1. 管理者ガイド
  2. Oracle Key Vaultエンドポイントの管理

9 Oracle Key Vaultエンドポイントの管理

Oracle Key Vaultのエンドポイントは、データベース・サーバーまたはアプリケーション・サーバーなどのコンピュータ・システムであり、ここではキーおよび資格証明を使用してデータにアクセスします。

9.1 エンドポイントの管理の概要

スタンドアロン環境とマルチマスター・クラスタの両方でエンドポイントを管理する方法はほとんど同じですが、マルチマスター・クラスタにはより多くの制限がある点が異なります。

親トピック: Oracle Key Vaultエンドポイントの管理

9.1.1 エンドポイントの管理について

Oracle Key Vaultと通信するには、エンドポイントを登録してエンロールする必要があります。

その後、エンドポイント内のキーをOracle Key Vaultにアップロードして他のエンドポイントと共有し、ユーザーがデータにアクセスできるようにこれらのエンドポイントからキーをダウンロードできます。システム管理者ロールまたはエンドポイント管理権限を持つユーザーのみがOracle Key Vaultにエンドポイントを追加できます。エンドポイントを追加した後、エンドポイント管理者は、エンドポイントでエンドポイント・ソフトウェアをダウンロードしてインストールすることによって、エンドポイントをエンロールできます。その後、エンドポイントでは、エンドポイント・ソフトウェアとともにパッケージ化されたユーティリティを使用して、Oracle Key Vaultとの間でセキュリティ・オブジェクトをアップロードおよびダウンロードできます。

すべてのユーザーが仮想ウォレットを作成できますが、キー管理者ロールを持つユーザーのみが、仮想ウォレット内にあるセキュリティ・オブジェクトへのエンドポイント・アクセス権を付与できます。キー管理者ユーザーは、エンドポイントの任意のウォレットへのアクセス権を付与できます。キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーは、仮想ウォレットへの共有アクセスを有効にするエンドポイント・グループを作成することもできます。ウォレットに対するウォレット管理権限を持つユーザー(エンドポイントを作成したユーザーを含む)は、そのウォレットへのアクセス権をエンドポイントに付与できます。仮想ウォレットへのエンドポイント・グループ・アクセス権を付与すると、すべてのメンバー・エンドポイントがその仮想ウォレットへのアクセス権を持ちます。たとえば、Oracle Real Application Clusters (Oracle RAC)データベースのすべてのノードをエンドポイント・グループに入れることによって、仮想ウォレットへのアクセス権をそれらのノードに付与できます。これにより、仮想ウォレットへのアクセス権を各ノードに付与するステップを省略できます。

大規模なデプロイメントがある場合は、少なくとも4つのOracle Key Vaultサーバーをインストールし、エンドポイントをエンロールするときにこれら4つのサーバー間でバランスをとり高可用性を確保します。たとえば、データ・センターに登録するデータベース・エンドポイントが1000個あり、それらに対応するためのOracle Key Vaultの4つのサーバーがある場合、4つのサーバーそれぞれに250個のエンドポイントをエンロールします。

エンドポイントに名前を付ける際は、Oracle Key Vaultユーザー名をOracle Key Vaultエンドポイント名と同じにすることはできません。

エンドポイントに関連する管理ロールと権限は次のとおりです。

  • エンドポイントの作成: システム管理者ロールを持つユーザーは、Oracle Key Vaultシステムの任意の場所でエンドポイントを作成できます。エンドポイント作成権限を持つユーザーは、自分のエンドポイントを作成できます。
  • エンドポイントの管理: システム管理者ロールを持つユーザーは、Oracle Key Vaultシステムの任意の場所でエンドポイントを管理できます。エンドポイント管理権限を持つユーザーは、自分のエンドポイントを管理できます。この管理には、次の職務が含まれます。
    • エンドポイント・メタデータ(名前、タイプ、プラットフォーム、説明、電子メール通知など)の管理
    • エンドポイント・ライフサイクル(エンドポイントのエンロール、一時停止、再エンロールおよび削除で構成される)の管理
  • エンドポイント・グループの作成: システム管理者ロールを持つユーザーは、Oracle Key Vaultシステムの任意の場所でエンドポイント・グループを作成できます。エンドポイント・グループ作成権限を持つユーザーは、自分のエンドポイント・グループを作成できます。
  • エンドポイント・グループの管理: システム管理者ロールを持つユーザーは、Oracle Key Vaultシステムの任意の場所でエンドポイント・グループを管理できます。エンドポイント・グループ管理権限を持つユーザーは、自分のエンドポイント・グループを管理できます。この管理には、次の職務が含まれます。
    • エンドポイント・グループ・ライフサイクル(エンドポイント・グループの作成、変更および削除で構成される)の管理
    • セキュリティ・オブジェクトのライフサイクル(セキュリティ・オブジェクトの作成、変更および削除で構成され)の管理

関連項目

親トピック: エンドポイントの管理の概要

9.1.2 マルチマスター・クラスタによるエンドポイントへの影響

マルチマスター・クラスタによるエンドポイントへの影響については、エンドポイントの接続方法と制限の両方に注意してください。

マルチマスター構成では、エンドポイントがOracle Key Vaultに接続すると、次の処理が実行されます。

  • 最初に、サーバーIPのリストを構成ファイル(okvclient.ora)から取得します。
  • 次に、エンドポイントの作成者ノードが属するクラスタ・サブグループ内からランダムに1つを取得します。

マルチマスター・クラスタでのエンドポイントの動作方法に関する次の制限事項に注意してください。

  • エンドポイントは、最後に作成または再エンロールされたノードと同じノードからのみエンロールできます。
  • エンドポイントは、作成者ノードが属するクラスタ・サブグループに基づいて、初期および後続のエンドポイント・ノード・スキャン・リストを更新します。作成者ノードと同じクラスタ・サブグループからノードを初めて追加すると、Oracle Key Vaultによってエンドポイント・ノード・スキャン・リストが作成されます。Oracle Key Vaultでは、後で他のノードが追加されます。
  • 1つまたは両方(ウォレットとエンドポイント)がPENDING状態にあり、その割当てが非作成者ノードから試行されている場合、デフォルト・ウォレットをエンドポイントに割り当てることはできません。エンドポイントとウォレットの両方がACTIVE状態になると、この制限は終了します。

親トピック: エンドポイントの管理の概要

9.2 エンドポイントの管理

エンドポイントをエンロール、再エンロール、一時停止および削除できます。

親トピック: Oracle Key Vaultエンドポイントの管理

9.2.1 エンドポイント・エンロールのタイプ

エンドポイントをエンロールする最初のステップは、エンドポイントをOracle Key Vaultに追加することです。

エンドポイントを追加する(登録するともいう)には、次の2つの方法があります。

  • 管理者が開始

    システム管理者ロールを持つOracle Key Vaultユーザーが、Oracle Key Vaultにエンドポイントを追加することによって、Oracle Key Vault側からエンロールを開始します。エンドポイントが追加されると、1回限りのエンロール・トークンが生成されます。このトークンは、次の2つの方法でエンドポイント管理者に送信できます。

    • 電子メールによってOracle Key Vaultから直接。電子メール通知を使用するには、電子メール設定でSMTPを構成する必要があります。
    • 電子メールまたは電話などのバンド外の方式。

    エンドポイント管理者は、エンロール・トークンを使用してエンドポイント・ソフトウェアをダウンロードし、エンドポイント側でエンロール・プロセスを完了します。マルチマスター・クラスタでは、エンドポイントの追加に使用された同じノードを使用して、エンドポイントをエンロールする必要があります。

    エンドポイントのエンロールに使用したエンロール・トークンを別のエンロールに再度使用することはできません。エンドポイントを再エンロールする必要がある場合は、再エンロール・プロセスで、この目的のために新しい1回限りのエンロール・トークンを生成します。

  • 自己エンロール

    人による管理操作なしで、特定の時間中にエンドポイントがそれ自体をエンロールできます。エンドポイント自己エンロールは、エンドポイント間でセキュリティ・オブジェクトを共有せず、主にOracle Key Vaultを使用してそれ自体のセキュリティ・オブジェクトを保存およびリストアする場合に役立ちます。エンドポイント自己エンロールの別の用途は、テストです。

    自己エンロールされたエンドポイントは、ENDPT_001という形式の一般的なエンドポイント名で作成されます。クラスタでは、自己エンロールされたエンドポイントは、ENDPT_xx_001という形式で汎用エンドポイント名で作成されます。xxは2桁のノード識別子またはノード番号です。最初は、自己エンロールされたエンドポイントには、それ自体がアップロードまたは作成するセキュリティ・オブジェクトへのアクセス権のみがあります。仮想ウォレットへのアクセス権はありません。後で、そのアイデンティティを検証した後、仮想ウォレットへのエンドポイント・アクセス権を付与できます。

    エンドポイント自己エンロールはデフォルトでは無効で、システム管理者ロールを持っているユーザーによって有効化される必要があります。エンドポイントが自己エンロールすると予期される短期間に自己エンロールを有効化して、自己エンロール期間が終了したときに無効化することがベスト・プラクティスとなります。

関連項目

親トピック: エンドポイントの管理

9.2.2 マルチマスター・クラスタ内のエンドポイント・エンロール

クラスタのエンドポイントは、マルチマスター・クラスタのクライアント・システムです。

エンドポイント・エンロールは2つのステップに分かれています。最初にエンドポイントを追加してから、エンロールします。

初期ノードになるOracle Key Vaultサーバーは、特に以前のリリースからアップグレードされた場合に、すでにエンロールされているエンドポイントを保持できます。これらの既存のエンドポイントは、クラスタを初期化またはシードします。インダクション中に、クラスタにエンロールされたエンドポイントは新しく追加されたノードにレプリケートされます。インダクション中に、Oracle Key Vaultは、クラスタに追加されたすべての候補ノードにすでにエンロールされているエンドポイントを削除します。

エンドポイントは読取り/書込みノードにのみエンロールできます。

エンドポイントをエンロールした後、新しいエンドポイントにクラスタ全体のプレゼンスが設定されます。Oracle Key Vaultマルチマスター・クラスタのエンドポイントを読取り/書込みノードに追加できます。

ノート:

エンドポイントは、最後に追加または再エンロールされたノードと同じノードにエンロールする必要があります。

異なるノード上のマルチマスター・クラスタに同時に追加された新しいエンドポイントには、名前の競合があります。Oracle Key Vaultは、エンドポイント名の競合を自動的に解決し、次の図のような競合解決ページに競合を表示します。ここから、システム管理者は名前の変更を選択できます。

endpoint-name-conflicts-screenshot.pngの説明が続きます
図endpoint-name-conflicts-screenshot.pngの説明

関連項目

親トピック: エンドポイントの管理

9.2.3 Oracle Key Vaultシステム管理者またはエンドポイント管理ユーザーとしてのエンドポイントの追加

システム管理者ロールまたはエンドポイント管理権限を付与されたユーザーは、「Endpoints」タブを使用してエンドポイントを追加できます。

  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、自分が作成したエンドポイントのみを管理できます。
  2. 「Endpoints」タブをクリックします。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。

    endpoints-endpoints.pngの説明が続きます
    図endpoints-endpoints.pngの説明

    「Endpoints」ページには、登録およびエンロールされたエンドポイントのリストと、名前、タイプ、説明、プラットフォーム、ステータス、エンロール・トークン、アラートなどのエンドポイント詳細が表示されます。エンドポイント・ステータスは、「Registered」または「Enrolled」のいずれかになります。

    • 「Registered」ステータス: エンドポイントが追加され、1回限りのエンロール・トークンが生成されています。このトークンは、対応する「Enrollment Token」列に表示されます。
    • 「Enrolled」ステータス: エンドポイント・ソフトウェアをダウンロードするために、1回限りのエンロール・トークンが使用されています。「Enrollment Token」列に、エンロール・トークンが使用されていることを示すダッシュ(-)が表示されます。
    • Created By: エンドポイントを作成したユーザー。そのユーザーが存在しなくなった場合や、この情報が保存される前のバージョンでエンドポイントが作成されていた場合は、このフィールドにANONYMOUSと表示されます。
    • Creator Node: エンドポイントが作成されたノード。
    • Name Status: エンドポイントの状態。状態はACTIVEまたはPENDINGになります。
  3. 「Endpoints」ページで「Add」をクリックします。
    「Register Endpoint」ページが表示されます。「Make Unique」チェック・ボックスは、マルチマスター・クラスタ・モードでのみ表示されます。

    register-endpoint.pngの説明が続きます
    図register-endpoint.pngの説明

  4. 「Endpoint Name」フィールドに、エンドポイントの名前を入力します。
  5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。

    「Make Unique」は、マルチマスター・クラスタ環境全体でネーミングの競合を制御するために役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成されたエンドポイントは、ネーミング競合による影響を受けません。

