7 キーストアおよびマスター暗号化キーの管理
キーストアおよびTDEマスター暗号化キーの設定を変更して、Oracle Databaseを格納し、Oracle GoldenGateのシークレットをキーストアに格納できます。
- キーストアの管理
キーストアでは、パスワードの変更、キーストアのバックアップ、キーストアのマージ、キーストアの移動などのメンテナンス作業を実行できます。 - TDEマスター暗号化キーの管理
TDEマスター暗号化キーは、いくつかの方法で管理できます。 - 透過的データ暗号化のデータの動的ビューおよびデータ・ディクショナリ・ビュー
透過的データ暗号化(TDE)データに関する詳細情報を検索するために、一連の動的ビューおよびデータ・ディクショナリ・ビューを問い合せることができます。
親トピック: 透過的データ暗号化の使用
キーストアの管理
キーストアでは、パスワードの変更、キーストアのバックアップ、キーストアのマージ、キーストアの移動などのメンテナンス作業を実行できます。
- キーストア・パスワードを必要とする操作の実行
多くのADMINISTER KEY MANAGEMENT
操作では、ソフトウェア・キーストアおよびハードウェア・キーストアの両方において、キーストア・パスワードへのアクセスが必要になります。 - 自動ログイン・ハードウェア・セキュリティ・モジュールの構成
自動ログイン機能を使用するには、ハードウェア・セキュリティ・モジュールを構成します。 - キーストア・パスワードのための外部ストアの構成
キーストア・パスワードの外部ストアでは、集中的にアクセスおよび管理できる場所にキーストア・パスワードが格納されます。 - パスワード保護されたソフトウェア・キーストアのバックアップ
パスワード保護されたソフトウェア・キーストアをバックアップする際、バックアップのタイプを説明するバックアップの識別子文字列を作成できます。 - V$ENCRYPTION_WALLETビューによるバックアップ操作の解釈方法
V$ENCRYPTION_WALLET
ビューのBACKUP
列では、キーストアのコピーがどのように作成されたかが示されます。 - ハードウェア・キーストアのバックアップ
Oracle Databaseを使用してハードウェア・キーストアをバックアップすることはできません。 - ソフトウェア・キーストアのマージ
ソフトウェア・キーストアは、様々な方法でマージできます。 - 新しい場所へのソフトウェア・キーストアの移動
WALLET_ROOT
パラメータを更新した後で、新しい場所にソフトウェア・キーストアを移動します。 - 自動ストレージ管理からのソフトウェア・キーストアの移動
ADMINISTER KEY MANAGEMENT
文を使用して、自動ストレージ管理からソフトウェア・キーストアを移動できます。 - ソフトウェア・パスワード・キーストアとハードウェア・キーストア間の移行
パスワード保護されたソフトウェア・キーストアとハードウェア・キーストアとの間で移行できます。 - キーストアとOracle Key Vault間の移行
Oracle Key Vaultを使用して、ソフトウェアおよびハードウェアの両方のキーストアをOracle Key Vault間で移行できます。 - 自動ストレージ管理のためのキーストアの構成
自動ストレージ管理(ASM)ディスク・グループにソフトウェア・キーストアを格納できます。 - 暗号化されたデータのバックアップおよびリカバリ
ソフトウェア・キーストアの場合、TDEマスター暗号化キーがないと暗号化されたデータにアクセスできません。 - キーストアを削除することの危険性
キーストアを削除しないようにすることをお薦めします。 - キーストアの削除によって影響を受ける機能
一部の機能は、キーストアの削除後にそのキーストアに存在するTDEマスター暗号化キーが必要になった場合には、問題が発生する可能性があります。
親トピック: キーストアおよびマスター 暗号化キーの管理
キーストア・パスワードを必要とする操作の実行
多くのADMINISTER KEY MANAGEMENT
操作では、ソフトウェア・キーストアおよびハードウェア・キーストアの両方において、キーストア・パスワードへのアクセスが必要です。
一部のケースでは、操作が成功するまで、ソフトウェア・キーストアは自動ログイン・キーストアに依存しています。パスワードにアクセスする前に、自動ログイン・キーストアは閉じ、パスワード保護されたキーストアは開いている必要があります。自動ログイン・キーストアは、構成されキーが必要とされるときに、自動的に開きます。これらは一般的に、キーストアが閉じている可能性があるのに、データベース操作でキーが必要な場合(たとえば、データベースの起動後など)の操作に必要になります。自動ログイン・キーストアは自動的に開くため、手動操作なしでキーを取得してデータベース操作を実行できます。ただし、キーストア・パスワードを必要とする一部のキーストア操作は、自動ログイン・キーストアが開いているときに実行できません。パスワードを必要とするキーストア操作では、自動ログイン・キーストアは閉じ、パスワード保護されたキーストアは開いている必要があります。
マルチテナント環境では、キーストアを再度開くと他のPDBに影響が及びます。たとえば、ルートにある自動ログイン・キーストアは、このルートのCDBのPDBによってアクセス可能である必要があります。
キーストア・パスワードのローテーション、暗号化キーの作成、使用、キー更新、タグ付け、インポート、エクスポート、移行または逆移行、キーストアのオープンまたはバックアップ、シークレット・キーストアの追加、更新または削除の操作を実行する際に、ADMINISTER KEY MANAGEMENT
文にFORCE KEYSTORE
句を含めて、一時的にキーストアを開くことができます。マルチテナント環境において、ルートに開いているキーストアがない場合、FORCE KEYSTORE
によりルートのパスワード保護されたキーストアが開きます。
親トピック: キーストアの管理
自動ログイン・ハードウェア・セキュリティ・モジュールの構成
自動ログイン機能を使用するには、ハードウェア・セキュリティ・モジュールを構成します。
- 自動ログイン・ハードウェア・セキュリティ・モジュールの構成について
自動ログイン・ハードウェア・セキュリティ・モジュールは、自動ログイン・キーストア内にハードウェア・セキュリティ・モジュールの資格証明を格納します。 - 自動ログイン・ハードウェア・セキュリティ・モジュールの構成
自動ログインHSMを構成するには、ADMINISTER KEY MANAGEMENT
文を使用して、HSMへの認証に使用するクライアント・シークレットを追加または更新する必要があります。
親トピック: キーストアの管理
自動ログイン・ハードウェア・セキュリティ・モジュールの構成について
自動ログイン・ハードウェア・セキュリティ・モジュールは、自動ログイン・キーストア内にハードウェア・セキュリティ・モジュールの資格証明を格納します。
この構成により、システム全体のセキュリティが低下します。ただし、この構成は、無人または自動化された操作をサポートしています。また、ハードウェア・セキュリティ・モジュールへの自動的な再ログインが必要なデプロイメントで役立ちます。
問合せSELECT * FROM V$ENCRYPTION_WALLET
を実行すると、自動ログイン・ハードウェア・セキュリティ・モジュールが自動的に開くため、注意してください。たとえば、自動ログイン・ハードウェア・セキュリティ・モジュールを構成しているとします。キーストアを閉じて、V$ENCRYPTION_WALLET
ビューを問い合せると、出力にキーストアが開かれていることが示されます。これは、V$ENCRYPTION_WALLET
によって自動ログイン・ハードウェア・キーストアが開かれ、自動ログイン・キーストアのステータスが表示されたためです。
ハードウェア・キーストアの自動ログイン機能を有効にするには、ハードウェア・キーストアの資格証明を自動ログイン・ウォレットに格納する必要があります。
ADMINISTER KEY MANAGEMENT
文の使用においては、概念上は、クライアント・シークレットに対して機能するコマンドのセットとして次の2つがあります。
- 現在使用中のウォレット(つまり、アクティブなTDEマスター暗号化キーが含まれているウォレット)に対して機能する
ADMINISTER KEY MANAGEMENT
コマンド。 - アクティブなTDEマスター暗号化キーの格納に現在使用されていないウォレットに対して機能する
ADMINISTER KEY MANAGEMENT
コマンド。自動ログイン・ソフトウェア・キーストアを構成する場合はこの手法を使用することをお薦めします。
自動ログイン・ハードウェア・セキュリティ・モジュールの構成
自動ログインHSMを構成するには、ADMINISTER KEY MANAGEMENT
文を使用して、HSMへの認証に使用するクライアント・シークレットを追加または更新する必要があります。
V$ENCRYPTION_WALLET
動的ビューを問い合せると、STATUS
列にはOPEN
ではなくOPEN_NO_MASTER_KEY
と表示されます(このウォレットにはクライアント・シークレットのみが含まれているため)。
-
ソフトウェア・キーストアのキーストアの場所がまだない場合には、これを含めるように
init.ora
ファイルのWALLET_ROOT
パラメータを再構成します。前にHSMを使用して移行している場合には、ソフトウェア・キーストアの場所はすでに存在している可能性があります。
例:
WALLET_ROOT=/etc/ORACLE/WALLETS/orcl
-
ソフトウェア・キーストアでシークレットを追加または更新します。
シークレットはハードウェア・セキュリティ・モジュール・パスワード、クライアントは
HSM_PASSWORD
です。HSM_PASSWORD
は、HSMパスワードをソフトウェア・キーストアのシークレットとして表現するために使用されるOracle定義のクライアント名です。例:
ADMINISTER KEY MANAGEMENT ADD SECRET 'user_name:password' FOR CLIENT 'HSM_PASSWORD' TO LOCAL AUTO_LOGIN KEYSTORE software_keystore_location WITH BACKUP;
この例では、次のようになります。
software_keystore_location
は、先ほどステップ1で定義したWALLET_ROOT
の場所内のソフトウェア・キーストアの場所です。CDBルートおよび統一モードで構成されたPDBの場合、
software_keystore_location
の場所に使用する値はWALLET_ROOT/tde
です。分離モードで構成されたPDBの場合、
software_keystore_location
の場所に使用される値はWALLET_ROOT/pdb_guid/tde
です。PDBに接続している場合は、SELECT GUID FROM V$PDBS;
