8 統一モードの管理
統一モードの管理とは、キーストア、マスター暗号化キーおよび透過的データベース暗号化(TDE)の一般的な機能を管理することを意味します。
- 統一モードでのキーストアおよびマスター暗号化キーの管理
統一モードで使用するためのキーストアとマスター暗号化キーを構成した後、TDEマスター暗号化キーのキー更新などのタスクを実行できます。 - 統一モードでの透過的データ暗号化の管理
統一モードで透過的データ暗号化を使用した一般的な管理タスクを実行できます。
親トピック: 透過的データ暗号化の使用
統一モードでのキーストアおよびマスター暗号化キーの管理
統一モードで使用するためのキーストアとマスター暗号化キーを構成した後、TDEマスター暗号化キーのキー更新などのタスクを実行できます。
- 統一モードでのキーストア・パスワードの変更
ソフトウェア・キーストアまたはハードウェア・キーストアのパスワードは、CDBルートでのみ変更できます。 - 統一モードでのパスワードで保護されたソフトウェア・キーストアのバックアップ
ADMINISTER KEY MANAGEMENT文のBACKUP KEYSTORE句により、パスワードで保護されたソフトウェア・キーストアをバックアップします。 - 統一モードでキーストアを閉じる
システム表領域が暗号化されている場合は除き、統一モードでソフトウェア・キーストアとハードウェア・キーストアのいずれも閉じることができます。 - 統一モードでの後で使用するためのTDEマスター暗号化キーの作成
後でアクティブ化するTDEマスター暗号化キーを作成することができます。 - 例: すべてのPDBでのマスター暗号化キーの作成
ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG文を使用して、すべてのPDBにTDEマスター暗号化キーを作成できます。 - 統一モードでのTDEマスター暗号化キーのアクティブ化
TDEマスター暗号化キーは、アクティブ化すると使用できます。 - ユーザー定義のTDEマスター暗号化キーの作成
TDEマスター暗号化キーIDを生成して、データベースの外部でユーザー定義のTDEマスター暗号化キーを作成できます。 - 統一モードでのTDEマスター暗号化キーのキー更新
SET KEY句を指定してADMINISTER KEY MANAGEMENT文を使用することで、TDEマスター暗号化キーをキー更新できます。 - 統一モードでの使用中のTDEマスター暗号化キーの検出
使用中のTDEマスター暗号化キーは、データベースで最も最近アクティブ化されたキーです。 - 統一モードでのカスタム属性タグの作成
統一モードでカスタム属性タグを作成するには、ADMINISTER KEY MANAGEMENT文のSET TAG句を使用する必要があります。 - 統一モードでの新しいキーストアへのTDEマスター暗号化キーの移動
既存のTDEマスター暗号化キーを、パスワードで保護された既存のキーストアから新しいキーストアに移動できます。 - 統一モードでの非アクティブなTDEマスター暗号化キーの自動削除
統一モードでは、REMOVE_INACTIVE_STANDBY_TDE_MASTER_KEY初期化パラメータにより、非アクティブなTDEマスター暗号化キーの自動削除を構成できます。 - プラガブル・データベース・キーストアの分離
PDBキーストアを分離すると、CDBルート・キーストアのマスター暗号化キーがPDBの分離モードのキーストアに移動します。
親トピック: 統一モードの管理
統一モードでのキーストア・パスワードの変更
ソフトウェア・キーストアまたはハードウェア・キーストアのパスワードは、CDBルートでのみ変更できます。
- 統一モードでのパスワードで保護されたソフトウェア・キーストアのパスワードの変更
統一モードでパスワードで保護されたソフトウェア・キーストアのパスワードを変更するには、CDBルートでADMINISTER KEY MANAGEMENT文を使用する必要があります。 - 統一モードでのハードウェア・キーストアのパスワードの変更
ハードウェア・キーストアのパスワードを変更するには、ハードウェア・キーストアを閉じてから、ハードウェア・キーストア管理インタフェースからパスワードを変更する必要があります。
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
統一モードでのパスワードで保護されたソフトウェア・キーストアのパスワードの変更
統一モードでパスワードで保護されたソフトウェア・キーストアのパスワードを変更するには、CDBルートでADMINISTER KEY MANAGEMENT文を使用する必要があります。
BACKUP句を指定する必要があるため、常に現在のキーストアのバックアップが作成されます。パスワードの変更操作中、暗号化や復号化などの透過的データ暗号化操作は正常に動作し続けます。このパスワードはいつでも変更できます。このパスワードは、安全性が損なわれた可能性があると思われる場合には変更することをお薦めします。
親トピック: 統一モードでのキーストア・パスワードの変更
統一モードでのハードウェア・キーストアのパスワードの変更
ハードウェア・キーストアのパスワードを変更するには、ハードウェア・キーストアを閉じてから、ハードウェア・キーストア管理インタフェースからパスワードを変更する必要があります。
親トピック: 統一モードでのキーストア・パスワードの変更
統一モードでのパスワードで保護されたソフトウェア・キーストアのバックアップ