    • 「Make Unique」を選択すると、エンドポイントがただちにアクティブになり、ユーザーはこのエンドポイントを使用できます。
    • 「Make Unique」を選択しない場合、エンドポイントはPENDING状態で作成されます。その後、Oracle Key Vaultは名前解決操作を開始し、エンドポイントをクラスタ全体で一意の名前に変更できます。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。エンドポイントは一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたエンドポイント名を受け入れるか、エンドポイント名を変更する必要があります。エンドポイント名を変更すると、名前解決操作が再起動され、エンドポイントはPENDING状態に戻ります。PENDING状態のエンドポイントは、ほとんどの操作の実行に使用できません。
  6. 「Type」ドロップダウン・リストから、エンドポイントのタイプを選択します。
    サポートされているタイプは、「Oracle Database」「Oracle Database Cloud Service」「Oracle (non-database)」「Oracle ACFS」「MySQL Database」および「Other」です。「Other」の例には、サード・パーティのKMIPエンドポイントがあります。Oracle Advanced Security Transparent Data Encryption (TDE)を使用していて、Oracle Key Vaultを使用してTDEマスター暗号化キーまたはウォレットを管理する場合、「Type」「Oracle Database」に設定する必要があります。
  7. 次のエンドポイント情報を入力します。
    • Platform: サポートされているプラットフォームの選択肢は、「Linux」「Solaris SPARC」「Solaris x64」「AIX」「AIX5.3」「HP-UX」および「Windows」です。
    • Description: 必要に応じて、エンドポイントのホスト名、IPアドレス、機能または場所など、実用的でわかりやすい説明を入力します。
    • Administrator Email: 必要に応じて、Oracle Key Vaultからエンロール・トークンおよびその他のエンドポイント関連のアラートを直接送信するエンドポイント管理者の電子メール・アドレスを入力します。電子メール通知機能を使用するには、SMPTを構成する必要があります。
  8. 「Register」をクリックします。
    「Endpoints」ページが表示され、そこにステータスが「Registered」の新しいエンドポイントが表示されます。「Enrollment Token」列に1回限りのエンロール・トークンが表示されます。

    endpoint-registered-status.pngの説明が続きます
    図endpoint-registered-status.pngの説明

  9. エンドポイント名をクリックして、エンドポイントの詳細を表示します。
    「Endpoint Details」ページが表示されます。

    screenshot_endpoint_details.pngの説明が続きます
    図screenshot_endpoint_details.pngの説明

    「Endpoint Details」ページの「Send Enrollment Token」ボタンは、「Status」「Registered」のエンドポイントに対してのみ表示されます。

    1回限りのエンロール・トークンをエンドポイント管理者に送信するには、2つの方法があります。

    • SMTPを構成して電子メール・アドレスを入力した場合は、次のステップに示すように「Send Enrollment Token」ボタンをクリックし、Oracle Key Vaultからエンロール・トークンをエンドポイント管理者に直接送信できます。
    • SMTPを構成しなかった場合、または電子メール・アドレスを入力しなかった場合は、バンド外の方式を使用して、エンドポイント管理者にエンロール・トークンを送信する必要があります。

    エンドポイントをエンロールし、エンドポイントが最近作成または再エンロールされたノードからエンドポイントjarファイルをダウンロードする必要があります。

  10. 「Send Enrollment Token」をクリックします。
    この段階で、エンドポイントの管理者はエンドポイントのエンロール・プロセスを完了できます。エンロール・トークンがエンドポイント側でエンドポイント・ソフトウェアのダウンロードおよびインストールに使用されている場合、エンドポイント・ステータスは「Registered」から「Enrolled」に変わります。

関連項目

親トピック: エンドポイントの管理

9.2.4 自己エンロールを使用したエンドポイントの追加

自己エンロール・プロセスでは、エンドポイントは途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスに移行します。

親トピック: エンドポイントの管理

9.2.4.1 自己エンロールを使用したエンドポイントの追加について

Oracle Key Vaultでは、エンドポイント自己エンロールでエンロールされたすべてのエンドポイントに、自己エンロール済属性が関連付けられます。

自己エンロールされたエンドポイントは、エンドポイント・ソフトウェアをダウンロードするときに途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスになります。自己エンロールされたエンドポイントは、ENDPT_001という形式の、システム生成の名前によって認識できます。マルチマスター・クラスタでは、システム生成エンドポイント名はENDPT_node_id_sequential_numberという形式で、node_id01または02などの値です。たとえば、ENDPT_01_001は、生成されるエンドポイントの名前になります。

エンドポイント自己エンロールはデフォルトでは無効で、システム管理者ロールを持っているユーザーによって有効化される必要があります。

エンドポイントがエンロールすると予期される限られた期間にエンドポイント自己エンロールを有効化することがベスト・プラクティスとなります。予期したエンドポイントがエンロールされた後、エンドポイント自己エンロールを無効化する必要があります。

9.2.4.2 自己エンロールを使用したエンドポイントの追加

Oracle Key Vault管理コンソールからエンドポイントの自己エンロール・プロセスを構成できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のバーから「Settings」を選択します。
    「Endpoint Settings」ページが表示されます。


    endpoint_settings.pngの説明が続きます
    図endpoint_settings.pngの説明

  3. 「Allow Endpoint Self-Enrollment」の右にあるボックスを選択します。
  4. 「Save」をクリックします。

9.2.5 エンドポイントの削除、一時停止または再エンロール

エンドポイントがセキュリティ・オブジェクトの格納にOracle Key Vaultを使用しなくなった場合、それらを削除してから、再度必要になったときに再エンロールできます。

親トピック: エンドポイントの管理

9.2.5.1 エンドポイントの削除について

エンドポイントを削除すると、Oracle Key Vaultから永久に削除されます。

ただし、そのエンドポイントによって以前に作成またはアップロードされたセキュリティ・オブジェクトは、Oracle Key Vaultに残ります。同様に、そのエンドポイントに関連付けられているセキュリティ・オブジェクトも残ります。これらのセキュリティ・オブジェクトを永久に削除または再割当てするには、キー管理者ロールを持っているユーザーであるか、ウォレットの権限を管理することでこれらのオブジェクトをマージする権限を持っている必要があります。エンドポイントで以前にダウンロードされたエンドポイント・ソフトウェアも、エンドポイント管理者が削除するまで、エンドポイントに残ります。

PENDING状態のエンドポイントは、それを作成したユーザーでなければ削除できません。作成したノードで削除する必要があります。

9.2.5.2 1つ以上のエンドポイントの削除

「Endpoints」ページでは、Oracle Key Vaultからエンドポイントのグループを一度に削除できます。

このページから1つのエンドポイントを削除することもできます。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、自分が作成したエンドポイントのみを削除できます。
  2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
    「Endpoints」ページに、現在登録またはエンロールされているすべてのエンドポイントがリストされます。
  3. 削除するエンドポイントの左にあるチェック・ボックスを選択します。
  4. 「Delete」をクリックします。
  5. 表示される確認ダイアログ・ボックスで「OK」をクリックします。
9.2.5.3 1つのエンドポイントの削除(代替方法)

「Endpoint Details」ページには、選択したエンドポイントの統合ビューが表示されます。これには、Oracle Key Vaultからエンドポイントを削除するメカニズムも含まれます。

  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、自分が作成したエンドポイントのみを削除できます。
  2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
    「Endpoints」ページに、現在登録またはエンロールされているすべてのエンドポイントがリストされます。
  3. 削除するエンドポイントの名前をクリックします。
    「Endpoint Details」ページが表示されます。
  4. 「Delete」をクリックします。
  5. 「OK」をクリックして確定します。
9.2.5.4 エンドポイントの一時停止