という問合せを実行して、このGUIDを見つけます。LOCAL
を指定すると、HSMの資格証明を保持するために、ローカル自動ログイン・ウォレット・ファイルcwallet.sso
が作成されます。このウォレットは、それが作成されたホストに関連付けられています。Oracle Real Application Clusters環境の場合は、Oracle RACノードごとにホスト名が異なるため、
LOCAL
キーワードを省略しますが、それらすべてのノードで同じHSMが使用されます。Oracle RACインスタンスのローカル自動ログイン・ウォレットを構成した場合は、cwallet.sso
ファイルが作成された最初のOracle RACノードのみ、HSM資格証明にアクセス可能になります。最初のノードからではなく別のノードからキーストアを開こうとすると、cwallet.sso
が自動的に開かれるという問題が発生するため、自動ログインHSMを自動で開くことができなくなります。この制限事項が当てはまるのは、Oracle RACクラスタのcwallet.sso
ファイルの保持に共有の場所を使用している場合です。これは、LOCAL
の使用が有効なのは、Oracle RAC環境の各ノードに別個のcwallet.sso
ファイル(同じ資格証明を含む)がある場合のみであるためです。
この段階で、TDE操作が次に実行されるときに、ハードウェア・セキュリティ・モジュールの自動ログイン・キーストアが自動的に開くようになります。TDE操作の例としては、次のようなV$ENCRYPTION_WALLET
ビューへの問合せがあります。
SELECT * FROM V$ENCRYPTION_WALLET;
キーストア・パスワードのための外部ストアの構成
キーストア・パスワードの外部ストアでは、集中的にアクセスおよび管理できる場所にキーストア・パスワードが格納されます。
ADMINISTER KEY MANAGEMENT
文でIDENTIFIED BY EXTERNAL STORE
句を使用する前に、次のステップを完了する必要があります。
その後、キーストアのオープン、クローズ、バックアップ、シークレット・キーストアの追加、更新または削除、暗号化キーの作成、使用、キー更新、タグ付け、インポート、エクスポートに対してADMINISTER KEY MANAGEMENT
文でEXTERNAL STORE
句を使用する必要があります。
例:
ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY EXTERNAL STORE;
ADMINISTER KEY MANAGEMENT UPDATE CLIENT SECRET
文またはADMINISTER KEY MANAGEMENT DELETE CLIENT SECRET
文を使用して、外部キーストア・パスワードを変更または削除できます。
親トピック: キーストアの管理
パスワード保護されたソフトウェア・キーストアのバックアップ
パスワード保護されたソフトウェア・キーストアをバックアップする際、バックアップのタイプを説明するバックアップの識別子文字列を作成できます。
- パスワード保護されたソフトウェア・キーストアのバックアップについて
サイトのセキュリティ・ポリシーや要件に従って、パスワード保護されたソフトウェア・キーストアをバックアップする必要があります。 - バックアップ・キーストアのバックアップ識別子文字列の作成
ソフトウェア・パスワード・キーストアのバックアップ・ファイル名は、パスワード保護されたソフトウェア・キーストアの名前から導出されます。 - パスワード保護されたソフトウェア・キーストアのバックアップ
ADMINISTER KEY MANAGEMENT
文のBACKUP KEYSTORE
句により、パスワード保護されたソフトウェア・キーストアをバックアップします。
親トピック: キーストアの管理
パスワード保護されたソフトウェア・キーストアのバックアップについて
サイトのセキュリティ・ポリシーや要件に従って、パスワード保護されたソフトウェア・キーストアをバックアップする必要があります。
キーストアのバックアップには、元のキーストアに格納されているすべてのキーが含まれます。Oracle Databaseでは、バックアップ・キーストアに作成時のタイムスタンプ(UTC)の接頭辞が付けられます。識別子文字列を指定すると、その文字列がタイムスタンプとキーストア名の間に挿入されます。
バックアップ操作が完了すると、元のキーストアのキーは「backed up」とマークされます。キーのステータスは、V$ENCRYPTION_WALLET
データ・ディクショナリ・ビューを問い合せて確認できます。
自動ログイン・ソフトウェア・キーストアやローカル自動ログイン・ソフトウェア・キーストアはバックアップできません。ADMINISTER KEY MANAGEMENT
文での操作を使用して、新しいキーを直接それらに追加することはできません。これらのキーストア内の情報は読み取られるのみのため、バックアップは不要です。
キーストアをまだバックアップしていない場合は、TDEマスター暗号化キーの作成時にADMINISTER KEY MANAGEMENT
文にBACKUP
句を含めることができます。これにより、キーストアがバックアップされ、TDEマスター暗号化キーが作成されます。
V$ENCRYPTION_WALLETビューによるバックアップ操作の解釈方法
V$ENCRYPTION_WALLET
ビューのBACKUP
列では、キーストアのコピーがどのように作成されたかが示されます。
この列では、ADMINISTER KEY MANAGEMENT
文またはADMINISTER KEY MANAGEMENT BACKUP KEYSTORE
文のWITH BACKUP
句でキーストアのコピーが作成されているかどうかが示されます。
キーまたはシークレットを変更した場合、コピーが作成されてからキー自体が変更されるため、行う変更は前にバックアップされたコピーには反映されません。前のキーストアには変更のコピーが存在しないため、以前にBACKUP
がYES
に設定されていた場合でも、BACKUP
列はNO
に設定されます。したがって、BACKUP
列がYES
の場合、カスタム属性タグの追加といったバックアップを必要とする操作を実行すると、BACKUP
列の値はNO
に変更されます。
親トピック: キーストアの管理
ハードウェア・キーストアのバックアップ
Oracle Databaseを使用してハードウェア・キーストアをバックアップすることはできません。
ハードウェア・キーストアのキーをバックアップする方法の詳細は、HSMベンダーの指示を参照してください。
親トピック: キーストアの管理
ソフトウェア・キーストアのマージ
ソフトウェア・キーストアは、様々な方法でマージできます。
- ソフトウェア・キーストアのマージについて
ソフトウェア・キーストアの任意の組合せをマージできますが、マージ後のキーストアはパスワード保護される必要があります。構成キーストアとは異なるパスワードを指定できます。 - 1つのソフトウェア・キーストアの既存のソフトウェア・キーストアへのマージ
MERGE KEYSTORE
句を含むADMINISTER KEY MANAGEMENT
文を使用して、1つのソフトウェア・キーストアを他の既存のソフトウェア・キーストアにマージできます。 - 2つのソフトウェア・キーストアから3つ目の新しいキーストアへのマージ
2つの既存のキーストアが変更されないように2つのソフトウェア・キーストアを3つ目の新しいキーストアにマージできます。 - 自動ログイン・ソフトウェア・キーストアの既存のパスワード保護されたソフトウェア・キーストアへのマージ
自動ログイン・ソフトウェア・キーストアを既存のパスワード保護されたフトウェア・キーストアにマージできます。 - ソフトウェア・キーストア・マージ操作の取消し
キーストア・マージ操作を直接取り消すことはできません。
親トピック: キーストアの管理
ソフトウェア・キーストアのマージについて
ソフトウェア・キーストアの任意の組合せをマージできますが、マージ後のキーストアはパスワード保護される必要があります。構成キーストアとは異なるパスワードを指定できます。
マージしたキーストアを使用するには、マージ前にいずれかの構成キーストアがすでに開いていた場合でも、マージしたキーストアを作成後に明示的に開く必要があります。
2つのソース・キーストアの共通キーが、マージしたキーストアに追加されるか上書きされるかは、ADMINISTER KEY MANAGEMENT
マージ文の記述方法に応じて異なります。たとえば、キーストア1とキーストア2をマージしてキーストア3を作成する場合、キーストア1のキーはキーストア3に追加されます。キーストア1をキーストア2にマージする場合、キーストア2の共通キーは上書きされません。
ADMINISTER KEY MANAGEMENT
マージ文は、使用中の構成済キーストアには影響しません。ただし、必要に応じて、マージしたキーストアを新しい構成済データベース・キーストアとして使用できます。WALLET_ROOT
パラメータによって構成された場所にあるデータベースのキーストアとして新しく作成したキーストアを使用する場合、キーストアを再度開く必要があることに注意してください。
親トピック: ソフトウェア・キーストアのマージ
1つのソフトウェア・キーストアの既存のソフトウェア・キーストアへのマージ
MERGE KEYSTORE
句を含むADMINISTER KEY MANAGEMENT
文を使用して、1つのソフトウェア・キーストアを他の既存のソフトウェア・キーストアにマージできます。
-
このタイプのマージを実行するには、2つのソフトウェア・キーストアから3つ目の新しいキーストアへのマージのステップに従いますが、次のSQL文を使用してください。
ADMINISTER KEY MANAGEMENT MERGE KEYSTORE 'keystore1_location' [IDENTIFIED BY software_keystore1_password] INTO EXISTING KEYSTORE 'keystore2_location' IDENTIFIED BY software_keystore2_password [WITH BACKUP [USING 'backup_identifier]];
ここでは次のように指定します。
-
keystore1_location
は、マージ後も変更されないまま残される1つ目のキーストアのディレクトリの場所です。このパスは、一重引用符(' ')で囲みます。 -
IDENTIFIED BY
句は、1つ目のキーストアがパスワード保護されたキーストアの場合は必要です。software_keystore1_password
は、1つ目のキーストアのパスワードです。 -
keystore2_location
は、1つ目のキーストアがマージされる2つ目のキーストアのディレクトリの場所です。このパスは、一重引用符(' ')で囲みます。 -