ADMINISTER KEY MANAGEMENT文のBACKUP KEYSTORE句により、パスワード保護されたソフトウェア・キーストアをバックアップします。
統一モードでキーストアを閉じる
システム表領域が暗号化されている場合は除き、統一モードでソフトウェア・キーストアとハードウェア・キーストアのいずれも閉じることができます。
- キーストアを閉じることについて
キーストアを開いた後は、データベース・インスタンスを終了するまで開いたままになります。 - 統一モードでソフトウェア・キーストアを閉じる
統一モードで、パスワード保護されたキーストア、自動ログイン・キーストアおよびローカル自動ログイン・ソフトウェア・キーストアを閉じることができます。 - 統一モードでハードウェア・キーストアを閉じる
ハードウェア・キーストアを閉じるには、SET KEYSTORE CLOSE句を指定してADMINISTER KEY MANAGEMENT文を使用する必要があります。
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
キーストアを閉じることについて
キーストアを開いた後は、データベース・インスタンスを終了するまで開いたままになります。
データベース・インスタンスを再起動すると、必要に応じて(TDEマスター暗号化キーにアクセスする必要がある場合)自動ログイン・ソフトウェア・キーストアおよびローカル自動ログイン・ソフトウェア・キーストアが自動的に開きます。ただし、パスワードベースのソフトウェア・キーストアおよびハードウェア・キーストアは、自動的に開きません。使用する前には手動で再度開く必要があります。
ソフトウェア・キーストアまたはハードウェア・キーストアを閉じると、データベースのすべての暗号化操作と復号化操作が無効になります。したがって、データベース・ユーザーやアプリケーションは、キーストアが再度開くまで、暗号化データに関係する操作を実行できません。
キーストアを閉じた後に再度開くと、キーストアの内容がデータベースにリロードされます。したがって、内容が変更されると(移行中など)、データベースには最新のキーストアの内容が格納されます。
PDBに対してALTER PLUGGABLE DATABASE CLOSE文またはSHUTDOWNコマンドを実行すると、SYSKM管理権限を持つユーザーがADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE文を使用して手動でクローズするまで、PDBのOPEN状態のキーストアはオープン状態のままになります。
キーストアが閉じているかどうかは、V$ENCRYPTION_WALLETビューのSTATUS列を問い合せることによって確認できます。
キーストアにアクセスできない場合、次のデータ操作は失敗します。
-
暗号化列からのデータの選択(
SELECT) -
暗号化列に対するデータの挿入(
INSERT) -
暗号化列による表の作成(
CREATE) -
暗号化された表領域の作成(
CREATE)
親トピック: 統一モードでキーストアを閉じる
統一モードでソフトウェア・キーストアを閉じる
統一モードで、パスワード保護されたキーストア、自動ログイン・キーストアおよびローカル自動ログイン・ソフトウェア・キーストアを閉じることができます。
親トピック: 統一モードでキーストアを閉じる
統一モードでハードウェア・キーストアを閉じる
ハードウェア・キーストアを閉じるには、SET KEYSTORE CLOSE句を含むADMINISTER KEY MANAGEMENT文を使用する必要があります。
親トピック: 統一モードでキーストアを閉じる
統一モードでの後で使用するためのTDEマスター暗号化キーの作成
後でアクティブ化するTDEマスター暗号化キーを作成することができます。
- 後で使用するためのTDEマスター暗号化キーの作成について
ADMINISTER KEY MANAGEMENT文のCREATE KEY句によって、後でアクティブ化できるTDEマスター暗号化キーを作成できます。 - 統一モードでの後で使用するためのTDEマスター暗号化キーの作成
統一モードで後で使用するTDEマスター暗号化キーを作成する前に、キーストアが開かれている必要があります。
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
後で使用するためのTDEマスター暗号化キーの作成について
ADMINISTER KEY MANAGEMENT文のCREATE KEY句によって、後でアクティブ化できるTDEマスター暗号化キーを作成できます。
その後、そのキーを同じデータベースでアクティブ化したり、別のデータベースにエクスポートしてそこでアクティブ化できます。
このTDEマスター暗号化キーの作成方法は、マルチテナント環境でTDEマスター暗号化キーを再作成する必要がある場合に便利です。CREATE KEY句では、単一のSQL文を使用して、マルチテナント環境内のすべてのPDBに新しいTDEマスター暗号化キーを作成できます。新しいTDEマスター暗号化キーの作成時間は、現在使用中のTDEマスター暗号化キーをアクティブ化するよりも遅くなります。そのため、最新の作成済TDEマスター暗号化キーをできるだけ早くアクティブ化するようにすべてのPDBに注意を喚起するために、この作成時間を使用できます。
例: すべてのPDBでのマスター暗号化キーの作成
ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG文を使用して、すべてのPDBにTDEマスター暗号化キーを作成できます。