セキュリティ上の理由からエンドポイントを一時的に停止し、脅威が去った後でエンドポイントを回復できます。

エンドポイントを一時停止すると、ステータスが「Enrolled」から「Suspended」に変わります。PENDING状態のエンドポイントは、それを作成したユーザーでなければ一時停止できません。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、自分が作成したエンドポイントのみを一時停止できます。
  2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
    「Endpoints」ページに、現在登録またはエンロールされているすべてのエンドポイントがリストされます。
  3. 一時停止するエンドポイントの名前をクリックします。「Endpoint Details」ページが表示されます。
  4. 「Suspend」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。
    エンドポイントを一時停止すると、「Endpoints」ページの「Status」「Suspended」になります。
  6. エンドポイントを有効化するには、ステップ1-4. を実行します
    「Endpoint Details」ペインから、「Enable」をクリックします。「Endpoints」ページのエンドポイントの「Status」「Enrolled」になります。

マルチマスター・クラスタ内のエンドポイントの一時停止には、次のルールが適用されます。

  • 通常のエンドポイントの場合、すべての一時停止操作リクエストがクラスタ内のすべてのノードに到達するまで、エンドポイントは引き続き動作します。
  • 任意のノードのエンドポイントを一時停止できます。
  • クラウドベースのエンドポイントの場合、一時停止操作がリバースSSHトンネルの確立元であるすべてのノードに達するまで、エンドポイントは引き続き動作します。
  • リバースSSHトンネルの確立元から、クラウドベースのエンドポイントの任意のノードのエンドポイントを一時停止できます。
9.2.5.5 エンドポイントの再エンロール

エンドポイントを再エンロールすると、エンロール・プロセスによってエンドポイント・ソフトウェアが自動的にアップグレードされます。

プライマリ・スタンバイ構成でプライマリOracle Key Vaultサーバーと新しいセカンダリ・サーバーのペアなどの変更に対応するために、エンドポイントを再エンロールする必要もあります。エンドポイントを再エンロールする処理は、エンドポイントの古いデプロイメントからの接続をただちに禁止します。エンドポイントを再エンロールする場合は、okvclient.jarをダウンロードして、既存のデプロイメントとは別のディレクトリにデプロイすることをお薦めします。ソフトウェアをデプロイする場合は、-oオプションを使用して、古いokvclient.oraを指すシンボリック・リンクを上書きします。PENDING状態のエンドポイントは、そのエンドポイントを作成したユーザーでなければ再エンロールできません。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、自分が作成したエンドポイントのみを再エンロールできます。
  2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
    「Endpoints」ページに、Key Vaultのすべてのエンドポイントがリストされます。
  3. 再エンロールするエンドポイントの左にあるボックスを選択します。
  4. 「Reenroll」をクリックします。

    okvclient.jarファイルをデプロイすると、「The endpoint software for Oracle Key Vault installed successfully」というメッセージが表示されます。かわりに「The endpoint software for Oracle Key Vault upgraded successfully」というメッセージが表示された場合は、古いデプロイメント・ディレクトリで再エンロールが実行されたため、エンドポイントのソフトウェアはアップグレードされましたが、正常に再エンロールされませんでした。

    okvclient.jarオプション-oを使用して、新しいディレクトリ内のokvclient.oraを指すシンボリック・リンク参照を上書きできます。

    エンドポイントの再エンロールごとに新しいエンロール・トークンが生成され、対応する「Enrollment Token」列に表示されます。この1回限りのトークンを使用して、エンドポイントを再エンロールできます。エンドポイントjarファイルは、エンドポイントが再エンロールされた同じノードからダウンロードする必要があります。

9.3 エンドポイント詳細の管理

エンドポイント詳細は、エンドポイント名、タイプ、説明、プラットフォームおよび電子メール、グループへのエンドポイントの追加、またはエンドポイント・ソフトウェアのアップグレードを指します。

親トピック: Oracle Key Vaultエンドポイントの管理

9.3.1 エンドポイント詳細について

エンドポイント詳細ページには、エンドポイントの統合ビューが表示されます。

このページにアクセスするには、「Endpoints」タブを選択し、エンドポイントの名前をクリックします。ここから、エンドポイント詳細を変更したり、エンドポイント管理タスクを完了することができます。

screenshot-9.6.1.pngの説明が続きます
図screenshot-9.6.1.pngの説明

親トピック: エンドポイント詳細の管理

9.3.2 エンドポイント詳細の変更

エンドポイント名、エンドポイント・タイプ、説明、プラットフォームおよび電子メールを変更できます。

マルチマスター・クラスタでは、エンドポイントの詳細を変更できるのは、そのエンドポイントが作成されたノードで、エンドポイントがPENDING状態にある場合のみです。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、自分が作成したエンドポイントのみを変更できます。
  2. 「Endpoints」タブを選択します。
    「Endpoints」ページが表示されます。
  3. エンドポイントの名前をクリックして、「Endpoint Details」ページを表示します。
  4. 「Endpoint Name」「Type」「Description」「Platform」「Administrator Email」「Cluster Subgroup」(マルチマスター・クラスタ環境のみ)または「Strict IP Check」のいずれかを変更します。
    「Strict IP Check」設定は、Oracle Key Vaultで作成された任意のエンドポイントに対してデフォルトで有効になっています。このチェック・ボックスを選択すると、Oracle Key Vaultは、エンドポイント・ソフトウェアが最初にデプロイされたときに使用されたものと同じIPを使用してエンドポイントが接続しているかどうかを確認します。このチェック・ボックスを無効にすると、Oracle Key Vaultによってエンドポイントは任意のIPアドレスを使用して接続できます。特に指定がないかぎり、この設定を有効にすることをお薦めします。
  5. 「Save」をクリックします。

親トピック: エンドポイント詳細の管理

9.3.3 エンドポイントごとの構成パラメータの変更

システム管理者ロールまたはエンドポイント管理権限を持つユーザーは、エンドポイントごとの構成パラメータを設定できます。

システム管理者ロールを持つユーザーは、任意のエンドポイントの構成パラメータを設定できます。エンドポイント管理権限を持つユーザーは、そのユーザーがエンドポイント管理権限を持つエンドポイントの構成パラメータのみを設定できます。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーから「Endpoints」を選択します。
  3. 「Endpoints」ページで、変更するエンドポイントを選択します。
  4. 「Endpoint Details」ページで、「Endpoint Configuration Parameters」領域までスクロール・ダウンします。
  5. 構成パラメータを必要に応じて変更します。
    この構成パラメータは、グローバルに変更できる構成パラメータと同じです。
  6. 「Save」をクリックします。

関連項目

親トピック: エンドポイント詳細の管理

9.3.4 グローバル・エンドポイント構成パラメータ

Oracle Key Vaultでは、Oracle Key Vault管理コンソールで設定できるエンドポイント固有の構成パラメータが提供されています。

親トピック: エンドポイント詳細の管理

9.3.4.1 グローバル・エンドポイント構成パラメータについて

システム管理者ロールを持つユーザーは、Oracle Key Vault管理コンソールで特定のエンドポイント構成パラメータを集中的に更新できます。 

この機能により、システム管理者は特定のエンドポイント構成パラメータをグローバルに設定できます(すべてのエンドポイントまたはエンドポイントごとに)。 システム管理者の複数のエンドポイントを管理するプロセスを簡略化します。