software_keystore2_password
は、2つ目のキーストアのパスワードです。 -
WITH BACKUP
を使用すると、ソフトウェア・キーストアのバックアップが作成されます。オプションでUSING
句を使用し、バックアップの簡単な説明を追加できます。この説明は一重引用符(' ')で囲みます。この識別子は、名前付きキーストア・ファイルに付加されます(たとえば、emp_key_backup
がバックアップ識別子になっているewallet_
time-stamp
_emp_key_backup
.p12
)。オペレーティング・システムで使用されているファイル命名規則に従ってください。
-
マージ操作で生成されるキーストアは、常にパスワード保護されたキーストアです。
親トピック: ソフトウェア・キーストアのマージ
2つのソフトウェア・キーストアから3つ目の新しいキーストアへのマージ
2つの既存のキーストアが変更されないように2つのソフトウェア・キーストアを3つ目の新しいキーストアにマージできます。
親トピック: ソフトウェア・キーストアのマージ
自動ログイン・ソフトウェア・キーストアの既存のパスワード保護されたソフトウェア・キーストアへのマージ
自動ログイン・ソフトウェア・キーストアを既存のパスワード保護されたソフトウェア・キーストアにマージできます。
-
ADMINISTER KEY MANAGEMENT MERGE KEYSTORE
SQL文を使用して、自動ログイン・ソフトウェア・キーストアを既存のパスワード保護されたソフトウェア・キーストアにマージします。
例7-1に、自動ログイン・ソフトウェア・キーストアをパスワード保護されたソフトウェア・キーストアにマージする方法を示します。また、マージするキーストアを作成する前に、2つ目のキーストアのバックアップを作成します。
例7-1 自動ログイン・ソフトウェア・キーストアからパスワード・キーストアへのマージ
ADMINISTER KEY MANAGEMENT MERGE KEYSTORE '/etc/ORACLE/KEYSTORE/DB1'
INTO EXISTING KEYSTORE '/etc/ORACLE/KEYSTORE/DB2'
IDENTIFIED BY keystore_password WITH BACKUP;
ここでは次のように指定します。
-
MERGE KEYSTORE
は、自動ログイン・キーストアを指定する必要があります。 -
EXISTING KEYSTORE
は、パスワードのキーストアを表します。
親トピック: ソフトウェア・キーストアのマージ
ソフトウェア・キーストア・マージ操作の取消し
キーストア・マージ操作を直接取り消すことはできません。
キーストアを(新規作成するのではなく)既存のキーストアにマージする場合、ADMINISTER KEY MANAGEMENT
文にWITH BACKUP
句を指定して、その既存のキーストアのバックアップを作成する必要があります。後でマージを取り消す必要があると判断した場合、マージしたソフトウェア・キーストアを、バックアップしたものと置き換えることができます。
たとえば、キーストアAをキーストアBにマージするとします。WITH BACKUP
句を使用することで、マージ操作の開始前にキーストアBのバックアップを作成します。(元のキーストアAは変更されません。)マージ操作を取り消すには、キーストアBから作成したバックアップに戻ります。
-
ADMINISTER KEY MANAGEMENT MERGE KEYSTORE
SQL文を使用して、マージ操作を実行します。-
たとえば、既存のキーストアへのマージ操作を実行する場合、次のようにします。
ADMINISTER KEY MANAGEMENT MERGE KEYSTORE '/etc/ORACLE/KEYSTORE/DB1' INTO EXISTING KEYSTORE '/etc/ORACLE/KEYSTORE/DB2' IDENTIFIED BY password WITH BACKUP USING "merge1";
新しいキーストアをバックアップ・キーストア(この場合、
ewallet_
time-stamp
_merge1.p12
という名前)に置き換えます。 -
自動ログイン・キーストアをパスワードベースのキーストアにマージするには、
ADMINISTER KEY MANAGEMENT MERGE KEYSTORE
SQL文を使用します。
-
親トピック: ソフトウェア・キーストアのマージ
新しいロケーションへのソフトウェア・キーストアの移動
WALLET_ROOT
パラメータを更新した後で、新しい場所にソフトウェア・キーストアを移動します。
Oracle Key Vaultを使用している場合は、Key Vaultがマスター暗号化キーを直接管理するTDE直接接続を構成できます。この場合、キーストアを新しいロケーションに手動で移動する必要はありません。
-
ADMINISTER KEY MANAGEMENT
権限またはSYSKM
権限を付与されたユーザーとして、統一モードのCDBルートまたは分離モードのPDBに接続します。例:
CONNECT c##sec_admin AS SYSKM (or CONNECT sec_admin@pdb_name AS SYSKM) Enter password: password
-
ソフトウェア・キーストアをバックアップします。
例:
ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE USING 'hr.emp_keystore' FORCE KEYSTORE IDENTIFIED BY software_keystore_password TO '/etc/ORACLE/KEYSTORE/DB1/';
-
ソフトウェア・キーストアを閉じます。
キーストアを閉じる方法の例は次のとおりです。
自動ログイン・ソフトウェア・キーストアの場合:
ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE;
パスワード保護されたソフトウェア・キーストアの場合:
ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE IDENTIFIED BY software_keystore_password;
パスワードが外部に格納されているキーストアの場合:
ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE IDENTIFIED BY EXTERNAL STORE;
-
データベース・セッションを終了します。
たとえば、SQL*Plusにログインしている場合は、次のようにします。
EXIT
-
データベース・インスタンスの
init.ora
ファイルで、キーストアの移動先の新しい場所を指すようにWALLET_ROOT
パラメータを更新します。 -
オペレーティング・システムの移動コマンド(
mv
など)を使用して、キーストアとそのすべてのキーを、新しいディレクトリの場所に移動します。
親トピック: キーストアの管理
自動ストレージ管理からのソフトウェア・キーストアの移動
ADMINISTER KEY MANAGEMENT
文を使用して、自動ストレージ管理からソフトウェア・キーストアを移動できます。
親トピック: キーストアの管理
ソフトウェア・パスワード・キーストアとハードウェア・キーストア間の移行
パスワード保護されたソフトウェア・キーストアとハードウェア・キーストアとの間で移行できます。
- パスワード保護されたソフトウェア・キーストアからハードウェア・キーストアへの移行
パスワード保護されたソフトウェア・キーストアからハードウェア・キーストアへ移行できます。 - ハードウェア・キーストアからパスワードベースのソフトウェア・キーストアへの移行
ハードウェア・キーストアは、ソフトウェア・キーストアに移行できます。 - 移行後のキーストアの順序
移行の実行後、キーストアの順序はプライマリまたはセカンダリのいずれかになります。
親トピック: キーストアの管理
パスワード保護されたソフトウェア・キーストアからハードウェア・キーストアへの移行
パスワード保護されたソフトウェア・キーストアからハードウェア・キーストアへ移行できます。
- ステップ1: ハードウェア・キーストアとともに開くためにソフトウェア・キーストアを変換する
一部のOracleツールでは、ソフトウェア・キーストアを使用してエクスポートまたはバックアップされたデータを暗号化または復号化するために、古いソフトウェア・キーストアにアクセスする必要があります。 - ステップ2: ハードウェア・セキュリティ・モジュール・キーストア・タイプを構成する
ALTER SYSTEM
文を使用して、HSMキーストア・タイプを構成できます。 - ステップ3: ハードウェア・キーストアの移行を実行する
ADMINISTER KEY MANAGEMENT
SQL文を使用して、ハードウェア・キーストアの移行を実行できます。
ステップ1: ハードウェア・キーストアとともに開くためにソフトウェア・キーストアを変換する
一部のOracleツールでは、ソフトウェア・キーストアを使用してエクスポートまたはバックアップされたデータを暗号化または復号化するために、古いソフトウェア・キーストアにアクセスする必要があります。
これらのツールの例として、Oracle Data PumpやOracle Recovery Managerなどがあります。
-
ADMINISTER KEY MANAGEMENT
SQL文を使用して、ハードウェア・キーストアとともに開くためにソフトウェア・キーストアを変換します。-
ソフトウェア・キーストアのパスワードをハードウェア・キーストアのパスワードとして設定するには、次の構文を使用します。
ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD FORCE KEYSTORE IDENTIFIED BY software_keystore_password SET "hardware_keystore_credentials" WITH BACKUP [USING 'backup_identifier'];
ここでは次のように指定します。
-
software_keystore_password
は、ソフトウェア・キーストアの作成時に使用したものと同じパスワードです。 -
hardware_keystore_credentials
は、ハードウェア・キーストアのパスワードと同じ新しいソフトウェア・キーストアのパスワードです。 -
WITH BACKUP
を使用すると、ソフトウェア・キーストアのバックアップが作成されます。オプションでUSING
句を使用し、バックアップの簡単な説明を追加できます。この説明は一重引用符(' ')で囲みます。この識別子は、名前付きキーストア・ファイルに付加されます(たとえば、emp_key_backup
がバックアップ識別子になっているewallet_
time-stamp
_emp_key_backup
.p12
