18 他の機能でのOracle Key Vaultの使用
Oracle Key Vaultは、Oracle GoldenGateやOracle Data Guardなどの他のOracle機能および製品と併用できます。
- Oracle RAC環境でのTDE構成済Oracle Databaseの使用
各Oracle RACデータベースには、Oracle Key Vaultに独自のOracle仮想ウォレットがあります。 - Oracle GoldenGate環境でのTDE構成済Oracle Databaseの使用
Oracle Key Vaultは、Oracle GoldenGate共有シークレットでのOracleウォレットの使用をサポートしています。 - Oracle Data Guard環境でのTDE構成済Oracle Databaseの使用
OracleウォレットのアップグレードやOracle Data Guard環境でのオンライン・マスター・キーの使用などのアクティビティを実行できます。 - Automatic Storage ManagementからOracle Key Vaultへのキーストアのアップロード
2ステップのプロセスで、Automatic Storage Management (ASM) からOracle Key Vaultへ、またはその逆にキーストアをコピーできます。 - MySQLとOracle Key Vaultの統合
Oracle Key Vaultを使用して、MySQLのTDE暗号化キーを管理できます。 - Oracle Key Vaultがサポートするその他のOracle Database機能
クラスタ化されたデプロイメントを移動または使用するその他のデータベース機能を使用して、複数のトポロジにTransparent Data Encryption (TDE)をデプロイできます。
18.1 Oracle RAC環境でのTDE構成済Oracle Databaseの使用
各Oracle RACデータベースには、Oracle Key Vaultに独自のOracle仮想ウォレットがあります。
Oracle Real Application Clusters (Oracle RAC)環境では、各Oracle RACインスタンスにOracle Key Vaultに独自のエンドポイントがあります。これらのエンドポイントは、Oracle Key Vault内の同じ仮想ウォレットをデフォルト・ウォレットとして共有します。
クラスタが仮想ウォレットを共有できるようにするには、次のいずれかの手法を使用します。
- Oracle RACデータベースが個別のウォレットでTDEを使用している場合、これらのウォレットに同じ内容が保持されていることを確認します。
mkstore -wrl /directory/to/TDE-wallet -list
コマンドを実行して、各ウォレットの内容を比較します。すべてに同じキーが含まれている場合は、いずれかのキーの内容をOracle Key Vaultの共有仮想ウォレットにアップロードします。 - Oracle RACデータベースがTDEを共有ウォレット(推奨デプロイメント)で使用している場合は、そのウォレットをOracle Key Vaultにアップロードします。
- Oracle Key Vaultとの自動オープン接続を確立します。
- Oracle RACデータベースをOracle Key Vaultに移行します。
単一インスタンス・データベース環境の場合と同様、パスワード保護されたウォレットをダウンロードしたら、手動で開く必要があります。プライマリ・ノード上に1つのウォレットがあり、その後、そのウォレットを他のノードにダウンロードする場合、これらの各ノード上でウォレットを明示的に開く必要があります。
各Oracle RACノードはデータベースの別のエンドポイントであり、個別の永続キャッシュを持っています。Oracle RACデータベースの場合、各Oracle RACノードから問合せを開始して、操作が中断しないようにOracle RACノードに最新のマスター暗号化キーをキャッシュする必要があります。
18.2 Oracle GoldenGate環境でのTDE構成済Oracle Databaseの使用
Oracle Key Vaultは、OracleウォレットとOracle GoldenGateの共有シークレットの使用をサポートしています。
Oracle GoldenGate共有シークレットとTDEマスター暗号化キーを含むOracleウォレットをOracle Key Vaultサーバーにアップロードまたは移行できます。
- Oracle GoldenGate環境のOracleウォレット
Oracle GoldenGate共有シークレットは、マスター暗号化キーが格納されているのと同じOracleウォレットに配置できます。 - Oracle GoldenGateデプロイメントのオンライン・マスター・キー
Oracle GoldenGateデプロイメントでは、オンライン・マスター・キーを使用するための2つの構成ステップがあります。 - Oracle GoldenGateからOracle Key Vault OracleウォレットへのTDEウォレットの移行
Oracleウォレットには、TDEマスター暗号化キーとOracle GoldenGate共有シークレットの両方を含めることができます。
親トピック: 他の機能でのOracle Key Vaultの使用
18.2.1 Oracle GoldenGate環境でのOracle Wallet
Oracle GoldenGate共有シークレットは、マスター暗号化キーが格納されているのと同じOracleウォレットに配置できます。
Oracle Key Vaultが使用されておらず、Oracle TDE対応データベースがOracle GoldenGateを備えたOracleウォレットで構成されている環境では、このデータベース(ソース・データベースと呼ばれる)は、マスター暗号化キーが格納されているのと同じOracleウォレットにOracle GoldenGate共有シークレットを格納します。