エンドポイント固有のパラメータは、グローバル・パラメータより優先されます。グローバル・パラメータは、エンドポイント固有のパラメータがクリアされると有効になります。Oracle Key Vaultでは、グローバルおよびエンドポイント固有のパラメータがクリアされるか、Oracle Key Vault管理コンソールから設定されていない場合は、デフォルトのシステム・パラメータが使用されます。

Oracle Key Vault管理コンソールで設定された構成パラメータ値は、エンドポイントに動的に適用されます。次回エンドポイントがOracle Key Vaultサーバーに接続すると、更新された構成パラメータがエンドポイントに適用されます。エラーがある場合、更新は適用されません。okvutilおよびPKCS11ライブラリの両方で、エンドポイント構成の更新を取得および適用できます。

マルチマスター・クラスタでは、構成パラメータのレプリケーションはレプリケーション・ラグに依存します。接続先のノードがまだパラメータの新しい値を受信していないため、エンドポイントはすぐに更新を取得できない可能性があります。新しい値が設定されたノードに接続した場合、または過去1時間その構成がリフレッシュされなかった場合は、エンドポイントの構成がリフレッシュされます。

ノート:

エンドポイント管理権限を持つユーザーは、アクセス権を持つ各エンドポイントごとに構成パラメータを変更できます。そうするには、エンドポイントの「Details」ページに移動し、下部までスクロールした場所でエンドポイントを変更します。
9.3.4.2 グローバル・エンドポイント構成パラメータの設定

グローバル・エンドポイント構成パラメータは、Oracle Key Vault管理コンソールで設定できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のバーから「Settings」を選択します。

    「Endpoint Settings」ページが表示されます。

    endpoint_settings.pngの説明が続きます
    図endpoint_settings.pngの説明

  3. 「グローバル・エンドポイント構成パラメータ」セクションで、次の設定を構成します。
    • エンドポイント証明書の有効性: 現在のエンドポイント証明書が有効な日数を指定します。
    • PKCS 11インメモリー・キャッシュ・タイムアウト: インメモリー・キャッシュにキャッシュされた後にマスター暗号化鍵を使用できる期間(分単位)を指定します。PKCS 11インメモリー・キャッシュのタイムアウト設定の詳細は、PKCS11_CACHE_TIMEOUTパラメータを参照してください。

      PKCS 11キャッシュ永続タイムアウト: 永続マスター暗号化キー・キャッシュにキャッシュされた後のマスター暗号化キーの使用可能期間を分単位で指定します。PKCS 11キャッシュ永続タイムアウト設定の詳細は、PKCS11_PERSISTENT_CACHE_TIMEOUTパラメータを参照してください。

    • PKCS 11 Persistent Cache Refresh Window: 永続マスター暗号化キー・キャッシュにキャッシュされた後のマスター暗号化キーの使用可能期間を延長するために期間を分単位で指定します。PKCS 11永続キャッシュ・リフレッシュ期間設定の詳細は、PKCS11_PERSISTENT_CACHE_REFRESH_WINDOWパラメータを参照してください。
    • サーバー・ポーリング・タイムアウト: リスト内の次のサーバーを試行する前に、クライアントがOracle Key Vaultサーバーに接続しようとするタイムアウト(秒単位)を指定します。デフォルト値は300 (ミリ秒)です。
    • PKCS 11トレース・ディレクトリ・パス: トレース・ファイルを保存するディレクトリを指定します。
    • Expire PKCS11 Persistent Cache on Database Shutdown: 指定したエンドポイント・データベースのPKCS#11永続キャッシュがエンドポイント・データベースの停止時に自動的に期限切れになるように有効にするか、または無効にします。EXPIRE PKCS11 PERSISTENT CACHE ON DATABASE SHUTDOWNパラメータを参照してください。
  4. 「Save」をクリックします。

9.4 デフォルト・ウォレットとエンドポイント

エンドポイントでは、仮想ウォレットの1タイプであるデフォルト・ウォレットを使用できます。

親トピック: Oracle Key Vaultエンドポイントの管理

9.4.1 デフォルト・ウォレットとエンドポイントの関連付け

デフォルト・ウォレットは、ウォレットが明示的に指定されていない場合にセキュリティ・オブジェクトがアップロードされる仮想ウォレットのタイプです。

デフォルト・ウォレットは、Oracle Real Application Clusters (Oracle RAC)のノードやOracle Data Guardのプライマリおよびスタンバイ・ノードなど、他のエンドポイントと共有し、すべてのエンドポイントで同じデフォルト・ウォレットを使用できるので便利です。

デフォルト・ウォレットを使用する場合は、エンドポイントを登録した後、エンロールする前に設定する必要があります。エンロール後にデフォルト・ウォレットを使用することを決定した場合は、デフォルト・ウォレットを削除してから、エンドポイントを再エンロールする必要があります。

エンロール・ステータス「registered」は、エンドポイントはOracle Key Vaultに追加されているが、エンドポイント・ソフトウェアがダウンロードおよびインストールされていないことを意味します。ステータスが「registered」の場合は、デフォルト・ウォレットをエンドポイントに関連付ける必要があります。

エンドポイント・エンロール・ステータスは、エンドポイント・ソフトウェアをエンドポイントにダウンロードおよびインストールすると「enrolled」になります。エンドポイントのエンロール後にデフォルト・ウォレットを設定する場合は、エンドポイントを再エンロールして、エンドポイントで今後作成されるすべてのセキュリティ・オブジェクトがそのウォレットに自動的に関連付けられるようにしてください。

マルチマスター・クラスタでは、作成されたエンドポイントおよびウォレットのいずれかがPENDING状態の場合、デフォルト・ウォレットはそれらが作成された同じノードでのみ割り当てることができます。両方がACTIVE状態の場合、制限はありません。デフォルト・ウォレットが割り当てられ、エンドポイントがエンロールされると、両方がACTIVE状態で、そのノードに情報がレプリケートされているかぎり、どのノードからもデフォルト・ウォレットにアクセスできます。

Parent topic: デフォルト・ウォレットとエンドポイント

9.4.2 エンドポイントのデフォルト・ウォレットの設定

エンドポイントのデフォルト・ウォレットを設定すると、別のウォレットが明示的に指定されていないかぎり、エンドポイントのセキュリティ・オブジェクトがウォレットに自動的にアップロードされます。