例8-1に、マルチテナント環境のすべてのPDBにマスター暗号化キーを作成する方法を示します。ここでは、CDBルートの自動ログイン・キーストアが開いている場合に、FORCE KEYSTORE句を使用します。パスワードが外部に格納されるため、IDENTIFIED BY句にEXTERNAL STORE設定が使用されます。この文を実行すると、マスター暗号化キーが各PDBに作成されます。それらのキーの識別子は次のように確認できます。
-
PDBにログインして、
V$ENCRYPTION_KEYSビューのTAG列を問い合せます。 -
CDBルートにログインして、
GV$ENCRYPTION_KEYSビューのINST_IDおよびTAG列を問い合せます。
また、最も最近作成されたキー(この文で作成したキー)を確認するには、それらのビューのCREATION_TIME列を確認します。キーの作成後、各PDBでキーを個々にアクティブ化できます。
例8-1 すべてのPDBのマスター暗号化キーの作成
ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG 'scope:all pdbs;description:Create Key for ALL PDBS' FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE WITH BACKUP CONTAINER = ALL; keystore altered.
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
統一モードでのTDEマスター暗号化キーのアクティブ化
TDEマスター暗号化キーはアクティブ化すると、使用できます。
- TDEマスター暗号化キーのアクティブ化について
ADMINSTER KEY MANAGEMENTのUSE KEY句を使用することで、以前に作成済またはインポート済のTDEマスター暗号化キーをアクティブ化できます。 - 統一モードでのTDEマスター暗号化キーのアクティブ化
統一モードでTDEマスター暗号化キーをアクティブ化するには、キーストアを開き、USE KEY句を含むADMINISTER KEY MANAGEMENTを使用する必要があります。 - 例: TDEマスター暗号化キーのアクティブ化
ADMINISTER KEY MANAGEMENT SQL文を使用して、TDEマスター暗号化キーをアクティブ化できます。
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
TDEマスター暗号化キーのアクティブ化について
ADMINSTER KEY MANAGEMENTのUSE KEY句を使用することで、以前に作成済またはインポート済のTDEマスター暗号化キーをアクティブ化できます。
キーをアクティブ化すると、使用できるようになります。キーを使用して、すべての列のキーとすべての表領域暗号化キーを保護できます。ロジカル・スタンバイ・データベースをデプロイしている場合、TDEマスター暗号化キーを再作成後にエクスポートしてから、スタンバイ・データベースにインポートする必要があります。プライマリ・データベースとスタンバイ・データベースの両方でTDEマスター暗号化キーを使用するように選択できます。これを行うには、TDEマスター暗号化キーを、ロジカル・スタンバイ・データベースへのインポート後にアクティブ化する必要があります。
親トピック: 統一モードでのTDEマスター暗号化キーのアクティブ化
統一モードでのTDEマスター暗号化キーのアクティブ化
統一モードでTDEマスター暗号化キーをアクティブ化するには、キーストアを開き、USE KEY句を含むADMINISTER KEY MANAGEMENTを使用する必要があります。
親トピック: 統一モードでのTDEマスター暗号化キーのアクティブ化
例: TDEマスター暗号化キーのアクティブ化
ADMINISTER KEY MANAGEMENT SQL文を使用して、TDEマスター暗号化キーをアクティブ化できます。
例8-2に、以前にインポート済のTDEマスター暗号化キーをアクティブ化してそのタグを更新する方法を示します。このキーは、現在のデータベースのタイムスタンプとタイムゾーンでアクティブ化されます。
例8-2 TDEマスター暗号化キーのアクティブ化
ADMINISTER KEY MANAGEMENT USE KEY
'ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA'
USING TAG 'quarter:second;description:Activate Key on standby'
IDENTIFIED BY password WITH BACKUP;
keystore altered.次の同じ操作のバージョンでは、自動ログイン・キーストアが使用されているか、キーストアが閉じている場合に、FORCE KEYSTORE句が追加されます。キーストアのパスワードが外部に格納されるため、IDENTIFIED BY句にEXTERNAL STORE設定が使用されます。
ADMINISTER KEY MANAGEMENT USE KEY 'ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' USING TAG 'quarter:second;description:Activate Key on standby' FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE WITH BACKUP; keystore altered.