つまり、Oracle Key Vaultエンドポイントとしてソース・データベースを構成する場合、Oracle GoldenGateの共有シークレットは、マスター暗号化キーがTDE対応のソース・データベース用に格納されている、同じOracle Key Vaultの仮想ウォレットに格納されます。
Oracle GoldenGate共有シークレットとTDEマスター暗号化キーが含まれるOracleウォレットを、okvutil
コマンドライン・ユーティリティを使用してOracle Key Vaultに移行する場合、TDE対応のソース・データベースのデフォルト・ウォレットには、共有シークレットおよびマスター暗号化キーとともに移行されたOracleウォレット全体が格納されます。
また、構成されたターゲット・データベースがOracle Databaseの場合、すべてのTDEコマンドをレプリケートできるように、このターゲット・データベースがTDE対応であることを確認する必要があります。ソースおよびターゲットの2つのOracle TDE対応データベースでは、Oracle Wallet内に同じマスター暗号化キーを持つ必要がありません。このターゲット・データベースを新しいOracle Key Vaultエンドポイントとして構成した場合、独立のOracle Key Vaultエンドポイントで通常行うのと同様に、Oracle Key Vaultとの間でウォレットをアップロードおよびダウンロードできます。追加の構成は必要ありません。
18.2.2 Oracle GoldenGateデプロイメントでのオンライン・マスター・キー
Oracle GoldenGateデプロイメントでは、オンライン・マスター・キーを使用するための2つの構成ステップがあります。
- GoldenGateデプロイメントとOracle Key Vaultのソース・データベース間で接続を構成します。
- ソース・データベース上で、Oracle WalletにおけるOracle GoldenGateシークレットの格納を構成します。
これで構成は完了です。sqlnet.ora
ファイルを正しく構成して、ソース・データベース上でTDEに必要な他の構成ステップを完了すると、暗号化キーを設定した場合(ALTER SYSTEM SET ENCRYPTION KEY
またはADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY
を使用)、Oracle Key VaultにTDEマスター暗号化キーが作成されます。表の暗号化や、データベースへの暗号化された表領域の作成ができます。ソース・データベースで作成された暗号化データは、この手順を実行した後に、ターゲット・データベース上で引き続きレプリケートされます。他のOracle GoldenGate共有シークレットは、Oracle Key Vaultに格納されました。
関連項目:
-
GoldenGateのソース・データベースをOracle Key Vaultに接続するステップは、ステップ1: Oracle Key Vaultサーバー環境の構成を参照してください。
-
ソース・データベースでOracle GoldenGateシークレットを格納する構成の詳細は、『Oracle Database Advanced Securityガイド』を参照してください。
18.2.3 Oracle GoldenGateのTDEウォレットのOracle Key Vaultへの移行
Oracleウォレットには、TDEマスター暗号化キーとOracle GoldenGate共有シークレットの両方を含めることができます。
TDE構成済データベースがあるOracle GoldenGate環境では、Oracle Walletには、TDEマスター暗号化キーとOracle GoldenGate共有シークレットの両方が含まれます。
このOracle GoldenGate環境で使用されるターゲットTDE対応データベースは、Oracle Key Vaultを使用するか、Oracle Walletを使用し続けるかのどちらかにも構成できます。これらのデータベースは、スタンドアロンのTDEデータベース・エンドポイントの場合と同じように扱ってください。
この移行を完了すると、構成は完了です。sqlnet.ora
ファイルを正しく構成して、TDEの必要な他の構成を完了すると、暗号化キーを設定した場合(ALTER SYSTEM SET ENCRYPTION KEY
またはADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY
を使用)、Oracle Key VaultにTDEマスター暗号化キーが作成されます。引き続き、暗号化された表または表領域をデータベースに作成し、使用することができます。ソース・データベースで作成された暗号化データは、この手順が実行された後に、ターゲット・データベース上で引き続きレプリケートされます。
18.3 Oracle Data Guard環境でのTDE構成済Oracle Databaseの使用
Oracle Walletのアップロードやオンライン・マスター・キーの使用などのアクティビティをOracle Data Guard環境で実行できます。
- Oracle Data Guard環境でのOracleウォレットのアップロードについて
アップロード操作により、プライマリとスタンバイの両方でOracleウォレットを使用できるようになります。 - Oracle Data Guard環境でのOracleウォレットのアップロード
OracleウォレットをOracle Data Guard環境にアップロードできます。 - Oracle Data Guard環境でのオンライン・マスター・キー接続の実行
Oracle Data Guard環境でTDE直接接続を実行する手順は、標準のOracle Database環境の場合と同じです。 - Oracle Data Guard環境でのOracleウォレットの移行
okvutil
およびSQL*Plusを使用して、Oracle Data Guard環境でOracleウォレットを移行できます。 - Oracle Data Guard環境でのOracleウォレットの逆移行
okvutil