エンドポイントを登録した直後で、エンドポイント・ソフトウェアをダウンロードする前に、デフォルト・ウォレットを設定する必要があります。
  1. キー管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、エンドポイント名をクリックします。
    「Endpoint Details」ページが表示されます。
  3. 「Default Wallet」ペインで「Choose Wallet」を選択します。

    default-wallet-screenshot.pngの説明が続きます
    図default-wallet-screenshot.pngの説明

    「Add Default Wallet」ページが表示され、使用可能なウォレットのリストが示されます。

    add_default_wlt.pngの説明が続きます
    図add_default_wlt.pngの説明

  4. デフォルト・ウォレットにするウォレットをリストから選択するには、ウォレットの左にあるオプションをクリックして「Select」をクリックします。
    選択したウォレットの名前が「Default Wallet」ペインに表示されます。

    post_def_wlt_select.pngの説明が続きます
    図post_def_wlt_select.pngの説明

  5. 「Save」をクリックします。

Parent topic: デフォルト・ウォレットとエンドポイント

9.5 仮想ウォレットへのエンドポイント・アクセス権の管理

仮想ウォレットへのエンドポイント・アクセス権を付与し、必要でなくなった場合にアクセス権を取り消したり変更することができます。

親トピック: Oracle Key Vaultエンドポイントの管理

9.5.1 仮想ウォレットへのエンドポイント・アクセス権の付与

セキュリティ・オブジェクトをアップロードまたはダウンロードする前に、エンドポイントにはウォレットに対する「Read and Modify」および「Manage Wallet」権限が必要です。

Oracle Key Vaultにエンドポイントを追加した直後で、まだ「registered」ステータスのときに、仮想ウォレットへのエンドポイント・アクセス権を付与できます。
  1. キー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
  3. 「Endpoints」ページで、仮想ウォレットへのアクセス権が必要なエンドポイントを選択します。
    「Access to Wallets」ペインが表示された「Endpoint Details」ページが表示されます。

    ep_dtls4_acc_to_wlts.pngの説明が続きます
    図ep_dtls4_acc_to_wlts.pngの説明

  4. 「Access to Wallets」ペインに、エンドポイントがすでにアクセス権を持っているウォレットがリストされます。このリストに別のウォレットを追加するには、「Add」をクリックします。
    「Add Access to Endpoint」ページが表示されます。

    add_wlt_acc_ep.pngの説明が続きます
    図add_wlt_acc_ep.pngの説明

  5. 「Add Access to Endpoint」ページに表示されているウォレットの使用可能なリストからウォレットを選択します。
  6. 「Select Access Level」ペインで、「Access Level」を選択します。
  7. 「Save」をクリックします。

関連項目

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

9.5.2 仮想ウォレットへのエンドポイント・アクセス権の取消し

「Endpoints」タブを使用して、エンドポイントの仮想ウォレットへのアクセス権を取り消すことができます。

  1. キー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、「Endpoints」ページを表示します。
  3. 「Endpoints」ページで、エンドポイント名を選択して、「Endpoint Details」ページを表示します。
    このページで、「Access to Wallets」ペインを探します。「Access to Wallets」ペインに、エンドポイントがアクセス権を持っているウォレットのリストが表示されます。
  4. アクセス権を取り消すウォレットを選択します。
  5. 「Remove」をクリックします。
  6. 確認のダイアログ・ボックスで、「OK」をクリックします。

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

9.5.3 エンドポイントによってアクセスされるウォレット項目の表示

ウォレット項目という用語は、エンドポイントがアクセスできるセキュリティ・オブジェクトを指します。

  1. キー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
  3. 「Endpoint Name」をクリックして、「Endpoint Details」にアクセスします。
    「Endpoint Details」「Access to Wallet Items」ペインに、エンドポイントがアクセス権を持っているウォレット項目がリストされます。

    ep_details_wall_items.pngの説明が続きます
    図ep_details_wall_items.pngの説明

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

9.6 エンドポイント・グループの管理

エンドポイント・グループは、ウォレットの共通セットを共有するエンドポイントの名前付きグループです。

親トピック: Oracle Key Vaultエンドポイントの管理

9.6.1 マルチマスター・クラスタによるエンドポイント・グループへの影響

任意のノードでエンドポイント・グループを作成し、クラスタ全体のプレゼンスを設定できます。

いずれのノードでもエンドポイント・グループを追加、更新または削除できますが、読取り/書込みモードのみです。

初期ノードになるOracle Key Vaultサーバーは、すでに作成されているエンドポイント・グループを保持できます。これらのエンドポイント・グループは、クラスタの初期化またはシードに使用されます。インダクション中に、クラスタ内のエンドポイント・グループが新しく追加されたノードにレプリケートされます。クラスタに追加された他のすべてのノードで作成されたエンドポイント・グループは、インダクション中に削除されます。

異なるノード上のマルチマスター・クラスタに同時に追加された新しいエンドポイント・グループには、名前の競合があります。Oracle Key Vaultは、すべてのエンドポイント・グループ名の競合を自動的に解決します。これらの競合は競合解決ページに表示され、キー管理者は名前を変更できます。

関連項目

親トピック: エンドポイント・グループの管理

9.6.2 エンドポイント・グループの作成

ウォレットに格納されたセキュリティ・オブジェクトの共通セットを共有する必要がある複数のエンドポイントを、1つのエンドポイント・グループにまとめることができます。

たとえば、Oracle Real Application Clusters (Oracle RAC)、GoldenGateまたはOracle Active Data Guardを使用するエンドポイントが、共有データにアクセスするためのキーを共有する必要がある場合があります。

  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。

    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを管理できます。

  2. 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。

    「Endpoint Groups」ページが表示されます。

    endpoint-groups-screenshot.pngの説明が続きます
    図endpoint-groups-screenshot.pngの説明

  3. 「Create Endpoint Group」をクリックします。

    「Create Endpoint Group」ページが表示されます。

    create-endpoint-group-screenshot.pngの説明が続きます
    図create-endpoint-group-screenshot.pngの説明

  4. 新しいグループの名前と簡単な説明を入力します。

    オブジェクトのネーミング・ガイドライン」を参照してください。

  5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。

    「Make Unique」は、マルチマスター・クラスタ環境全体でネーミングの競合を制御するために役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成されたエンドポイント・グループは、名前の競合による影響を受けません。

    • 「Make Unique」を選択すると、エンドポイント・グループがただちにアクティブになり、ユーザーはこのエンドポイント・グループを使用できます。「Make Unique」をクリックすると、エンドポイント・グループに追加できるエンドポイントのリストも表示されます。
    • 「Make Unique」を選択しない場合、エンドポイント・グループはPENDING状態で作成されます。その後、Oracle Key Vaultは名前解決操作を開始し、クラスタ全体で一意の名前にエンドポイント・グループ名を変更できます。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。エンドポイント・グループ名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたエンドポイント・グループ名を受け入れるか、エンドポイント・グループ名を変更する必要があります。エンドポイント・グループ名を変更すると、名前解決操作が再起動され、エンドポイント・グループがPENDING状態に戻ります。PENDING状態のエンドポイント・グループは、ほとんどの操作の実行に使用できません。
  6. すべてのエンドポイントをリストした「Select Members」ペインで、各エンドポイントの左側にあるボックスを選択して、エンドポイントをグループに追加します。
  7. 「Save」をクリックして、エンドポイント・グループの作成を完了します。

    これで、新しいエンドポイント・グループが「Endpoint Groups」ページに表示されます。

    エンドポイント・グループ管理権限を持つユーザーとしてエンドポイント・グループを作成すると、そのエンドポイント・グループは排他的エンドポイント・グループとして作成されます。詳細は、「エンドポイント・グループ管理権限の職務とスコープ」の排他エンドポイントに関する説明を参照してください。

関連項目

親トピック: エンドポイント・グループの管理

9.6.3 エンドポイント・グループ詳細の変更

エンドポイント・グループの作成後、エンドポイントおよびアクセス権のマッピングをエンドポイント・グループに追加できます。

1つのエンドポイントは複数のエンドポイント・グループに属することができます。1つのエンドポイント・グループを別のエンドポイント・グループに追加することはできません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを変更できます。
  2. 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. エンドポイント・グループに対応する「Details」列の編集の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。

    epg_details_pg.pngの説明が続きます
    図epg_details_pg.pngの説明

  4. エンドポイント名を必要に応じて変更します。
  5. 必要に応じて、説明を変更します。
  6. 「Add」または「Remove」をクリックして、ウォレットまたはエンドポイント・グループ・メンバーに対するアクセス権を追加または削除します。
  7. 「Save」をクリックします。

親トピック: エンドポイント・グループの管理

9.6.4 仮想ウォレットへのエンドポイント・グループ・アクセス権の付与

エンドポイント・グループに仮想ウォレットへのアクセス権を付与できます。

マルチマスター・クラスタでは、PENDING状態のエンドポイント・グループに仮想ウォレットへのアクセス権を付与することはできません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループに対応するウォレットへのエンドポイント・グループ・アクセス権を付与できます。
  2. 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。
  3. エンドポイント・グループに対応する「Details」列の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。
  4. 「Access to Wallets」ペインで、「Add」をクリックします。
  5. 使用可能リストから仮想ウォレットを選択します。
  6. 次のように、「Access Level」を選択します。
    • Read Only: このレベルでは、仮想ウォレットとその項目へのエンドポイント・グループ読取りアクセス権が付与されます。
    • Read and Modify: このレベルでは、仮想ウォレットとその項目へのエンドポイント・グループ読取りおよび書込みアクセス権が付与されます。
  7. エンドポイントで次の操作を実行する場合は、「Manage Wallet」チェック・ボックスを選択します。
    • 仮想ウォレットでのオブジェクトの追加または削除。
    • その他のエンドポイントまたはエンドポイント・グループに対する仮想ウォレットへのアクセス権の付与。
  8. 「Save」をクリックします。

関連項目

親トピック: エンドポイント・グループの管理

9.6.5 エンドポイント・グループへのエンドポイントの追加

名前付きエンドポイント・グループにエンドポイントを追加できます。

マルチマスター・クラスタでは、PENDING状態のエンドポイントをエンドポイント・グループに追加することはできません。また、PENDING状態のエンドポイント・グループにエンドポイントを追加することはできません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループにのみエンドポイントを追加できます。
  2. 「Endpoints」タブを選択します。
    「Endpoints」ページが表示されます。
  3. グループに追加するエンドポイントを選択します。
    「Endpoint Details」ページが表示されます。
  4. 「Endpoint Group Membership」「Add」をクリックします。

    「Add Endpoint Group Membership」ページが表示されます。

    図add_ep_epg.pngのadd_ep_epg.pngの説明が続きます
    説明

    エンドポイント・グループのリストが「Endpoint Group Name」の下に表示されます。

  5. エンドポイントを追加するエンドポイント・グループの左にあるボックスを選択します。
  6. 「Save」をクリックします。

    「Endpoint Group Membership」ペインに、選択されたエンドポイント・グループが表示されます。

    post_add_ep_epg.pngの説明が続きます
    図post_add_ep_epg.pngの説明

関連項目

親トピック: エンドポイント・グループの管理

9.6.6 エンドポイント・グループからのエンドポイントの削除

エンドポイント・グループからエンドポイントを削除すると、そのエンドポイント・グループに関連付けられているウォレットへのアクセス権が削除されます。

削除プロセスは、エンドポイントに対してウォレットへのアクセス権が別途、直接または別のエンドポイント・グループを介して付与されていないかぎり、削除を完了します。マルチマスター・クラスタでは、複数のエンドポイントを同時に削除できます。マルチマスター・クラスタでは、PENDING状態のエンドポイント・グループのエンドポイントを削除できません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループからのみエンドポイントを削除できます。
  2. 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. エンドポイント・グループに対応する「Details」列の横にある編集の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。
  4. 「Endpoint Group Members」ペインで、削除するエンドポイントの名前の左にあるボックスをチェックします。
  5. 「Remove」をクリックします。
  6. 確認のダイアログ・ボックスで、「OK」をクリックします。

親トピック: エンドポイント・グループの管理

9.6.7 エンドポイント・グループの削除

メンバー・エンドポイントで、同じ仮想ウォレットへのアクセス権が必要がなくなった場合、エンドポイント・グループを削除できます。

このアクションでは、エンドポイント自体ではなく、ウォレットに対するメンバー・エンドポイントの共有アクセス権が削除されます。PENDING状態のエンドポイント・グループを削除できるのは、グループにメンバーがないか、またはウォレットへのアクセス権がない場合のみです。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを削除できます。
  2. 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。
    「Endpoint Group」ページが表示されます。
  3. エンドポイント・グループ名の左にあるボックスを選択します。
  4. 「Delete」をクリックします。
  5. 確認のダイアログ・ボックスで、「OK」をクリックします。

親トピック: エンドポイント・グループの管理

9.7 エンドポイントのアップグレード

エンドポイント・アップグレードは、Oracle Key Vault管理コンソール・ログイン・ページまたはエンドポイントから実行できます。

親トピック: Oracle Key Vaultエンドポイントの管理

9.7.1 エンドポイントからのエンドポイント・ソフトウェアのアップグレード

エンドポイント・ソフトウェアは、Oracle Key Vault管理コンソール・ログイン・ウィンドウからアップグレードできます。

親トピック: エンドポイントのアップグレード

9.7.1.1 ステップ1: エンドポイント環境の準備

正しい権限があること、およびエンドポイントにOracle環境変数などの正しい構成があることを確認します。

これらのステップでは、以前のリリースのOracle Key Vaultでエンドポイントがすでにエンロールされていると仮定しています。
  1. エンドポイントにソフトウェアをインストールするために必要な管理権限があることを確認します。
  2. JDK 1.5以降がインストールされており、PATH環境変数にjava実行可能ファイル(JAVA_HOME/binディレクトリ内)が含まれていることを確認します。
    Oracle Key Vaultは、JDKバージョン1.5、1.6、7および8をサポートしています。
  3. シェル・ユーティリティのoraenvまたはsource oraenvコマンドを実行して、Oracle Databaseサーバーに正しい環境変数を設定します。
  4. 環境変数ORACLE_BASEおよびORACLE_HOMEが正しく設定されていることを確認します。
    oraenvを使用してこれらの変数を設定した場合は、ORACLE_BASEがOracle Databaseのルート・ディレクトリを指し、ORACLE_HOMEORACLE_BASEの下位のサブディレクトリ(Oracleデータベースのインストール先)を指していることを確認する必要があります。
9.7.1.2 ステップ2: エンドポイントへのOracle Key Vaultソフトウェアのダウンロード