)。オペレーティング・システムで使用されているファイル命名規則に従ってください。
-
-
ソフトウェア・キーストアの自動ログイン・キーストアを作成するには、次の構文を使用します。
ADMINISTER KEY MANAGEMENT CREATE [LOCAL] AUTO_LOGIN KEYSTORE FROM KEYSTORE 'keystore_location' IDENTIFIED BY software_keystore_password;
ここでは次のように指定します。
-
LOCAL
では、ローカル自動ログイン・ソフトウェア・キーストアを作成できます。そうでない場合、キーストアに他のコンピュータからアクセスできるようにするときは、この句を省略します。 -
keystore_location
は、sqlnet.ora
ファイルに構成されているキーストアのキーストア・ディレクトリの場所へのパスです。 -
software_keystore_password
は、構成されているソフトウェア・キーストアの既存のパスワードです。
-
-
ステップ2: ハードウェア・セキュリティ・モジュール・キーストア・タイプを構成する
ALTER SYSTEM
文を使用して、HSMキーストア・タイプを構成できます。
ステップ3: ハードウェア・キーストアの移行を実行する
ADMINISTER KEY MANAGEMENT
SQL文を使用して、ハードウェア・キーストアの移行を実行できます。
ソフトウェア・キーストアからハードウェア・キーストアに移行するには、ADMINISTER KEY MANAGEMENT SET KEY
SQL文でMIGRATE USING
keystore_password
句を使用して、ソフトウェア・キーストアのTDEマスター暗号化キーで既存のTDE表キーおよび表領域暗号化キーを復号化してから、ハードウェア・キーストアの新しく作成したTDEマスター暗号化キーでそれらを再暗号化する必要があります。
移行の完了後、データベースを再起動したり、ハードウェア・キーストアを手動で再度開く必要はありません。移行プロセスにより、キーストアのキーがメモリーに自動的にリロードされます。
-
次の構文を使用して、ハードウェア・キーストアを移行します。
ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY IDENTIFIED BY "user_name:password" MIGRATE USING software_keystore_password [WITH BACKUP [USING 'backup_identifier']];
ここでは次のように指定します。
-
user_name
:
password
は、最初にハードウェア・セキュリティ・モジュールを作成したときに作成されたユーザーIDおよびパスワードです。この設定は二重引用符(" "
)で囲み、user_name
とpassword
をコロン(:
)で区切ります。 -
software_keystore_password
は、ソフトウェア・キーストアの作成時に使用したものか、(ハードウェア・キーストアで開くためにソフトウェア・キーストアを変換したときに)変更したものと同じパスワードです。 -
USING
では、バックアップの簡単な説明を追加できます。この説明は一重引用符(' '
)で囲みます。この識別子は、名前付きキーストア・ファイルに付加されます(たとえば、emp_key_backup
がバックアップ識別子になっているewallet_
time-stamp
_
emp_key_backup
.p12
)。オペレーティング・システムで使用されているファイル命名規則に従ってください。
-
注意:
公開キーによって暗号化された列がデータベースに含まれている場合は、その列が復号化されてから、HSMベースの透過的データ暗号化によって生成されたAES対称キーを使用して再暗号化されます。
ハードウェア・キーストアからパスワードベースのソフトウェア・キーストアへの移行
ハードウェア・キーストアは、ソフトウェア・キーストアに移行できます。
- ハードウェア・キーストアからの再移行について
ハードウェア・キーストア・ソリューションの使用からソフトウェア・キーストアの使用に切り換えるには、キーストアの逆移行を使用できます。 - ステップ1: ハードウェア・セキュリティ・モジュール・キーストア・タイプを構成する
ALTER SYSTEM
文を使用して、ハードウェア・セキュリティ・モジュール・キーストア・タイプを構成できます。 - ステップ2: 逆移行用にキーストアを構成する
SET ENCRYPTION KEY
句とREVERSE MIGRATE
句を含むADMINISTER KEY MANAGEMENT
文を使用して、キーストアの移行を取り消すことができます。 - ステップ3: ソフトウェア・キーストアとともに開くようにハードウェア・キーストアを構成する
移行が完了すると、移行プロセスによってキーストアのキーがメモリーに自動的にリロードされます。
ハードウェア・キーストアからの再移行について
ハードウェア・キーストア・ソリューションの使用からソフトウェア・キーストアの使用に切り換えるには、キーストアの逆移行を使用できます。
以前のバックアップ・ファイルがハードウェア・セキュリティ・モジュールのTDEマスター暗号化キーに依存している場合は、切換え完了後に、ハードウェア・セキュリティ・モジュールを保持しておく必要があります。
初めにソフトウェア・キーストアからハードウェア・セキュリティ・モジュールに移行し、前に構成したTDEマスター暗号化キーの移行の説明に従ってソフトウェア・キーストアを再構成済の場合は、HSMパスワードと同じパスワードの既存のキーストアがすでに存在します。逆移行では、このキーストアを、新しいパスワードで新しいソフトウェア・キーストアとして動作するように構成します。既存のキーストアが自動ログイン・ソフトウェア・キーストアで、その自動ログイン・キーストアのパスワードベースのソフトウェア・キーストアがある場合、パスワードベースのキーストアを使用してください。パスワードベースのキーストアを使用できない場合、自動ログイン・キーストアを新しく作成した空のパスワードベースのキーストアにマージし、その新しく作成したパスワードベースのキーストアを使用します。
既存のキーストアがない場合、init.ora
ファイルのWALLET_ROOT
パラメータを使用して、キーストア・ロケーションを指定する必要があります。逆移行を実行する場合、キーが失われないように前のキーストアに移行する必要があります。
ステップ2: 逆移行用にキーストアを構成する
SET ENCRYPTION KEY
句とREVERSE MIGRATE
句を含むADMINISTER KEY MANAGEMENT
文を使用して、キーストアの移行を取り消すことができます。
ステップ3: ソフトウェア・キーストアとともに開くようにハードウェア・キーストアを構成する
移行が完了すると、移行プロセスによってキーストアのキーがメモリーに自動的にリロードされます。
データベースを再起動したり、ソフトウェア・キーストアを手動で再度開く必要はありません。
以前のキーは、暗号化されたバックアップで使用されているか、Oracle Data PumpやOracle Recovery Managerなどのツールによって使用されている可能性が高いため、逆移行の後でもハードウェア・キーストアが必要な場合があります。HSMをソフトウェア・キーストアとともに開くことができるように、ハードウェア・キーストア資格証明をキーストアにキャッシュする必要があります。
移行後のキーストアの順序
移行の実行後、キーストアの順序はプライマリまたはセカンダリのいずれかになります。
V$ENCRYPTION_WALLET
動的ビューのWALLET_ORDER
列は、キーストアがプライマリ(現在のTDEマスター暗号化キーを保持)またはセカンダリ(前のTDEマスター暗号化キーを保持)のいずれであるかを示します。WRL_TYPE
列は、キーストアのロケータのタイプを示します(sqlnet.ora
ファイルの場合のFILE
など)。2つのキーストアがまとめて構成されておらず、以前に移行を一度も実行したことがない場合、WALLET_ORDER
列にはSINGLE
が表示されます。
表7-1では、移行後のキーストアの順序の仕組みについて説明します。
表7-1 移行後のキーストア順序
実行された移行のタイプ | WRL_TYPE | WALLET_ORDER | 説明 |
---|---|---|---|
ソフトウェア・キーストアからHSMへの移行 |
|
|
HSMとソフトウェア・キーストアの両方が構成されます。TDEマスター暗号化キーは、HSMまたはソフトウェア・キーストアのいずれかに格納できます。 TDEマスター暗号化キーは、まずHSMで検索されます。 TDEマスター暗号化キーがプライマリ・キーストア(HSM)にない場合、ソフトウェア・キーストアで検索されます。 すべての新しいTDEマスター暗号化キーは、プライマリ・キーストア(この場合はHSM)に作成されます。 |
HSMからソフトウェア・キーストアへの逆移行 |
|
|
HSMとソフトウェア・キーストアの両方が構成されます。TDEマスター暗号化キーは、HSMまたはソフトウェア・キーストアのいずれかに格納できます。 TDEマスター暗号化キーは、まずソフトウェア・キーストアで検索されます。 TDEマスター暗号化キーがプライマリ(ソフトウェア)キーストアに存在しない場合、HSMで検索されます。 すべての新しいTDEマスター暗号化キーは、プライマリ・キーストア(この場合はソフトウェア・キーストア)に作成されます。 |
キーストアとOracle Key Vault間の移行
Oracle Key Vaultを使用して、ソフトウェアおよびハードウェアの両方のキーストアをOracle Key Vault間で移行できます。
これにより、キーストアを集中管理し、必要に応じて、企業内の他のTDE対応データベースとキーストアを共有できます。
Oracle Key Vaultでは、仮想ウォレットと呼ばれるコンテナにキーストアをアップロードし、前にアップロードしたOracleキーストアの内容から新しい仮想ウォレットを作成できます。たとえば、5つのキーを格納するキーストアを前にアップロードしたとします。これらのキーの3つのみで構成される新しい仮想ウォレットを作成できます。次に、このキーストアを別のTDE対応データベースにダウンロードできます。このプロセスでは、元のキーストアは変更されません。
Oracle Key Vaultでは、Oracleキーストアに加えて、資格証明ファイルやJavaキーストアなどの他のセキュリティ・オブジェクトを企業全体で安全に共有できます。これにより、パスワードを忘れたり、キーストアを間違って削除したことによるキーおよびキーストアの紛失を防ぐことができます。Oracle Key Vaultは、TDE以外の製品、Oracle Real Application Security、Oracle Active Data GuardおよびOracle GoldenGateとともに使用できます。Oracle Key Vaultでは、暗号化されたデータをOracle Data PumpおよびOracle Transportable Tablespacesを使用して簡単に移動できます。