およびSQL*Plusを使用して、Oracle Data Guard環境でOracleウォレットを逆移行できます。 - ロジカル・スタンバイ・データベースでのOracle Key VaultへのOracle TDEウォレットの移行
Oracle Databaseリリース12 cまたは18 cを使用して、ロジカル・スタンバイ・データベースでTDEウォレットをOracle Key Vaultに移行できます。 - ロジカル・スタンバイ・データベースでのOracle TDEウォレット移行の確認
SQL*Plusを使用して移行を確認します。
親トピック: 他の機能でのOracle Key Vaultの使用
18.3.1 Oracle Data Guard環境でのOracle Walletのアップロードについて
アップロード操作により、プライマリとスタンバイの両方でOracleウォレットを使用できるようになります。
Oracle Walletを使用するTDE対応のプライマリおよびスタンバイ・データベースがあるOracle Data Guard環境では、初期TDE構成後、およびその後でプライマリ・データベース上のマスター暗号化鍵をキー更新する場合は、プライマリ・データベースからスタンバイにOracle Walletファイルを物理的にコピーして、管理対象リカバリ・プロセスを再起動する必要があります。
そのため、Oracle Key VaultをTDE対応のOracle Data Guardデータベースとともに使用する場合、プライマリおよびスタンバイ・データベースは、エンドポイントとしてOracle Key Vaultに登録する必要があります。プライマリ・データベースとすべてのスタンバイ・データベースのエンドポイントが同じ仮想ウォレットを共有していることを確認する必要があります。
このようにして、プライマリとスタンバイのデータベースは、ウォレット・ファイルをプライマリ・データベースからスタンバイ・データベースに手動でコピーすることなく、キーの集中管理による利点を確保できます。
Oracle Data Guard環境では、永続キャッシュの場合、プライマリ・データベースに対するキー更新操作によって、マスター暗号化鍵が独自の永続キャッシュにキャッシュされます。プライマリの新しいREDOログがスタンバイに適用されると、スタンバイはOracle Key Vaultから新しいキーをフェッチし、それをスタンバイの永続キャッシュにキャッシュします。プライマリでのキーのキャッシュとスタンバイでのキーのキャッシュの間には時間差があります。キー更新操作後、できるだけ早くプライマリとスタンバイを同期することをお薦めします。また、次のコマンドを使用して、プライマリ・データベースとスタンバイ・データベースの永続キャッシュの内容を確認してください。
$ okvutil list -t okv_peristent_cache -l /path_to_persistent_cache/
18.3.2 Oracle Data Guard環境でのOracle Walletのアップロード
Oracle Data Guard環境にOracle Walletをアップロードできます。
- プライマリおよびスタンバイ・データベースとして、それぞれ1つのエンドポイントを登録します。
- それぞれのデータベース上で各エンドポイント用の
okvclient.jar
ファイルをダウンロードします。 - 移行または逆移行を実行する必要がある場合は、エンドポイント・パスワードがTDEウォレット・パスワードと同じであることを確認します。
- プライマリおよびスタンバイ・データベースのエンドポイントの両方が、同じデフォルト仮想ウォレットを使用していることを確認します。
18.3.3 Oracle Data Guard環境でのオンライン・マスター・キー接続の実行
Oracle Data Guard環境でTDE直接接続を実行するための手順は、標準Oracle Database環境の場合と同じです。
18.3.4 Oracle Data Guard環境でのOracle Walletの移行
Oracle Data Guard環境では、okvutil
およびSQL*Plusを使用してOracleウォレットを移行できます。
18.3.5 Oracle Data Guard環境でのOracle Walletの逆移行
okvutil
およびSQL*Plusを使用して、Oracle Data Guard環境でOracleウォレットを逆に移行できます。
okvutil download
コマンドを使用して、Oracle Key Vaultからプライマリ・データベースにOracle Walletのキーをダウンロードします。これらの鍵は、ローカル・キーストアにダウンロードします。- Oracle Database Advanced Securityガイドの説明に従って、逆移行を実行します。
- スタンバイ・データベース上で既存のOracle Walletを閉じます。
- Oracle Database 11gリリース2の場合:
ALTER SYSTEM SET ENCRYPTION WALLET CLOSE IDENTIFIED BY "Key_Vault_endpoint_password";
- Oracle Database12cまたは18cの場合:
ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE IDENTIFIED BY "Key_Vault_endpoint_password";
- Oracle Database 11gリリース2の場合:
- Oracle Database Advanced Securityガイドの説明に従って、Oracleウォレットをプライマリ・データベースからスタンバイ・データベースにコピーします。
- スタンバイ・データベース上でOracle Walletを開きます。
- Oracle Database 11gリリース2の場合:
ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY "Key_Vault_endpoint_password";
