを選択し、「Status」を選択します。
    3. 表示されているバージョンが18.2.0.0.0であることを確認します。
       リリース番号は、各ページ下部の著作権情報の右側にも表示されます。
13. SSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「Disabled」を選択します。「Save」をクリックします。

14.6.5 CNSAを使用するためのプライマリ/スタンバイOracle Key Vaultサーバーのアップグレード

okv_cnsaスクリプトを実行することによって、Commercial National Security Algorithm (CNSA)を使用するようにOracle Key Vaultプライマリ/スタンバイ・サーバーをアップグレードできます。

スタンバイ・サーバーとプライマリ・サーバーは1つのセッションでアップグレードを実行し、スタンバイのアップグレードとプライマリのアップグレードの間に時間をできるだけ空けないようにする必要があります。アップグレード時間は概算であり、Oracle Key Vaultで格納および管理されているデータのボリュームに応じて変化します。データ量が多いと、アップグレード時間が数時間を超える場合があります。

1. アップグレードの準備をします。

   • アップグレードが進行している間に、設定を変更したり、次に示すアップグレード手順の一部ではない他の操作を実行しないでください。

   • 永続キャッシュを構成していない場合は、アップグレード中にエンドポイントを停止する必要があるため、計画されたメンテナンス・ウィンドウ期間にOracle Key Vaultサーバーをアップグレードしてください。永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

   • プライマリとスタンバイの両方のシステムに8GBのメモリーがあることを確認してください。

2. データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
   Oracle Backup and Recovery (Oracle RMAN)を使用して、このバックアップを実行できます。Oracle Key Vaultサーバーをバックアップしてから停止するまでの時間に、データベースでキーの設定または更新操作(ADMINISTER KEY MANAGEMENT文など)を実行すると、それらの新しいキーがバックアップに含まれないため、これらの操作をしないでください。
   このステップを完了することなく先に進まないでください。
3. 最初に、プライマリ・サーバーの実行中にスタンバイ・サーバーをアップグレードします。

   CNSAのスタンドアロン・サーバーのアップグレード・プロセスのステップ2から11を実行します。

4. アップグレードされたスタンバイOracle Key Vaultサーバーが再起動し、実行されていることを確認します。
5. スタンドアロン・サーバーのアップグレードのステップ1から11を実行して、プライマリOracle Key Vaultサーバーをアップグレードします。

   スタンバイおよびプライマリの両方のOracle Key Vaultサーバーがアップグレードされた後、2つのサーバーは自動的に同期されます。

6. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
7. 「System」タブを選択し、「Status」を選択します。
8. 「Version」フィールドに、新しいソフトウェア・バージョンである18.2.0.0.0が表示されていることを確認します。

14.7 停止時間の最小化

業務上重大な操作には、データにアクセスしやすいことと、最小限の停止時間でリカバリできることが必要です。

次の方法で、停止時間を最小限に抑えるようにOracle Key Vaultを構成できます。

• マルチマスター・クラスタの構成: 追加のノードの形式で冗長性を追加することで、マルチマスター・クラスタを構成できます。クライアントは使用可能な任意のノードにアクセスできます。いずれかのノードが失敗した場合、クライアントはエンドポイント・ノード・スキャン・リストの別のノードに自動的に接続します。これにより、停止時間が減少したり、停止時間がなくなる可能性もあります。

• プライマリ・スタンバイ環境の構成: プライマリ・スタンバイ環境は、スタンバイ・サーバーの形式で冗長性を追加することで構成されます。障害発生時にはスタンバイ・サーバーがプライマリ・サーバーから後を引き継ぐことで、単一障害点を排除し、停止時間を最小限に抑えます。

• 読取り専用制限モードの有効化: プライマリまたはスタンバイOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合、プライマリ・スタンバイ読取り専用制限モードにより、エンドポイントの操作の継続性が保証されます。計画外停止によってスタンバイ・サーバーにアクセスできなくなった場合でも、エンドポイントはプライマリ・サーバーを使用できます。

  プライマリ・スタンバイ読取り専用制限モードが無効になっている場合、スタンバイでの障害発生時に、プライマリ・サーバーは使用できなくなり、リクエストの受け入れは停止されます。プライマリ・サーバーとスタンバイ・サーバーの間で接続が復元されるまで、Oracle Key Vaultに接続されたエンドポイントはキーを取得できません。

  プライマリ・サーバーまたはスタンバイ・サーバーに障害が発生した場合のエンドポイントの操作の継続性を保証するには、読取り専用制限モードを有効にします。

• 永続マスター暗号化キー・キャッシュの有効化: 永続マスター暗号化キー・キャッシュにより、プライマリまたはスタンバイ・サーバーに障害が発生した場合にエンドポイントが確実にキーにアクセスできます。障害が発生したピアから存続するサーバーが後を引き継ぐため、エンドポイントは永続キャッシュからキーを取得して、正常に操作を続行できます。

• エンドポイントでのTDE Heartbeatデータベース・パッチの適用: バグ22734547のデータベース・パッチを適用してOracle Key Vaultのハートビートを調整します。

Oracle Key Vaultデータを定期的にバックアップすることをお薦めします。このようにすることで、バックアップとそのデータが最新に保たれます。このバックアップを使用して、新規または既存のOracle Key Vaultサーバーをリストアし、最小限の停止時間とデータ消失で完全稼働させることができます。

Oracle Key Vaultインストールでオンライン・マスター・キー(旧名はTDE直接接続)を使用する場合、停止時間合計を短縮するために、アップグレード中にデータベース・エンドポイントを並行してアップグレードします。