親トピック: キーストアの管理
自動ストレージ管理のためのキーストアの構成
自動ストレージ管理(ASM)ディスク・グループにソフトウェア・キーストアを格納できます。
- 自動ストレージ管理のためのキーストアの構成について
スタンドアロン・データベースまたはマルチテナント環境の自動ストレージ管理(ASM)用のキーストアを構成できます。WALLET_ROOT
の場所は、Oracle Managed File (OMF)システムに準拠させることも、準拠させないこともできます。 - キーストアがASMの場所を指すように構成する
CDBルートのTDEキーストア(統一モードのすべてのPDBが共有)および分離モードのすべてのPDBのTDEキーストアが配置されているASMディレクトリを指すようにWALLET_ROOT
を設定できます。 - WALLET_ROOTの場所がOMFガイドラインに準拠していない場合に、キーストアがASMの場所を指すように構成する
選択したWALLET_ROOT
の場所がOracle Managed File (OMF)のガイドラインに準拠していない場合、Oracleデータベースはディレクトリ作成の自動化を実行できません。
親トピック: キーストアの管理
自動ストレージ管理のためのキーストアの構成について
スタンドアロン・データベースまたはマルチテナント環境の自動ストレージ管理(ASM)用のキーストアを構成できます。WALLET_ROOT
の場所は、Oracle Managed File (OMF)システムに準拠させることも、準拠させないこともできます。
WALLET_ROOT
およびTDE_CONFIGURATION
初期化パラメータを使用して、ASMシステムにキーストアの場所を構成する必要があります。WALLET_ROOT
パラメータを有効にするには、TDE_CONFIGURATION
パラメータに属性KEYSTORE_CONFIGURATION=FILE
を設定する必要があります。Oracle Databaseリリース19c以上では、WALLET_ROOT
およびTDE_CONFIGURATION
が優先されるため、sqlnet.ora
ファイルに設定されているENCRYPTION_WALLET_LOCATION
は非推奨になりました。
構成を実行するには、+
記号、およびその後ろにASMディスク・グループ、キーストアを配置するパスを続けた文字列を指定する必要があります。例:
WALLET_ROOT=+disk_group/path
次の点に注意してください。
- スタンドアロン環境、マルチテナント環境、あるいは
WALLET_ROOT
の場所がOracle Managed File (OMF)のディレクトリ命名規則に準拠する環境または準拠しない環境のデータベースのWALLET_ROOT
のパスを指定する場合、TDEキーストアの場所のディレクトリ・コンポーネントの作成をデータベースが自動化できるように、このパスが特定の規則に従っている必要があります。それ以外の場合は、WALLET_ROOT
の場所にディレクトリを手動で作成する必要があります。 - 通常のファイル・システムとASMファイル・システムの間でソフトウェア・キーストアを移動またはマージする必要がある場合は、ソフトウェア・キーストアのマージに使用するものと同じキーストア・マージ文を使用できます。
- ASM環境でキーストアを管理するコマンドを実行するには、
ASMCMD
ユーティリティを使用できます。
キーストアがASMの場所を指すように構成する
WALLET_ROOT
を設定して、CDBルートのTDEキーストア(統一モードのすべてのPDBが共有)および分離モードのすべてのPDBのTDEキーストアが配置されているASMディレクトリを指すようにできます。
親トピック: 自動ストレージ管理のためのキーストアの構成
WALLET_ROOTの場所がOMFガイドラインに準拠していない場合に、キーストアがASMの場所を指すように構成する
選択したWALLET_ROOT
の場所がOracle Managed File (OMF)のガイドラインに準拠していない場合、Oracleデータベースはディレクトリ作成の自動化を実行できません。
ALTER DISKGROUP
コマンドを使用して、WALLET_ROOT
の場所に必要なディレクトリを手動で作成する必要があります。WALLET_ROOT
パラメータがOMF準拠の値を使用していない場合、ディレクトリ作成を自動化できないため、ALTER DISKGROUP
... ADD DIRECTORY文
文を使用して必要なディレクトリを手動で作成する必要があります。
親トピック: 自動ストレージ管理のためのキーストアの構成
暗号化されたデータのバックアップおよびリカバリ
ソフトウェア・キーストアの場合、TDEマスター暗号化キーがないと暗号化されたデータにアクセスできません。
TDEマスター暗号化キーはキーストアに格納されるため、ソフトウェア・キーストアを安全な場所に定期的にバックアップすることをお薦めします。新しいTDEマスター暗号化キーを設定するか、キーストアへの書込みを行う操作を実行するたびに、キーストアのバックアップ・コピーを作成する必要があります。
ソフトウェア・キーストアを暗号化データと同じ場所にバックアップしないでください。ソフトウェア・キーストアは別にバックアップします。自動ログイン・キーストアを使用している場合は、開くときにパスワードが要求されないため、特に注意してください。バックアップ・テープの紛失に備えて、悪意のあるユーザーが暗号化データとキーストアの両方を取得できないようにすることが大切です。
Oracle Recovery Manager (Oracle RMAN)によるデータベース・バックアップでは、ソフトウェア・キーストアはバックアップされません。Oracle Secure Backupなどのメディア・マネージャをOracle RMANと併用している場合は、Oracle Secure Backupによって、自動オープン・キーストア(cwallet.sso
ファイル)がバックアップ対象から自動的に除外されます。ただし、暗号化キーストア(ewallet.p12
ファイル)が自動的に除外されることはありません。次のexclude
データ・セット文をOracle Secure Backup構成に追加することをお薦めします。
exclude name *.p12
この設定は、暗号化キーストアをバックアップ・セットから除外するようにOracle Secure Backupに指定します。
TDEマスター暗号化キーを格納しているソフトウェア・キーストアを喪失した場合は、キーストアのバックアップを適切な場所にコピーすることで、暗号化データへのアクセスをリストアできます。TDEマスター暗号化キーを最後に再設定した後に、リストアしたキーストアをアーカイブした場合、追加アクションは必要はありません。
リストアしたソフトウェア・キーストアに最新のTDEマスター暗号化キーが含まれていない場合、データベースの状態をTDEマスター暗号化キーが再設定された時点までロールバックすることで、その時点までの古いデータをリカバリできます。TDEマスター暗号化キーの再設定後に暗号化列に対して行われた変更はすべて失われます。
キーストアを削除することの危険性
キーストアを削除しないようにすることをお薦めします。
キーストアが一杯になりすぎた場合は、現在アクティブなTDEマスター暗号化キー以外のTDEマスター暗号化キーを新しいキーストアに移動してそのキーストア全体のサイズを小さくできますが、この新しいキーストアのバックアップを保持することが重要です。これは、現在アクティブなキーストアからキーが移動されたにもかかわらず他のOracle機能(Oracle Recovery Managerバックアップの操作など)で引き続きそれらが必要となる可能性があるためです。(キーストアの削除によって影響を受ける機能のリストについては、このトピックの最後にある「関連項目」を参照)。
透過的データ暗号化を構成してある場合に、使用中の、まだキーが含まれているキーストアを削除することは特に危険です。キーストアが使用中かどうかは、キーストアを開いた後にV$ENCRYPTION_WALLET
ビューのSTATUS
列を問い合せることで確認できます。以降に行う必要がある手順は、統一モードと分離モードのどちらを使用しているかで異なります。
- 分離モードでは、
V$ENCRYPTION_WALLET
のSTATUS
列がOPEN_NO_MASTER_KEY
の場合は、このキーストアは、キーを含んでいないため、アーカイブしておき後で削除したほうが安全です。 - 統一モードでは、PDBではなく
CDB$ROOT
からV$ENCRYPTION_WALLET
の問合せを実行する必要があります。まだキーが設定されていないPDBでその問合せを実行すると、STATUS
がOPEN_NO_MASTER_KEY
になります。ただし、キーがCDB$ROOT
で設定されている場合があり、その場合は誤解を招く可能性があります。ルートでその問合せを実行した後にSTATUS
がOPEN_NO_MASTER_KEY
である場合は、キーストアをアーカイブし後で安全に削除できます。
現在アクティブなTDEキーストアからキーを移動する場合に注意する必要があるというのは、このキーストアに、データベースによって引き続き必要となるキーが含まれている可能性があるためです(そのTDEマスター暗号化キーが更新されたにもかかわらず)。キーストアを削除するとそれらのキーが削除され、暗号化データが失われてしまう可能性があります。データベース内のすべてのデータを復号化した後でも、キーストアを削除しないでください。削除すると、Oracleデータベースが正常に機能しなくなる可能性があります。これは、キーストア内のTDEマスター暗号化キーが他のOracle Database機能にも必要になる可能性があるためです。(キーストアの削除によって影響を受ける機能のリストについては、このトピックの最後にある「関連項目」を参照)。
TDEキーストアの移行(それにより、現在アクティブなTDEマスター暗号化キーの場所をソフトウェア・キーストアとハードウェア・キーストアとの間で変更するなどの方法でキーが更新される)を実行した後でも、元のキーストアは削除しないでください。元のキーストアにあるキーは、後で必要になることがあります(たとえば、オフラインの暗号化された表領域をリカバリする必要がある場合)。すべてのオンライン表領域が暗号化されていない場合でも、キーが使用されている可能性があります。
ソフトウェア自動ログイン(またはローカル自動ログイン)・キーストアの場合は例外です。このタイプのキーストアを使用しない場合は、安全なディレクトリに移動するのが理想です。自動ログイン・キーストアは、必ず通常のソフトウェア・キーストアに基づいているため、それがパスワードベースの特定のキーストアから作成されたことが確かな場合にのみ削除するようにしてください。キーストアは、利用可能で既知である必要があります。