親トピック: 統一モードでのTDEマスター暗号化キーのアクティブ化
ユーザー定義のTDEマスター暗号化キーの作成
TDEマスター暗号化キーIDを生成して、データベースの外部でユーザー定義のTDEマスター暗号化キーを作成できます。
- ユーザー定義のTDEマスター暗号化キーについて
データベースの外部にあるTDEマスター暗号化キーには、TDEマスター暗号化キーの使用を追跡するための固有のユーザー生成IDがあります。 - 統一モードでのユーザー定義のTDEマスター暗号化キーの作成
ユーザー定義のTDEマスター暗号化キーを作成するには、SET | CREATE [ENCRYPTION] KEY句を指定して、ADMINISTER KEY MANAGEMENT文を使用します。
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
ユーザー定義のTDEマスター暗号化キーについて
データベースの外部にあるTDEマスター暗号化キーには、TDEマスター暗号化キーの使用を追跡するための固有のユーザー生成IDがあります。
ADMINISTER KEY MANAGEMENTを使用して、ユーザー定義のTDEマスター暗号化キーIDを作成および設定できます。TDEマスター暗号化キーを生成した後で、このキーをデータベースに格納できます。オプションで、様々なADMINISTER KEY MANAGEMENT文でTDEマスター暗号化キーIDを指定できます。
このタイプの構成を使用すると、サイトの要件に準拠するTDEマスター暗号化キーを生成できるため、Oracle Fusion SaaS Cloud環境で役立ちます。生成されるこのキーは、最新の暗号化アルゴリズムをサポートしており、ソフトウェア・キーストアのために使用できます。
TDEマスター暗号化キーIDを生成した後で、通常の方法でデータを暗号化できます。
TDEマスター暗号化キーとそれに対応するIDは、監査ログによって取得されません。
親トピック: ユーザー定義のTDEマスター暗号化キーの作成
統一モードでのユーザー定義のTDEマスター暗号化キーの作成
ユーザー定義のTDEマスター暗号化キーを作成するには、SET | CREATE [ENCRYPTION] KEY句を含むADMINISTER KEY MANAGEMENT文を使用します。
親トピック: ユーザー定義のTDEマスター暗号化キーの作成
統一モードでのTDEマスター暗号化キーのキー更新
SET KEY句を含むADMINISTER KEY MANAGEMENT文を使用して、TDEマスター暗号化キーをキー更新できます。
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
統一モードで使用中のTDEマスター暗号化キーの確認
使用中のTDEマスター暗号化キーは、データベースで一番最近アクティブ化されたキーです。
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
統一モードでのカスタム属性タグの作成
統一モードでカスタム属性タグを作成するには、ADMINISTER KEY MANAGEMENT文のSET TAG句を使用する必要があります。
関連項目
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
統一モードでの新しいキーストアへのTDEマスター暗号化キーの移動
既存のTDEマスター暗号化キーを、パスワードで保護された既存のキーストアから新しいキーストアに移動できます。
- 新しいキーストアへのTDEマスター暗号化キーの移動について
使用されていない(正常にアーカイブ済の)TDEマスター暗号化キーを新しいキーストアに移動できます。 - 統一モードでの新しいキーストアへのTDEマスター暗号化キーの移動
統一モードでは、既存のソフトウェア・パスワード・キーストアから新しいキーストアに既存のTDEマスター暗号化キーを移動できます。
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
新しいキーストアへのTDEマスター暗号化キーの移動について
使用されていない(正常にアーカイブ済の)TDEマスター暗号化キーを新しいキーストアに移動できます。
ADMINISTER KEY MANAGEMENT MOVE KEYSを実行する場合は十分に注意してください。この文ではアクティブなマスター暗号化キーは移動されませんが、それでも、一連のデータベース機能に必要となるキーに影響がある可能性があります。キーを削除した場合は、これらの機能を使用するための、そのキーによって暗号化されたデータへのアクセスは不可能になります(データの削除と同等)。キーストアの削除によって影響を受ける機能の詳細は、このトピックの最後にある「関連項目」を参照してください。
