1. データベース・リファレンス
  2. 初期化パラメータ
  3. 初期化パラメータ
  4. TDE_CONFIGURATION

2.354 TDE_CONFIGURATION

TDE_CONFIGURATIONは、透過的データ暗号化(TDE)のPDBごとの構成に使用されます。Oracle Database 18cより前では、各PDBでCDBのキーストアに個別の暗号化キーが格納されました(統合モード)。Oracle Database 18c以降では、PDBは暗号化キーを必要に応じて個別のキーストアに格納できるため(分離モード)、個別のキーストア・パスワードによって保護できます。TDE_CONFIGURATIONを有効にするには、WALLET_ROOT初期化パラメータを設定する必要があります。

特性 説明

パラメータ・タイプ

文字列

構文

TDE_CONFIGURATION = "{ KEYSTORE_CONFIGURATION = value [; CONTAINER = pdb-name] }"

構文

value ::=

{

FILE |

OKV |

HSM |

FILE|OKV |

FILE|HSM |

OKV|FILE |

HSM|FILE

}

デフォルト値

なし

変更可能

ALTER SYSTEM脚注1

PDBで変更可能

はい

基本

いいえ

Oracle RAC

ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=value" SCOPE=BOTH SID='*';文を使用して、すべてのインスタンスで同じ値を指定する必要がある。

脚注1

このパラメータがALTER SYSTEM SCOPE=SPFILEを使用して設定されている場合に、SHOW PARAMETER TDE_CONFIGURATION文で正しい値が表示されないことがあります。ただし、TDE_CONFIGURATIONに設定された値は、V$ENCRYPTION_WALLETビューに表示される情報から導出できます。

指定可能な属性は、次のとおりです。

  • KEYSTORE_CONFIGURATION属性。この属性は必須です。この属性で指定した値により、指定したPDBのキーストア・タイプが構成されます。この属性に指定可能な値は、次のとおりです。

    • FILE: この値は、ウォレット・キーストアを構成します。

    • OKV: この値は、Oracle Key Vault (OKV)キーストアを構成します。

      この値を使用して、自動ログインOKV構成を無効にし、OKV_PASSWORDクライアント・シークレットとしてOKVサーバーへの資格証明を含む既存のcwallet.ssoファイルを無視することもできます。

    • HSM: この値は、ハードウェア・セキュリティ・モジュール(HSM)キーストアを構成します。

    • FILE|OKV: この値は、OKVからウォレット・キーストアへの逆移行を構成します。

    • FILE|HSM: この値は、HSMからウォレット・キーストアへの逆移行を構成します。

    • OKV|FILE: この値は、ウォレットからOKVキーストアへの移行を構成します。

      この値は自動ログインOKV構成でも使用できます。この構成では、OracleサーバーはOKV_PASSWORDクライアント・シークレットを含むcwallet.ssoファイルを使用してOKVサーバーにログインするための資格証明を取得する必要があるためです。

    • HSM|FILE: この値は、ウォレットからHSMキーストアへの移行を構成します。

      この値は自動ログインOKV構成でも使用できます。この構成では、OracleサーバーはOKV_PASSWORDクライアント・シークレットを含むcwallet.ssoファイルを使用してOKVサーバーにログインするための資格証明を取得する必要があるためです。

    KEYSTORE_CONFIGURATION属性には、1つの単語(FILEOKVHSM値など)で構成されるものがあります。また、KEYSTORE_CONFIGURATION属性には、値の構文の必須部分である"|"文字で区切られた2つの単語(FILE|OKVFILE|HSMOKV|FILEHSM|FILE値など)で構成されるものもあります。

    Oracle Database 18.1より前のOracle Databaseリリースでは、キーストア・タイプは、SQLNET.ENCRYPTION_WALLET_LOCATIONパラメータのMETHOD属性を使用してsqlnet.oraで構成されていました。

  • CONTAINER属性: このオプション属性は、CDBのCDB$ROOTでパラメータを設定する場合にのみ使用できます。CONTAINER属性は、CDB$ROOTMOUNTED状態の場合にのみ指定できます。この属性の場合、パラメータを設定するPDBの名前を指定する必要があります。CONTAINER属性を指定する場合は、KEYSTORE_CONFIGURATION属性とCONTAINER属性との間の区切り文字としてセミコロン";"を使用する必要があります。

次の文では、文の発行元となるオープン状態のPDBのウォレット・キーストアを構成します。

ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=FILE" SCOPE=BOTH SID='*';

次の文では、文の発行元となるMOUNTED状態のPDBのOKVキーストアを構成します。 

ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=OKV" SCOPE=SPFILE SID='*';

次の文では、ORCLPDB PDBのHSMキーストアを構成します。この文を正常に実行するには、CDB$ROOTMOUNTED状態のときに、パラメータをCDBのCDB$ROOTに設定する必要があります。 

ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=HSM; CONTAINER=ORCLPDB" SCOPE=MEMORY SID='*';

関連項目: