1. Oracle Cloud InfrastructureでのEssbaseスタックのデプロイメント
  2. Oracle Essbaseの設定
  3. デプロイ後タスクの実行
  4. Essbaseアプリケーションの保存時の暗号化

Essbaseアプリケーションの保存時の暗号化

Essbaseアプリケーションへの不正アクセスを防止するために、Oracle Cloud Infrastructure (OCI) Vaultを使用して保存されているアプリケーションを暗号化できます。

保存時の暗号化により、権限のないユーザーがファイルをコピーしてEssbaseアプリケーション・データまたはメタデータにアクセスできなくなります。権限がありログインしているEssbaseユーザーのみが、アプリケーションの読取りまたは使用が可能になります。

デフォルトでは、セキュリティ機能はEssbase Marketplaceインスタンスで有効になっています。ただし、アプリケーションはデフォルトで暗号化されません。

暗号化の用語

アプリケーションの暗号化を理解するには、次の用語が役立ちます:

OCIボールト - マスター暗号化キーとシークレットを安全に格納および管理するサービス。OCIでのEssbaseスタック・デプロイメントの前提条件として、管理者はボールトおよびキーを作成する必要があります。Vaultは、OCIコンソールの「アイデンティティとセキュリティ」セクションにあります。

データ暗号化キー(DEK) - データ暗号化キーは、データを安全に暗号化または復号化する情報です。

マスター暗号化キー(MEK) - マスター暗号化キーは、DEKを暗号化します。OCIでのEssbaseスタック・デプロイメントの前提条件として、管理者は、必要なシークレットの格納に使用するMEKをボールトに作成する必要があります。

「ボールトとシークレットの作成および値の暗号化」を参照してください。

Essbase管理者またはアプリケーション・マネージャの暗号化に関する注意事項

Essbaseアプリケーションを暗号化または復号化する前に、バックアップします。暗号化リクエストが完了しなかった場合、アプリケーションが破損する可能性があるため、事前暗号化バックアップは不可欠です。

「アプリケーションのバックアップと復元」を参照してください

マスター暗号化キーがボールトから削除された場合、暗号化されたアプリケーションをリカバリする方法はありません。したがって、Essbaseアプリケーションの暗号化を決定する前に、OCIのキー管理プラクティスを完全に確認して理解することが重要です。

Oracle Cloud Infrastructureドキュメントのボールトおよびキーのバックアップおよび復元を参照してください。

アプリケーションの暗号化に必要なポリシー

Essbaseアプリケーションを暗号化するために実装する必要がある最小限必要なOracle Cloud Infrastructureポリシーについては、「ポリシーの設定」を確認してください。

Essbase管理者またはアプリケーション・マネージャの暗号化タスク

REST APIを使用すると、マーケットプレイス・リストを使用してOCIにデプロイされたEssbaseインスタンス上のアプリケーションを暗号化できます。

REST APIエンドポイントを使用するには、Essbaseシステム管理者またはアプリケーション・マネージャである必要があります。

暗号化されたアプリケーションの移行

暗号化されたアプリケーションは、ライフサイクル管理(LCM)のエクスポート/インポートおよび移行ユーティリティを使用して移行できます。暗号化されたアプリケーションを別のEssbaseインスタンスに移行する場合、ターゲット・インスタンスはMEKおよび対応するボールトにアクセスできる必要があります。

LCMのエクスポートおよびインポートを使用してアプリケーションを移行するには、

  1. コマンドライン・インタフェース(CLI)をダウンロードして設定します。コマンドライン・インタフェースのダウンロードおよび使用を参照してください。

  2. lcmexportコマンドを発行して、ソースEssbaseインスタンスからLCM zipファイルにアプリケーションをバックアップし、暗号化されたアプリケーションを保護するためのパスワードを指定します。パスワードは6文字から15文字の間である必要があり、次の特殊文字は使用できません: ?=.,*!@#&()[{}]:;'/~$^+<>-

    注意:

    このパスワードを忘れた場合、パスワードを取得する方法がなく、アプリケーションをインポートできません。

    次に例を示します。

    esscs lcmexport -a Sample -z Sample_lcmexport.zip -v -restEncryPassword enCrYpa55123%

  3. lcmimportコマンドを発行して、アプリケーションをLCM zipファイルからターゲットのEssbaseインスタンスに復元し、暗号化されたアプリケーションを保護するためにlcmexportで選択したパスワードを指定します。

    次に例を示します。

    esscs lcmimport -z Sample_lcmexport.zip -o -ta Sample2 -restEncryPassword enCrYpa55123%

ユーザーとグループ、およびアプリケーションを移行する必要がある場合は、別のユーティリティを使用します。その場合は、「移行ユーティリティを使用したアプリケーションの移行」を参照してください。