そのため、キーストアを移動する前に、それを正常にアーカイブすることが重要です。一定期間が経過し、キーストアが確実に不要になった場合にのみ、キーストアを削除するようにしてください。
TDEマスター暗号化キーを新しいキーストアに移動するには、ADMINISTER KEY MANAGEMENT MOVE KEYS文を使用します。この文では、アクティブなTDEマスター暗号化キー(つまり、ADMINISTER KEY MANAGEMENT MOVE KEYSが発行された時点で使用中だったキー)は移動されません。
新しいTDEキーストアを構成するとき(たとえば、TDEキーストア構成においてソフトウェア・キーストアの配置場所をオペレーティング・システムのファイル・システムからOracle Automatic Storage Management (Oracle ASM)に変更する場合)に、誤ってADMINISTER KEY MANAGEMENT MERGE KEYSTOREではなくADMINISTER KEY MANAGEMENT MOVE KEYS文を使用した場合には、次の現象の発生により、間違ったキー管理コマンドの使用によってTDEの構成が正しくなくなっていることを判断できます。
- 前の
ADMINISTER KEY MANAGEMENT MOVE KEYS操作のターゲットであったTDEキーストアを開いたときに、ORA-28374: 「入力したマスター・キーがウォレットに見つかりません」というエラーが表示されます。これは、アクティブなTDEマスター暗号化キーがそのキーストアに移動されていないためです。 - 新しいキーストアを開いた後、
V$ENCRYPTION_WALLETビューのSTATUS列にOPEN_NO_MASTER_KEYという値が表示されています。誤ってADMINISTER KEY MANAGEMENT MOVE KEYS文によって移入された新しいTDEキーストアにはアクティブなTDEマスター暗号化キーが含まれていないため、想定ではOPEN_NO_MASTER_KEYステータスになります。
統一モードでの非アクティブなTDEマスター暗号化キーの自動削除
統一モードでは、REMOVE_INACTIVE_STANDBY_TDE_MASTER_KEY初期化パラメータにより、非アクティブなTDEマスター暗号化キーの自動削除を構成できます。
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
プラガブル・データベース・キーストアの分離
PDBのキーストアを分離すると、マスター暗号化キーが、CDBルートのキーストアから、PDB内の分離モードのキーストアに移されます。
ADMINISTER KEY MANAGEMENT権限をローカルに付与された管理者は、キーストアを管理できます。
親トピック: 統一モードでのキーストアおよびマスター暗号化キーの管理
統一モードでの透過的データ暗号化の管理
統一モードで透過的データ暗号化を使用して一般的な管理タスクを実行できます。
- 統一モードでのあるCDBから別のCDBへのPDBの移動
統一モードでは、(たとえば、ロード・バランシングや新機能の追加のために)PDBをあるCDBから別のCDBに自動的に移動できます。 - 統一モードでの暗号化データを含むPDBのCDBに対するアンプラグとプラグイン
統一モードでは、暗号化データを含むPDBをCDBにプラグインできます。反対に、このPDBをCDBからアンプラグすることもできます。 - 統一モードでの暗号化データを含むクローニングされたPDBの管理
統一モードでは、CDBで暗号化されたデータのあるPDBをクローニングできます。 - 統一モードでのキーストアの開閉操作の機能
統一モードでキーストアの開閉操作がどのように機能するのかを知っておく必要があります。 - 統一モードでのすべてのPDBのキーストア・ステータスの確認
V$ENCRYPTION_WALLETビューを使用する簡易関数を作成して、CDBにおけるすべてのPDBのキーストアのステータスを確認できます。
親トピック: 統一モードの管理
統一モードでのあるCDBから別のCDBへのPDBの移動
統一モードでは、(たとえば、ロード・バランシングや新機能の追加のために)PDBをあるCDBから別のCDBに自動的に移動できます。
ONE_STEP_PLUGIN_FOR_PDB_WITH_TDE動的システム・パラメータをTRUEに設定して、PDBがPDB移動操作にTDEキーを含めるようにすることができます。このパラメータにより、PDBが別のCDBに移された後、TDEキーをPDBにインポートするときに、キーストア・パスワードを手動で指定する必要がなくなります。ONE_STEP_PLUGIN_FOR_PDB_WITH_TDEがTRUEに設定されている場合、データベースではメモリーにキーストア・パスワードをキャッシュし、システム・レベルで不明瞭化し、インポート操作のために使用します。ONE_STEP_PLUGIN_FOR_PDB_WITH_TDEのデフォルトはFALSEです。