キーストアを削除する必要がある場合は、十分に注意してください。最初に、ADMINISTER KEY MANAGEMENT MOVE KEYS TO NEW KEYSTORE
文を使用して、新しいキーストアにキーストア内のキーを移動する必要があります。
キーストアの削除によって影響を受ける機能
一部の機能は、キーストアの削除後にそのキーストアに存在するTDEマスター暗号化キーが必要になった場合には、問題が発生する可能性があります。
キーストアを削除する前に、それによって、後でそのTDEキーストア内のTDEマスター暗号化キーが必要になった場合にどのような影響があるかを考えてください。次の機能およびアクティビティが影響を受けます。
- オフラインになっている表領域の操作
- Oracle Secure Backupの操作
- メディア・リカバリおよびブロック・メディア・リカバリの操作
- Point-in-Timeリカバリの操作
- Oracle Data Guardのフィジカルおよびロジカル・スタンバイの操作
- Golden Gateの操作
- Oracle Streamsの操作
- Oracle Recovery Managerの操作(Oracle Recovery Managerバックアップのリストアなど)
- データベース・クラッシュ・リカバリ操作中のデータベースへのアーカイブREDOログの適用
- データベースのオンライン・ブロック・リカバリ。(オンライン・ブロック・リカバリを実行するということは、データベースがまだオープン状態であるということです。暗号化された表領域があるオープン状態のデータベース内のウォレットを削除すると、オンライン・ブロック・リカバリに関連する問題の他にさらに問題が発生します)。このような問題としては、次のことが考えられます。
- 暗号化された表領域内の暗号化されたオンライン・データが復号化されなくなります。
SYSTEM
、UNDO
およびTEMP
表領域内の暗号化されたメタデータが復号化されなくなります。暗号化するメタデータ、またはそのメタデータを格納できる場所を制御できなくなります。 - バッファ済のデータまたはメタデータは、ディスクに書き込む前に暗号化する必要がありますが、ウォレットが削除されると暗号化されなくなります。これによって、REDO生成が失敗する可能性があり、DBWRバックグラウンド・プロセスでデータの書込みができなくなることで、データベース・インスタンスがハングまたはクラッシュする可能性があります。
- データベース・インスタンスがクラッシュすると、データベース・インスタンス・リカバリおよびデータベース・クラッシュ・リカバリが失敗し、データベースを再起動できなくなります。
- 暗号化された表領域内の暗号化されたオンライン・データが復号化されなくなります。
関連項目
親トピック: キーストアの管理
TDEマスター暗号化キーの管理
TDEマスター暗号化キーは、いくつかの方法で管理できます。
- TDEマスター暗号化キーの属性管理
TDEマスター暗号化キーの属性には、TDEマスター暗号化キーについての情報が保存されます。 - レポート用のTDEマスター暗号化キーのカスタム属性の作成
TDEマスター暗号化キーのカスタム属性では、ニーズに適した属性を定義できます。 - キーストアのTDEマスター暗号化キーの設定またはキー更新
ソフトウェア・キーストアとハードウェア・キーストアの両方で、TDEマスター暗号化キーを設定またはキー更新できます。 - TDEマスター暗号化キーのエクスポートおよびインポート
TDEマスター暗号化キーを様々な方法でエクスポートおよびインポートできます。 - Oracle Key Vaultを使用したTDEマスター暗号化キーの管理
Oracle Key Vaultを使用して、企業全体でTDEマスター暗号化キーを管理および共有できます。
親トピック: キーストアおよびマスター 暗号化キーの管理
TDEマスター暗号化キーの属性管理
TDEマスター暗号化キーの属性には、TDEマスター暗号化キーについての情報が保存されます。
- TDEマスター暗号化キーの属性
TDEマスター暗号化キーの属性には、TDEマスター暗号化キーについての詳細情報が含まれます。 - 使用中のTDEマスター暗号化キーの検出
使用中のTDEマスター暗号化キーは、データベースで最も最近アクティブ化された暗号化キーです。
親トピック: TDEマスター暗号化キーの管理
TDEマスター暗号化キーの属性
TDEマスター暗号化キーの属性には、TDEマスター暗号化キーについての詳細情報が含まれます。
次のタイプの情報が含まれます。
-
キーのタイムスタンプ情報:通常、内部セキュリティ・ポリシーおよびコンプライアンス・ポリシーによって、キーのキー更新頻度が決まります。ライフタイムの終わりに達したらキーを期限切れにして、新しいキーを生成する必要があります。キーの作成時間やアクティブ化時間などのタイムスタンプ属性は、キーの古さを正確に判断してキーを自動生成するために役立ちます。
V$ENCRYPTION_KEYS
ビューには、CREATION_TIME
やACTIVATION_TIME
などの列が含まれます。V$ENCRYPTION_KEYS
ビューの詳細は、『Oracle Databaseリファレンス』を参照してください。 -
キーの所有者情報: キーの所有者属性は、キーを作成またはアクティブ化したユーザーを判断するために役立ちます。これらの属性は、セキュリティ、監査、および追跡において重要な場合があります。また、キーの所有者属性には、キーがスタンドアロンTDE操作に使用されるか、マルチテナント環境で使用されるかといった、キーの使用情報が含まれます。
V$ENCRYPTION_KEYS
ビューには、CREATOR、CREATOR_ID、USER、USER_ID、
KEY_USE
などの列が含まれます。 -
キー・ソース情報: 多くの場合、キーは、インポート/エクスポート操作やData Guard関連の操作のためにデータベース間で移動する必要があります。キー・ソース属性によって、それぞれのキーの起点を追跡できます。キーがローカルで作成されたかインポートされたか、およびキーを作成したデータベースのデータベース名とインスタンス番号を追跡できます。マルチテナント環境では、キーが作成されたPDBを追跡できます。
V$ENCRYPTION_KEYS
ビューには、CREATOR_DBNAME、CREATOR_DBID、CREATOR_INSTANCE_NAME、CREATOR_INSTANCE_NUMBER、CREATOR_PDBNAME
などの列が含まれます。 -
キーの使用情報: キーの使用情報によって、キーが使用されているデータベースまたはPDBが決まります。また、キーがアクティブに使用されているかどうかを判断するために役立ちます。
V$ENCRYPTION_KEYS
ビューには、ACTIVATING_DBNAME、ACTIVATING_DBID、ACTIVATING_INSTANCE_NAME、ACTIVATING_PDBNAME
などの列が含まれます。 -
ユーザー定義情報およびその他の情報: キーを作成するとき、
TAG
オプションを使用して情報を関連付けることができます。各キーには、バックアップされたかどうかなどの重要な情報が含まれます。V$ENCRYPTION_KEYS
ビューには、KEY_ID、TAG
などの列と、BACKED_UP
などのその他の列が含まれます。
注意:
TDEマスター・キー属性およびタグは、PKCS#11データ・オブジェクトをサポートするハードウェア・セキュリティ・モジュールでのみサポートされます。親トピック: TDEマスター暗号化キーの属性管理
レポート用のTDEマスター暗号化キーのカスタム属性の作成
TDEマスター暗号化キーのカスタム属性では、ニーズに適した属性を定義できます。
- カスタム属性タグの作成について
属性タグにより、特定の端末IDへのアクセスなど、ユーザーが実行する特定のアクティビティを監視できます。 - カスタム属性タグの作成
カスタム属性タグを作成するには、ADMINISTER KEY MANAGEMENT
文のSET TAG
句を使用する必要があります。
親トピック: TDEマスター暗号化キーの管理
カスタム属性タグの作成について
属性タグにより、特定の端末IDへのアクセスなど、ユーザーが実行する特定のアクティビティを監視できます。
デフォルトでは、Oracle Databaseには、作成時間やTDEマスター暗号化キーが使用されるデータベースなど、作成されるTDEマスター暗号化キーの様々な特性を説明する属性セットが定義されます。これらの属性は、V$ENCRYPTION_KEY
動的ビューによって取得されます。
V$ENCRYPTION_KEYS
動的ビューのTAG
列で取得可能なカスタム属性を作成できます。これにより、暗号化キーを操作するユーザーなど、監視したい動作を定義できます。タグには、特定の端末のセッションIDなど、複数の属性を含めることができます。
TDEマスター暗号化キーのタグを作成すると、その名前がそのTDEマスター暗号化キーのV$ENCRYPTION_KEYS
ビューのTAG
列に表示されます。シークレットのタグを作成すると、そのタグは、V$CLIENT_SECRETS
ビューのSECRET_TAG
列に表示されます。タグでシークレットを作成した場合、そのタグはV$CLIENT_SECRETS
ビューのSECRET_TAG
列に表示されます。
親トピック: レポート用のTDEマスター暗号化キーのカスタム属性の作成
カスタム属性タグの作成
カスタム属性タグを作成するには、ADMINISTER KEY MANAGEMENT
文のSET TAG
句を使用する必要があります。
親トピック: レポート用のTDEマスター暗号化キーのカスタム属性の作成
キーストアのTDEマスター暗号化キーの設定またはキー更新
ソフトウェア・キーストアとハードウェア・キーストアの両方で、TDEマスター暗号化キーを設定またはキー更新できます。
- キーストアのTDEマスター暗号化キーの設定またはキー更新について
パスワードベースのソフトウェア・キーストアとハードウェア・キーストアの両方で、TDEマスター暗号化キーを設定およびキー更新できます。 - TDEマスター暗号化キーの作成、タグ付けおよびバックアップ
ADMINISTER KEY MANAGEMENT
文を使用して、TDEマスター暗号化キーを作成、タグ付けおよびバックアップできます。 - TDEマスター暗号化キーのキー更新について
Oracle Databaseでは、TDE列暗号化とTDE表領域暗号化の両方で統合されたTDEマスター暗号化キーが使用されます。 - TDEマスター暗号化キーのキー更新
ADMINISTER KEY MANAGEMENT
文を使用して、TDEマスター暗号化キーをキー更新できます。 - 表領域のTDEマスター暗号化キーの変更
表領域を暗号化するには、ALTER TABLESPACE
文のENCRYPT
句およびREKEY
句を使用できます。
親トピック: TDEマスター暗号化キーの管理
キーストアのTDEマスター暗号化キーの設定またはキー更新について
パスワードベースのソフトウェア・キーストアとハードウェア・キーストアの両方で、TDEマスター暗号化キーを設定またはキー更新できます。
TDEマスター暗号化キーは外部セキュリティ・モジュール(キーストア)に格納され、TDW表キーと表領域暗号化キーの保護に使用されます。デフォルトでは、TDEマスター暗号化キーは、透過的データ暗号化(TDE)によって作成されるシステム生成のランダム値です。
TDEマスター暗号化キーを設定または再設定(REKEY
)するには、ADMINISTER KEY MANAGEMENT
文を使用します。マスター暗号化キーが設定されると、TDEは有効と見なされ、無効化できません。
データベースの列または表領域を暗号化または復号化するには、TDEマスター暗号化キーを事前に生成しておく必要があります。Oracle Databaseでは、TDE列暗号化とTDE表領域暗号化の両方で同じTDEマスター暗号化キーが使用されます。ソフトウェアまたはハードウェアTDEマスター暗号化キーの設定手順では、TDEマスター暗号化キーの生成方法について説明します。
TDEマスター暗号化キーのキー更新について
Oracle Databaseでは、TDE列暗号化とTDE表領域暗号化の両方で統合されたTDEマスター暗号化キーが使用されます。
TDE列暗号化用にTDEマスター暗号化キーをキー更新すると、TDE表領域暗号化用のTDEマスター暗号化キーもキー更新されます。TDEマスター暗号化キーのキー更新は、TDEマスター暗号化キーの安全性が損なわれた場合、または組織のセキュリティ・ポリシーに従う場合にのみ実行します。このプロセスによって、前のTDEマスター暗号化キーは非アクティブ化されます。
セキュリティを強化し、コンプライアンス規制を満たすために、定期的にTDEマスター暗号化キーをキー更新することをお薦めします。このプロセスでは、前のTDEマスター暗号化キーを非アクティブ化し、新しいTDEマスター暗号化キーを作成してアクティブ化します。最近作成されたキーを確認するには、V$ENCRYPTION_KEYS
ビューのCREATION_TIME
列を問い合せます。最近アクティブ化されたキーを確認するには、V$ENCRYPTION_KEYS
ビューのACTIVATION_TIME
列を問い合せます。
TDEマスター暗号化キーを変更したり、自動ログイン・キーストアのTDEマスター暗号化キーをキー更新することはできません。自動ログイン・キーストアにはパスワードがないため、管理者または権限のあるユーザーは、セキュリティ担当者に知らせずにキーを変更できます。ただし、自動ログイン・キーストアとパスワードベースのキーストアの両方が(sqlnet.ora
ファイルで設定する)構成されたロケーションに存在する場合、TDEマスター暗号化キーをキー更新すると、自動ログイン・キーストアとパスワードベースのキーストアの両方にTDEマスター暗号化キーが追加されます。自動ログイン・キーストアが、パスワードベースのキーストアとは異なるロケーションで使用中の場合、自動ログイン・キーストアを再作成する必要があります。
マスター・キーのキー更新操作をオンライン表領域のキー更新操作と同時に実行しないでください。次の問合せを発行して、オンライン表領域でのTDEマスター暗号化キーの処理が進行中であるかどうかを確認できます。
SELECT TS#,ENCRYPTIONALG,STATUS FROM V$ENCRYPTED_TABLESPACES;
REKEYING
というステータスは、対応する表領域がまだキー更新中であることを意味します。
注意:
自動ログイン・キーストアに新しい情報を個別に追加することはできません。
親トピック: キーストアのTDEマスター暗号化キーの設定またはキー更新
表領域のTDEマスター暗号化キーの変更
表領域を暗号化するには、ALTER TABLESPACE
文のENCRYPT
句およびREKEY
句を使用できます。
親トピック: キーストアのTDEマスター暗号化キーの設定またはキー更新
TDEマスター暗号化キーのエクスポートおよびインポート
TDEマスター暗号化キーを様々な方法でエクスポートおよびインポートできます。
- TDEマスター暗号化キーのエクスポートおよびインポートについて
Oracle Databaseには、トランスポータブル表領域などの機能があり、Oracle Data Pumpでは、データベース間で暗号化される可能性のあるデータが移動されます。 - TDEマスター暗号化キーのエクスポートについて
ADMINISTER KEY MANAGEMENT EXPORT
を使用して、キーストアからTDEマスター暗号化キーをエクスポートし、その後、別のキーストアにインポートできます。 - TDEマスター暗号化キーのエクスポート
EXPORT [ENCRYPTION] KEYS WITH SECRET
句を含むADMINISTER KEY MANAGEMENT
文によって、TDEマスター暗号化キーをエクスポートします。 - 例: 副問合せを使用したTDEマスター暗号化キーのエクスポート
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS
文によって、副問合せを使用してTDEマスター暗号化キーをエクスポートできます。 - 例: ファイルへのTDEマスター暗号化キー識別子のリストのエクスポート
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET
文によって、TDEマスター暗号化キー識別子のリストをファイルにエクスポートできます。 - 例: データベースのすべてのTDEマスター暗号化キーのエクスポート
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS
SQL文によって、データベースのすべてのTDEマスター暗号化キーをエクスポートできます。 - TDEマスター暗号化キーのインポートについて
ADMINISTER KEY MANAGEMENT IMPORT
文によって、エクスポートしたTDEマスター暗号化キーをキー・エクスポート・ファイルからターゲット・キーストアにインポートできます。 - TDEマスター暗号化キーのインポート
IMPORT [ENCRYPTION] KEYS WITH SECRET
句を含むADMINISTER KEY MANAGEMENT
文によって、TDEマスター暗号化キーをインポートできます。 - 例: TDEマスター暗号化キーのインポート
ADMINISTER KEY MANAGEMENT IMPORT KEYS SQL文を使用して、TDEマスター暗号化キーをインポートできます。 - キーストアのマージとTDEマスター暗号化キーのエクスポートまたはインポートの相違点
キーストア・マージ操作は、TDEマスター暗号化キーのエクスポートおよびインポート操作とは異なります。
親トピック: TDEマスター暗号化キーの管理
TDEマスター暗号化キーのエクスポートおよびインポートについて
Oracle Databaseには、トランスポータブル表領域などの機能があり、Oracle Data Pumpでは、データベース間で暗号化される可能性のあるデータが移動されます。
これらは、TDEマスター暗号化キーのエクスポートとインポートによってソース・キーストアとターゲット・キーストア間でそれらを移動することを選択できる一般的なシナリオです。Data Guard (ロジカル・スタンバイ)では、プライマリ・データベースのキーストアをスタンバイ・データベースにコピーする必要があります。プライマリ・データベースのキーストアをスタンバイ・データベースとマージするかわりに、使用中のTDEマスター暗号化キーをエクスポートした後でスタンバイ・データベースにインポートできます。暗号化されているトランスポータブル表領域をデータベース間で移動するには、ソース・データベースのTDEマスター暗号化キーをエクスポートしてから、ターゲット・データベースにインポートする必要があります。
親トピック: TDEマスター暗号化キーのエクスポートおよびインポート
TDEマスター暗号化キーのエクスポートについて
ADMINISTER KEY MANAGEMENT EXPORT
を使用して、キーストアからTDEマスター暗号化キーをエクスポートし、その後、別のキーストアにインポートできます。
TDEマスター暗号化キーは、キー識別子およびキー属性とともにエクスポートされます。エクスポートされるキーは、エクスポート・ファイルのパスワード(シークレット)で保護されます。
エクスポートするTDEマスター暗号化キーを指定するには、ADMINSITER KEY MANAGENT EXPORT
文のWITH IDENTIFIER
句を使用します。TDEマスター暗号化キーをエクスポートするには、それらのキー識別子をカンマ区切りリストとして指定するか、キー識別子を列挙する問合せを指定します。Oracle Databaseでは、定義者の権限ではなく現在のユーザーの権限内でキー識別子を特定する問合せが実行されることに注意してください。
WITH IDENTIFER
句を省略すると、データベースのすべてのTDEマスター暗号化キーがエクスポートされます。
TDEマスター暗号化キーのエクスポート
EXPORT [ENCRYPTION] KEYS WITH SECRET
句を含むADMINISTER KEY MANAGEMENT
文によって、TDEマスター暗号化キーをエクスポートします。
親トピック: TDEマスター暗号化キーのエクスポートおよびインポート
例: 副問合せを使用したTDEマスター暗号化キー識別子のエクスポート
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS
文によって、副問合せを使用してTDEマスター暗号化キーをエクスポートできます。
例7-3に、識別子が問合せによってフェッチされるTDEマスター暗号化キーをexport.exp
というファイルにエクスポートする方法を示します。ファイル内のTDEマスター暗号化キーは、シークレットmy_secret
を使用して暗号化されます。SELECT
文で、エクスポートするTDEマスター暗号化キーの識別子を検出します。
例7-2 ファイルへのTDEマスター暗号化キー識別子のリストのエクスポート
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS
WITH SECRET "my_secret"
TO '/TDE/export.exp'
FORCE KEYSTORE
IDENTIFIED BY password
WITH IDENTIFIER IN 'AdoxnJ0uH08cv7xkz83ovwsAAAAAAAAAAAAAAAAAAAAAAAAAAAAA',
'AW5z3CoyKE/yv3cNT5CWCXUAAAAAAAAAAAAAAAAAAAAAAAAAAAAA';
keystore altered.
