1. Oracle Cloud InfrastructureでのEssbaseスタックのデプロイメント
  2. Oracle Essbaseの設定
  3. Oracle Essbaseの使用を開始する前に
  4. ボールトとシークレットの作成および値の暗号化

ボールトとシークレットの作成および値の暗号化

Oracle Cloud Infrastructure Vaultを使用すると、サーバー・ドメインの作成時に機密情報を管理できます。ボールトとは、暗号化キーおよびシークレットのコンテナです。

Essbase 21cおよび19.3.0.5.6では、シークレットを使用します(Oracle Cloud Infrastructureコンソールの「アイデンティティとセキュリティ」領域の「ボールト」で作成されている)。ボールトで、パスワードを入力すると、最新版がキーの一部としてボールトに格納されます。Oracle Cloud Infrastructureドキュメントのキー管理を参照してください。

ノート:

既存のボールトを使用し、暗号化キーがすでに作成されている場合、「新しいボールトの作成」および「新しい暗号化キーの作成」の各項をスキップし、「新しいシークレットの作成」の項に進むことができます。それ以外の場合は、まずボールトおよびキーを作成する必要があります。

ボールとおよびキーをEssbaseアプリケーションの暗号化に使用する場合は、Essbaseスタックと同じリージョンに配置する必要があります。

プロビジョニング時にボールトを使用して資格証明を暗号化する場合、シークレットを作成する必要があります。Essbase管理者用およびデータベース用に選択したパスワードは、リソース・マネージャのパスワード要件を満たしている必要があります。

シークレットを次のフィールドに追加する必要があります。

  • Essbase管理者のパスワード

  • IAMまたはIDCSアプリケーションのクライアント・シークレット

  • データベース・システム管理者のパスワード

新しいボールトの作成:

ノート:

次の手順では、低コストのボールト・オプションを作成する方法について説明します。新しいエンティティは、まだ作成されていない場合にのみ必要です。

  1. Oracle Cloud Infrastructureコンソールにサインインします。

  2. ナビゲーション・メニューで、「アイデンティティとセキュリティ」を選択し、「キー管理とシークレット管理」セクションで「ボールト」をクリックします。

  3. 「リスト範囲」で、Essbaseのコンパートメントを選択します(まだ選択されていない場合)。

  4. 「ボールトの作成」をクリックします。

  5. 「コンパートメントに作成」で、Essbaseコンパートメントが選択されていることを確認します。

  6. 「名前」で、名前(OracleEssbaseVaultなど)を入力します。

  7. 低コストのオプションの場合は、仮想プライベート・ボールト・オプションの選択が解除されたままにします。

  8. 「ボールトの作成」をクリックします。

    ノート:

    ボールトの暗号エンドポイント値は、「ボールト」ページに表示される新しく作成したボールトをいつでもクリックすることで、後で使用するために取得できます。

新しい暗号化キーの作成

「ボールト」ページに移動し、次のように新しい暗号化キーを作成します。

  1. 新しく作成したボールトの名前(前述の項のOracleEssbaseVaultなど)をクリックします。

  2. 「マスター暗号化キー」で、「キーの作成」をクリックします。

  3. キーの名前(OracleEssbaseEncryptionKeyなど)を指定します。

  4. 「キーの作成」をクリックします。このキーは、シークレットの作成時に使用します。

新しいシークレットの作成

「ボールト」ページに移動します。パスワードごとに、次のようにシークレットを作成します。

  1. 「シークレット」をクリックします。

  2. 「シークレットの作成」をクリックします。

  3. 一意で簡単に識別できるシークレットの名前(たとえば、dbadminpassword)および関連する説明を入力します。

  4. 新しい暗号化キー(前述の項で作成)を選択するか、既存のものを選択します。たとえば、OracleEssbaseEncryptionKeyです。

  5. 「シークレット・コンテンツ」に、パスワードのテキストを入力します。

  6. 「シークレットの作成」をクリックします。

  7. 作成された各シークレットについて、その名前、ボールト、OCIDおよびその他の詳細をメモし、後で構成で使用するために認識できるようにします。

ノート:

異なるボールトに格納されている場合でも、各シークレットに一意の名前があることを確認してください。

Oracle Essbase管理者のパスワード(19C用)を暗号化するには:

  1. Essbaseドメインに対して使用する管理者パスワードをbase64エンコーディングに変換します。

    たとえば、Linuxターミナルから次のコマンドを使用します。

    echo -n 'OracleEssbase_Password' | base64

  2. Oracle Cloud Infrastructureコマンドライン・インタフェースを使用してencrypt ociコマンドを実行します。次のパラメータを指定します。

    • ボールト暗号化キーのOCID

    • ボールト暗号エンドポイント

    • base64エンコード・パスワード

    次に例を示します。

    oci kms crypto encrypt --key-id Key_OCID --endpoint Cryptographic_Endpoint_URL --plaintext Base64_OracleEssbase_Password

  3. 次に示すように、出力から、デプロイ・プロセスで使用するために暗号化パスワード値をコピーします。

    "ciphertext": "Encrypted_Password"

ボールト暗号化を使用して、データベース・パスワードおよびクライアント・シークレットを暗号化します。