親トピック: 統一モードでの透過的データ暗号化の管理
統一モードでの暗号化データを含むPDBのCDBに対するアンプラグとプラグイン
統一モードでは、暗号化データを含むPDBをCDBにプラグインできます。反対に、このPDBをCDBからアンプラグすることもできます。
- 統一モードでの暗号化データを含むPDBのアンプラグ
統一モードでは、暗号化データを含むPDBをアンプラグして、XMLメタデータ・ファイルまたはアーカイブ・ファイルにエクスポートできます。 - 統一モードでの暗号化データを含むPDBのCDBへのプラグイン
暗号化データを含むPDBをCDBにプラグインするには、まずPDBにプラグインしてから、そのPDBのキーストアを設定します。 - 統一モードでのハードウェア・キーストアに格納されたマスター・キーを含むPDBのアンプラグ
HSMで構成されたCDBからPDBをアンプラグした後、それを同様にハードウェア・キーストアで構成された別のCDBにプラグインできます。 - 統一モードでのハードウェア・キーストアに格納されたマスター暗号化キーを含むPDBのプラグイン
ADMINISTER KEY MANAGEMENT文によって、ハードウェア・キーストアのTDEマスター暗号化キーを、別のCDBに移動したPDBにインポートできます。
親トピック: 統一モードでの透過的データ暗号化の管理
統一モードでの暗号化データを含むPDBのアンプラグ
統一モードでは、暗号化データを含むPDBをアンプラグして、XMLメタデータ・ファイルまたはアーカイブ・ファイルにエクスポートできます。
DBA_PDBSデータ・ディクショナリ・ビューのSTATUS列を問い合せることで、PDBがアンプラグされたかどうかを確認できます。
統一モードでの暗号化データを含むPDBのCDBへのプラグイン
暗号化データを含むPDBをCDBにプラグインするには、まずPDBにプラグインしてから、そのPDBのキーストアを設定します。
0に設定されます。キー・バージョンは、V$ENCRYPTED_TABLESPACES動的ビューのKEY_VERSIONを問い合せて確認できます。同様に、制御ファイルが失われ再作成された場合、以前のキーの履歴は0にリセットされます。DBA_PDBSデータ・ディクショナリ・ビューのSTATUS列を問い合せることで、PDBがすでにプラグインされているかどうかを確認できます。
統一モードでのハードウェア・キーストアに格納されたマスター暗号化キーを含むPDBのアンプラグ
HSMで構成されたCDBからPDBをアンプラグした後、それを同様にハードウェア・キーストアで構成された別のCDBにプラグインできます。
統一モードでの暗号化データを含むクローニングされたPDBの管理
統一モードでは、暗号化データを含むPDBをCDBでクローニングできます。
- 統一モードでの暗号化データを含むクローニングされたPDBの管理について
PDBをクローニングする際、ソースPDBのマスター・キーをクローニングされたPDBが使用できるようにしておく必要があります。 - 統一モードでの暗号化データを含むPDBのCDBへのクローニング
KEYSTORE IDENTIFIED BY句を含むCREATE PLUGGABLE DATABASE文によって、暗号化データを含むPDBをクローニングできます。 - 統一モードで、暗号化データを含むPDBのリモート・クローニングを2つのCDB間で実行する
KEYSTORE IDENTIFIED BY句を含むCREATE PLUGGABLE DATABASE文は、暗号化されたデータを含むPDBをリモートからクローニングできます。 - 統一モードで、暗号化データを含むクローニングされたPDBをCDB間で再配置する
KEYSTORE IDENTIFIED BY句を含むCREATE PLUGGABLE DATABASE文は、暗号化されたデータを含むクローニングされたPDBをCDB間で再配置できます。
親トピック: 統一モードでの透過的データ暗号化の管理
統一モードでの暗号化データを含むクローニングされたPDBの管理について
PDBをクローニングする際、ソースPDBのマスター暗号化キーをクローニングされたPDBが使用できるようにしておく必要があります。
これにより、クローニングされたPDBが暗号化データに対して操作を行うことができます。クローニングされたPDBがリモートのCDBにある場合であっても、Oracle Databaseがキーを転送するため、クローニングを実行するためにキーをエクスポートまたはインポートする必要はありません。ただし、クローンを作成するCDBのキーストア・パスワードは指定する必要があります。
PDBに暗号化されたデータがある場合は、CDB間でPDBのリモート・クローニング操作を実行し、CDB間でPDBを再配置できます。