親トピック: TDEマスター暗号化キーのエクスポートおよびインポート
例: ファイルへのTDEマスター暗号化キー識別子のリストのエクスポート
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET
文によって、TDEマスター暗号化キー識別子のリストをファイルにエクスポートできます。
例7-2に、リストとして識別子を指定することでTDEマスター暗号化キーをexport.exp
というファイルにエクスポートする方法を示します。ファイル内のTDEマスター暗号化キーは、シークレットmy_secret
を使用して暗号化されます。エクスポートされるTDEマスター暗号化キーの識別子は、カンマ区切りのリストとして提供されます。
例7-3 副問合せを使用したTDEマスター暗号化キー識別子のエクスポート
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS
WITH SECRET "my_secret" TO '/etc/TDE/export.exp'
FORCE KEYSTORE
IDENTIFIED BY password
WITH IDENTIFIER IN (SELECT KEY_ID FROM V$ENCRYPTION_KEYS WHERE ROWNUM <3);
keystore altered.
親トピック: TDEマスター暗号化キーのエクスポートおよびインポート
例: データベースのすべてのTDEマスター暗号化キーのエクスポート
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS
SQL文によって、データベースのすべてのTDEマスター暗号化キーをエクスポートできます。
例7-4に、データベースのすべてのTDEマスター暗号化キーをexport.exp
というファイルにエクスポートする方法を示します。ファイル内のTDEマスター暗号化キーは、シークレットmy_secret
を使用して暗号化されます。
例7-4 データベースのすべてのTDEマスター暗号化キーのエクスポート
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "my_secret" TO '/etc/TDE/export.exp' FORCE KEYSTORE IDENTIFIED BY password; keystore altered.
親トピック: TDEマスター暗号化キーのエクスポートおよびインポート
TDEマスター暗号化キーのインポートについて
ADMINISTER KEY MANAGEMENT IMPORT
文によって、エクスポートしたTDEマスター暗号化キーをキー・エクスポート・ファイルからターゲット・キーストアにインポートできます。
すでにインポートされているTDEマスター暗号化キーを再インポートすることはできません。
TDEマスター暗号化キーのインポート
IMPORT [ENCRYPTION] KEYS WITH SECRET
句を含むADMINISTER KEY MANAGEMENT
文によって、TDEマスター暗号化キーをインポートできます。
親トピック: TDEマスター暗号化キーのエクスポートおよびインポート
例: TDEマスター暗号化キーのインポート
ADMINISTER KEY MANAGEMENT IMPORT KEYS SQL文を使用して、TDEマスター暗号化キーをインポートできます。
例7-5に、ファイルexport.exp
に格納され、シークレットmy_secret
で暗号化されているTDEマスター暗号化キー識別子をインポートする方法を示します。
例7-5 エクスポート・ファイルからのTDEマスター暗号化キー識別子のインポート
ADMINISTER KEY MANAGEMENT IMPORT KEYS
WITH SECRET "my_secret"
FROM '/etc/TDE/export.exp'
FORCE KEYSTORE
IDENTIFIED BY password WITH BACKUP;
keystore altered.
親トピック: TDEマスター暗号化キーのエクスポートおよびインポート
キーストアのマージとTDEマスター暗号化キーのエクスポートまたはインポートの相違点
キーストア・マージ操作は、TDEマスター暗号化キーのエクスポートおよびインポート操作とは異なります。
ADMINISTER KEY MANAGEMENT MERGE
文と、ADMINISTER KEY MANAGEMENT EXPORT
文およびIMPORT
文は、両方とも最終的にTDEマスター暗号化キーがあるキーストアから次のキーストアに移動されますが、これら2つの文の動作には違いがあります。
-
MERGE
文では2つのキーストアがマージされますが、EXPORT
およびIMPORT
文ではファイルにキーがエクスポートされるか、ファイルからキーがインポートされます。キーストアはエクスポート・ファイルとは別のものであり、これら2つを交換して使用することはできません。エクスポート・ファイルはキーストアではなく、データベースでキーストアとして使用するように構成することはできません。同様に、IMPORT
文でキーストアからTDEマスター暗号化キーを抽出することはできません。 -
MERGE
文では指定したキーストアのすべてのTDEマスター暗号化キーがマージされますが、EXPORT
およびIMPORT
文では選択可能です。 -
EXPORT
およびIMPORT
文では、エクスポート・ファイルの場所(filepath
)とファイル名の両方を指定する必要がありますが、MERGE
文ではキーストアの場所のみを指定します。 -
キーストアのファイル名は固定で、
MERGE
操作によって決定され、ewallet.p12
またはcwallet.sso
になります。EXPORT
およびIMPORT
文で使用するエクスポート・ファイルのファイル名は、ユーザーが指定します。 -
自動ストレージ管理(ASM)ディスク・グループまたは通常のファイル・システムのキーストアは、
MERGE
文でマージできます。EXPORT
およびIMPORT
文で使用するエクスポート・ファイルは、通常のオペレーティング・システム・ファイルである必要があり、ASMディスク・グループには配置できません。 -
MERGE
文を使用してマージするキーストアは、構成されたり、データベースで使用されている必要はありません。EXPORT
文は、構成されてデータベースで使用され、エクスポートの終了時に開かれるキーストアからのみキーをエクスポートできます。IMPORT
文は、開かれて構成され、データベースで使用されているキーストアにのみキーをインポートできます。 -
MERGE
文では、TDEマスター暗号化キーに関連付けられたメタデータは絶対に変更されません。EXPORT
およびIMPORT
操作では、PDBのプラグ操作時など、必要に応じてTDEマスター暗号化キーのメタデータが変更されることがあります。
親トピック: TDEマスター暗号化キーのエクスポートおよびインポート
透過的データ暗号化のデータの動的ビューおよびデータ・ディクショナリ・ビュー
透過的データ暗号化(TDE)データに関する詳細情報を検索するために、一連の動的ビューおよびデータ・ディクショナリ・ビューを問い合せることができます。
表7-2に、これらの動的ビューおよびデータ・ディクショナリ・ビューを示します。
表7-2 透過的データ暗号化の関連ビュー
ビュー | 説明 |
---|---|
|
現在のユーザーがアクセスできる表内の暗号化列に関する暗号化情報が表示されます。 |
|
データベースにあるすべての暗号化列の暗号化情報が表示されます。 |
|
現在のユーザーのスキーマにある暗号化された表の列の暗号化情報が表示されます。 |
|
永続、一時、およびUNDO表領域を含むすべてのタイプの表領域についての表領域使用状況メトリックを示します |
|
様々な機能(クライアント)用のキーストアに格納された文字列(シークレット)のプロパティが一覧表示されます。 マルチテナント環境では、PDB内のこのビューを問い合せると、現在のPDB用に作成またはアクティブ化されたキーに関する情報が表示されます。rootでこのビューを問い合せると、すべてのPDBのキーに関するこの情報が表示されます。 |
|
現在のデータベースに使用されているデフォルトの暗号化キーについての情報を表示します。デフォルトは |
|
暗号化された表領域に関する情報が表示されます。 |
|
マルチテナント環境では、PDB内のこのビューを問い合せると、現在のPDB用に作成またはアクティブ化されたキーに関する情報が表示されます。rootでこのビューを問い合せると、すべてのPDBのキーに関するこの情報が表示されます。 |
|
TDEのキーストアのステータスおよびキーストアの場所に関する情報が表示されます。 |
|
TDEのマスター暗号化キーとして使用できるPKI証明書のメタデータ情報が表示されます。 |
親トピック: キーストアおよびマスター 暗号化キーの管理