2.354 TDE_CONFIGURATION
TDE_CONFIGURATION
は、透過的データ暗号化(TDE)のPDBごとの構成に使用されます。Oracle Database 18cより前では、各PDBでCDBのキーストアに個別の暗号化キーが格納されました(統合モード)。Oracle Database 18c以降では、PDBは暗号化キーを必要に応じて個別のキーストアに格納できるため(分離モード)、個別のキーストア・パスワードによって保護できます。TDE_CONFIGURATION
を有効にするには、WALLET_ROOT
初期化パラメータを設定する必要があります。
特性 | 説明 |
---|---|
パラメータ・タイプ |
文字列 |
構文 |
|
構文 |
value ::=
|
デフォルト値 |
なし |
変更可能 |
|
PDBで変更可能 |
はい |
基本 |
いいえ |
Oracle RAC |
|
脚注1
このパラメータがALTER SYSTEM SCOPE=SPFILE
を使用して設定されている場合に、SHOW PARAMETER TDE_CONFIGURATION
文で正しい値が表示されないことがあります。ただし、TDE_CONFIGURATION
に設定された値は、V$ENCRYPTION_WALLET
ビューに表示される情報から導出できます。
指定可能な属性は、次のとおりです。
-
KEYSTORE_CONFIGURATION
属性。この属性は必須です。この属性で指定した値により、指定したPDBのキーストア・タイプが構成されます。この属性に指定可能な値は、次のとおりです。-
FILE
: この値は、ウォレット・キーストアを構成します。 -
OKV
: この値は、Oracle Key Vault (OKV)キーストアを構成します。この値を使用して、自動ログインOKV構成を無効にし、
OKV_PASSWORD
クライアント・シークレットとしてOKVサーバーへの資格証明を含む既存のcwallet.sso
ファイルを無視することもできます。 -
HSM
: この値は、ハードウェア・セキュリティ・モジュール(HSM)キーストアを構成します。 -
FILE|OKV
: この値は、OKVからウォレット・キーストアへの逆移行を構成します。 -
FILE|HSM
: この値は、HSMからウォレット・キーストアへの逆移行を構成します。 -
OKV|FILE
: この値は、ウォレットからOKVキーストアへの移行を構成します。この値は自動ログインOKV構成でも使用できます。この構成では、Oracleサーバーは
OKV_PASSWORD
クライアント・シークレットを含むcwallet.sso
ファイルを使用してOKVサーバーにログインするための資格証明を取得する必要があるためです。 -
HSM|FILE
: この値は、ウォレットからHSMキーストアへの移行を構成します。この値は自動ログインOKV構成でも使用できます。この構成では、Oracleサーバーは
OKV_PASSWORD
クライアント・シークレットを含むcwallet.sso
ファイルを使用してOKVサーバーにログインするための資格証明を取得する必要があるためです。
KEYSTORE_CONFIGURATION
属性には、1つの単語(FILE
、OKV
、HSM
値など)で構成されるものがあります。また、KEYSTORE_CONFIGURATION
属性には、値の構文の必須部分である"|"文字で区切られた2つの単語(FILE|OKV
、FILE|HSM
、OKV|FILE
、HSM|FILE
値など)で構成されるものもあります。Oracle Database 18.1より前のOracle Databaseリリースでは、キーストア・タイプは、
SQLNET.ENCRYPTION_WALLET_LOCATION
パラメータのMETHOD
属性を使用してsqlnet.ora
で構成されていました。 -
-
CONTAINER
属性: このオプション属性は、CDBのCDB$ROOT
でパラメータを設定する場合にのみ使用できます。CONTAINER
属性は、CDB$ROOT
がMOUNTED
状態の場合にのみ指定できます。この属性の場合、パラメータを設定するPDBの名前を指定する必要があります。CONTAINER
属性を指定する場合は、KEYSTORE_CONFIGURATION
属性とCONTAINER
属性との間の区切り文字としてセミコロン";"を使用する必要があります。
例
次の文では、文の発行元となるオープン状態のPDBのウォレット・キーストアを構成します。
ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=FILE" SCOPE=BOTH SID='*';
次の文では、文の発行元となるMOUNTED
状態のPDBのOKVキーストアを構成します。
ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=OKV" SCOPE=SPFILE SID='*';
次の文では、ORCLPDB
PDBのHSMキーストアを構成します。この文を正常に実行するには、CDB$ROOT
がMOUNTED
状態のときに、パラメータをCDBのCDB$ROOT
に設定する必要があります。
ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=HSM; CONTAINER=ORCLPDB" SCOPE=MEMORY SID='*';
関連項目:
-
キーストアおよび暗号化キーを統合モードで管理する方法の詳細は、『Oracle Database Advanced Securityガイド』を参照してください
-
分離モードでキーストアおよび暗号化キーを管理する方法の詳細は、『Oracle Database Advanced Securityガイド』を参照してください