統一モードでの暗号化データを含むPDBのCDBへのクローニング
KEYSTORE IDENTIFIED BY句を含むCREATE PLUGGABLE DATABASE文によって、暗号化データを含むPDBをクローニングできます。
統一モードで、暗号化データを含むPDBのリモート・クローニングを2つのCDB間で実行する
KEYSTORE IDENTIFIED BY句を含むCREATE PLUGGABLE DATABASE文によって、暗号化データを含むPDBをリモートからクローニングできます。
統一モードでのキーストアの開閉操作の機能
統一モードでキーストアの開閉操作がどのように機能するかを知っておく必要があります。
統一モードの各PDBに関して、透過的データ暗号化の操作が続行できるように、PDBにおいてパスワードで保護されたソフトウェア・キーストアまたはハードウェア・キーストアを明示的に開く必要があります。(自動ログイン・ソフトウェア・キーストアおよびローカル自動ログイン・ソフトウェア・キーストアは自動的に開きます。)PDBのキーストアを閉じることによって、PDBのすべての透過的データ暗号化操作がブロックされます。
PDBにおけるキーストアの開閉操作は、CDBルートにおけるキーストアの開閉ステータスに依存します。
次の点に注意してください。
-
統一モードの各PDBについて個別のキーストアのパスワードを作成できます。
-
個別のPDBでパスワード保護されたソフトウェア・キーストアまたはハードウェア・キーストアを手動で開くには、事前にCDBルートのキーストアを開いておく必要があります。
-
自動ログイン・キーストアが使用されているか、キーストアが閉じている場合は、キーストアを開くまたは閉じるときに、
ADMINISTER KEY MANAGEMENT文にFORCE KEYSTORE句を含めます。 -
キーストアがパスワード用に外部ストアを使用するパスワード保護されたソフトウェア・キーストアである場合は、
IDENTIFIED BY句をEXTERNAL STOREに設定します。 -
個々のPDBでTDEマスター暗号化キーを設定するには、事前にCDBルートでキーを設定する必要があります。
-
(自動ログイン・ソフトウェア・キーストアおよびローカル自動ログイン・ソフトウェア・キーストアは自動的に開きます。)これらを最初にCDBルートからまたはPDBから、手動で開く必要はありません。
-
CDBルートでキーストアを閉じると、これに依存するPDBのキーストアも閉じます。rootにおいてキーストアを閉じる操作は、
CONTAINER句がALLに設定されていてキーストアを閉じる操作を実行することと同等です。 -
CDBルートで
ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN文を実行し、CONTAINER句をALLに設定した場合、キーストアは、統一モードで構成されている各PDBでのみ開くことになり、分離モードで構成されているいずれのPDBも開かれません。
親トピック: 統一モードでの透過的データ暗号化の管理
統一モードでのすべてのPDBのキーストア・ステータスの確認
V$ENCRYPTION_WALLETビューを使用する便利なファンクションを作成して、CDBにおけるすべてのPDBのキーストアのステータスを確認できます。
V$ENCRYPTION_WALLETビューでは、PDBのキーストアのステータス(オープン、クローズ、ソフトウェアまたはハードウェア・キーストアを使用しているかどうかなど)が表示されています。
-
V$ENCRYPTION_WALLETビューを使用してキーストアのステータスを検出するファンクションを作成するには、CREATE PROCEDUREPL/SQL文を使用します。
例8-3では、このファンクションを作成する方法を示しています。
例8-3 CDBにおけるすべてのPDBに関するキーストアのステータスを確認するファンクション
CREATE OR REPLACE PROCEDURE all_pdb_v$encryption_wallet
IS
err_occ BOOLEAN;
curr_pdb VARCHAR2(30);
pdb_name VARCHAR2(30);
wrl_type VARCHAR2(20);
status VARCHAR2(30);
wallet_type VARCHAR2(20);
wallet_order VARCHAR2(12);
fully_backed_up VARCHAR2(15);
wrl_parameter VARCHAR2(4000);
cursor sel_pdbs IS SELECT NAME FROM V$CONTAINERS
WHERE NAME <> 'PDB$SEED' order by con_id desc;