- Oracle Database12cまたは18cの場合:
ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY "Key_Vault_endpoint_password";
- Oracle Database 11gリリース2の場合:
- Oracle Data Guard概要および管理の説明に従って、スタンバイ・データベースで適用プロセスを起動します。
エンドポイントのパスワードとローカルTDEウォレットのパスワードが異なる場合は、自動ログインHSM機能を使用してください。
18.3.6 ロジカル・スタンバイ・データベースでのOracle Key VaultへのOracle TDEウォレットの移行
Oracle Databaseリリース12 cまたは18 cを使用して、ロジカル・スタンバイ・データベースでTDEウォレットをOracle Key Vaultに移行できます。
- 同じデフォルトの仮想ウォレットを持つようにプライマリおよびスタンバイ・エンドポイントを登録します。
- 必要に応じて、各エンドポイントに
okvclient.jar
ファイルをダウンロードしてインストールします。 - プライマリ・データベースで移行を実行します。
- Oracle Data Guard概要および管理の説明に従って、ロジカル・スタンバイでSQL適用プロセスを完了し、スタンバイ・データベースを再起動します。
- 移行に成功したというステータスを確認するには、
V$ENCRYPTION_WALLET
動的ビューを問い合せます。
18.4 Automatic Storage ManagementからOracle Key Vaultへのキーストアのアップロード
2ステップのプロセスにより、Automatic Storage Management (ASM)からOracle Key Vaultに(またはOracle Key VaultからASMに)キーストアをコピーできます。
- Automatic Storage ManagementからOracle Key Vaultへのキーストアのアップロードについて
Oracle Automatic Storage Management (ASM)からOracle Key Vaultへのキーストアのアップロードは、2ステップのプロセスです。 - Automatic Storage ManagementからOracle Key Vaultへのキーストアのアップロード
ADMINISTER KEY MANAGEMENT
文を使用して、ソフトウェア・キーストアをAutomatic Storage Management (ASM)から移動できます。 - Oracle Key VaultからAutomatic Storage Managementへのキーストアのコピー
okvutil download
とSQL*Plusの両方を使用して、コピー・プロセスを完了します。
親トピック: 他の機能でのOracle Key Vaultの使用
18.4.1 Automatic Storage ManagementからOracle Key Vaultへのキーストアのアップロードについて
Oracle Automatic Storage Management (ASM)からOracle Key Vaultへのキーストアのアップロードは2ステップのプロセスです。
-
ASMからファイル・システムにキーストアをコピーします。
-
ファイル・システムからOracle Key Vaultにキーストアをアップロードします。
ASMからファイル・システムに(またはファイル・システムからASMに)キーストアをコピーするには、1つのソフトウェア・キーストアを既存のキーストアにマージするキーストア・マージ操作が必要です。このため、ソース・パスからターゲット・パスにキーストアをコピーするには、ターゲット・パスにキーストアが存在する必要があります。
18.4.2 Automatic Storage ManagementからOracle Key Vaultへのキーストアのアップロード
ADMINISTER KEY MANAGEMENT
文を使用して、Automatic Storage Management (ASM)からソフトウェア・キーストアを移動できます。
18.5 Oracle Key VaultとMySQLの統合
Oracle Key Vaultを使用して、MySQLでTDE暗号化キーを管理できます。
Oracle Key Vaultでは、リリース12.2以降からMySQLとの統合がサポートされています。
注意:
MySQL Windowsデータベースはサポートされません。Oracle Key Vaultでは、MySQLのTDE暗号化キーを管理できます。
親トピック: 他の機能でのOracle Key Vaultの使用
18.6 Oracle Key Vaultでサポートされるその他のOracle Database機能
Transparent Data Encryption (TDE)を、クラスタ化されたデプロイメントを移動または使用する他のデータベース機能とともに複数のトポロジにデプロイできます。
両方のエンドポイントのマスター暗号化キーを同期状態に保つ必要があるため、データの移動とレプリケーションはOracle Advanced Security TDEの大きな課題です。これらの課題に対応するため、Oracle Key Vaultは一般的なOracle Database機能をサポートします。
データ移動では、Oracle Key Vaultは次をサポートします。
-
Oracle Recovery Manager (RMAN)のバックアップおよびリカバリ操作
-
Oracle Data Pump
-
トランスポータブル表領域(Oracle Database 12c以降)
クラスタ化デプロイメントでは、Oracle Key Vaultは次をサポートします。
-
Oracle Data Guard
-
Oracle Real Application Clusters(Oracle RAC)
-
Oracle GoldenGate
親トピック: 他の機能でのOracle Key Vaultの使用