BEGIN
-- Store the original PDB name
SELECT sys_context('userenv', 'con_name') INTO curr_pdb FROM DUAL;
IF curr_pdb <> 'CDB$ROOT' THEN
dbms_output.put_line('Operation valid in ROOT only');
END IF;
err_occ := FALSE;
dbms_output.put_line('---');
dbms_output.put_line('PDB_NAME WRL_TYPE STATUS ');
dbms_output.put_line('------------------------------ -------- ------------------------------');
dbms_output.put_line('WALLET_TYPE WALLET_ORDER FULLY_BACKED_UP');
dbms_output.put_line('-------------------- ------------ ---------------');
dbms_output.put_line('WRL_PARAMETER');
dbms_output.put_line('--------------------------------------------------------------------------');
FOR pdbinfo IN sel_pdbs LOOP
pdb_name := DBMS_ASSERT.ENQUOTE_NAME(pdbinfo.name, FALSE);
EXECUTE IMMEDIATE 'ALTER SESSION SET CONTAINER = ' || pdb_name;
BEGIN
pdb_name := rpad(substr(pdb_name,1,30), 30, ' ');
EXECUTE IMMEDIATE 'SELECT wrl_type from V$ENCRYPTION_WALLET' into wrl_type;
wrl_type := rpad(substr(wrl_type,1,8), 8, ' ');
EXECUTE IMMEDIATE 'SELECT status from V$ENCRYPTION_WALLET' into status;
status := rpad(substr(status,1,30), 30, ' ');
EXECUTE IMMEDIATE 'SELECT wallet_type from V$ENCRYPTION_WALLET' into wallet_type;
wallet_type := rpad(substr(wallet_type,1,20), 20, ' ');
EXECUTE IMMEDIATE 'SELECT wallet_order from V$ENCRYPTION_WALLET' into wallet_order;
wallet_order := rpad(substr(wallet_order,1,9), 12, ' ');
EXECUTE IMMEDIATE 'SELECT fully_backed_up from V$ENCRYPTION_WALLET' into fully_backed_up;
fully_backed_up := rpad(substr(fully_backed_up,1,9), 15, ' ');
EXECUTE IMMEDIATE 'SELECT wrl_parameter from V$ENCRYPTION_WALLET' into wrl_parameter;
wrl_parameter := rpad(substr(wrl_parameter,1,79), 79, ' ');
dbms_output.put_line(pdb_name || ' ' || wrl_type || ' ' || status);
dbms_output.put_line(wallet_type || ' ' || wallet_order || ' ' || fully_backed_up);
dbms_output.put_line(wrl_parameter);
EXCEPTION
WHEN OTHERS THEN
err_occ := TRUE;
END;
END LOOP;
IF err_occ = TRUE THEN
dbms_output.put_line('One or more PDB resulted in an error');
END IF;
END;
.
/
set serveroutput on
exec all_pdb_v$encryption_wallet;親トピック: 統一モードでの透過的データ暗号化の管理