okvclient.jarファイルをローカル・コンピュータにダウンロードします。

エンドポイントを再エンロールしなくても、エンドポイント・ソフトウェアをダウンロードできます。
  1. エンドポイント管理者としてエンドポイント・サーバーにログインします。
  2. Oracle Key Vault管理コンソールに接続します。
    次に例を示します。

    https://192.0.2.254

    Oracle Key Vault管理コンソールへのログイン・ページが表示されます。ログインしないでください。

  3. ログイン・ページの右下隅にある「Login」で、「Endpoint Enrollment and Software Download」をクリックします。

    「Enroll Endpoint & Download Software」ページが表示されます。

    ep_sw_download_page.pngの説明が続きます
    図ep_sw_download_page.pngの説明
  4. ページの上部で、「Download Endpoint Software Only」タブをクリックします。
  5. 「Download Endpoint Software Only」ページで、「Platform」ドロップダウン・メニューからエンドポイント・プラットフォームを選択し、「Download Endpoint Software Only」をクリックします。
  6. okvclient.jarファイルを任意の場所に保存します。
9.7.1.3 ステップ3: エンドポイントへのOracle Key Vaultソフトウェアのインストール

Oracle Key Vaultソフトウェアをエンドポイントにインストールするには、エンドポイント管理者である必要があります。

  1. エンドポイント管理者としてエンドポイント・サーバーにログインしていることを確認します。
  2. okvclient.jarファイルを保存したディレクトリに移動します。
  3. ターゲット・ディレクトリが存在し、空であることを確認してください。
  4. javaコマンドを実行して、okvclient.jarファイルをインストールします。
    java -jar okvclient.jar -d /home/oracle/okvutil -v

    このように指定した場合:

    • -dは、エンドポイント・ソフトウェアと構成ファイルのディレクトリの場所(この例では/home/oracle/okvutil)を指定します。

    • -vを指定すると、サーバー・エンドポイントの/home/oracle/okvutil/log/okvutil.deploy.logファイルにインストール・ログが書き込まれます。

    -oは、okvclient.jarが元のディレクトリ以外のディレクトリにデプロイされている場合に、okvclient.oraへのシンボリック・リンク参照を上書きできるようにするオプションの引数です。この引数は、エンドポイントを再エンロールする場合にのみ使用されます。

    Oracle Databaseリリース11.2.0.4のみのWindowsエンドポイント・システムにokvclient.jarファイルをインストールする場合は、-db112オプションを指定します。(このオプションは、他の組合せのエンドポイントのプラットフォームまたはOracle Databaseバージョンでは必要ありません。)次に例を示します。 

    java -jar okvclient.jar -d /home/oracle/okvutil -v -db112
  5. パスワードの入力を求められたら、次の2つのステップのいずれかを実行します。
    オプション・パスワードは、okvutilADMINISTER KEY MANAGEMENTの2つの場所に設定します。okvutilに指定すると、そのパスワードを知っているユーザーのみがOracle Key Vaultに対してコンテンツをアップロードまたはダウンロードできます。ADMINISTER KEY MANAGEMENTに指定すると、IDENTIFIED BY password句でそのパスワードを使用する必要があります。パスワードを指定しないと、okvutil uploadおよびdownloadコマンドでパスワードの入力が求められず、ADMINISTER KEY MANAGEMENTのパスワードはNULLになります。NULLは自動ログイン・ウォレットに使用されます。
    パスワードを処理するための選択肢は次のとおりです。
    • パスワード保護されたウォレットを作成する場合は、少なくとも8文字から30文字のパスワードを入力して[Enter]を押します。セキュリティを向上させるために、大文字、小文字、特殊文字および数字をパスワードに含めることをお薦めします。次の特殊文字を使用できます: ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、スペース。
      Enter new Key Vault endpoint password (<enter> for auto-login): Key_Vault_endpoint_password
Confirm new endpoint password: Key_Vault_endpoint_password

      パスワード保護ウォレットは、エンドポイントがOracle Key Vaultにアクセスするために使用する資格証明を格納したOracle Walletファイルです。エンドポイントがOracle Key Vaultに接続するときには、このパスワードが常に必要です。

    • または、パスワードを入力せずに、[Enter]を押します。

      エンドポイントからOracle Key Vaultにokvutilで接続するときにパスワードを指定する必要がなくなります。ADMINISTER KEY MANAGEMENT文のパスワードはNULLになります。

    エンドポイント・ソフトウェアが正常にインストールされると、次のディレクトリが作成されます。

    • bin: okvutilプログラム、root.shroot.batというスクリプト、okveps.x64okveps.x86というバイナリ・ファイルが含まれています。

    • conf: 構成ファイルokvclient.oraが含まれています。

    • jlib: Javaライブラリ・ファイルが含まれています。

    • lib: ファイルliborapkcs.soが含まれています。

    • log: ログ・ファイルが含まれています。

    • ssl: TLS関連のファイルおよびウォレット・ファイルが含まれています。ウォレット・ファイルには、Oracle Key Vaultへの接続に使用されるエンドポイント資格証明が含まれています。

      ewallet.p12ファイルはパスワード保護ウォレットを表します。cwallet.ssoファイルは自動ログイン・ウォレットを表します。

9.7.1.4 ステップ4: インストール後タスクの実行

インストールの完了後、エンドポイントのTDE接続を構成し、エンドポイント・ソフトウェアが正しくインストールされたことを確認できます。

  1. オプションで、エンドポイントに対してTDE接続を構成します。
    UNIXプラットフォームのliborapkcs.soファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。Windowsプラットフォームのliborapkcs.dllファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。
    • Oracle Linux x86-64、Solaris、AIXおよびHP-UX (IA)のインストールの場合: rootとしてログインし、次のいずれかのコマンドを実行します。 
      $ sudo bin/root.sh

      または

      $ su -
# bin/root.sh

      このコマンドにより、ディレクトリ・ツリー/opt/oracle/extapi/64/hsm/oracle/1.0.0が作成され、所有権および権限が変更されて、PKCS#11ライブラリがこのディレクトリにコピーされます。

    • Windowsインストールの場合: 次のコマンドを実行します。
      bin\root.bat

      このコマンドは、liborapkcs.dllファイルをC:\oracle\extapi\64\hsm\oracle\1.0.0ディレクトリにコピーします。

  2. nameils -lなどのコマンドを使用して、インストール・ターゲット・ディレクトリの/confサブディレクトリに実在するファイルを指すソフト・リンクが$ORACLE_BASE/okv/$ORACLE_SID/okvclient.oraに作成されたことを確認します。
    ORACLE_BASE環境変数が設定されていない場合は、$ORACLE_HOME/okv/$ORACLE_SIDにソフトリンクが作成されています。
  3. okvutil listコマンドを実行して、エンドポイント・ソフトウェアが正しくインストールされ、エンドポイントからOracle Key Vaultサーバーに接続できることを確認します。 
    $ ./okvutil list
    エンドポイントからKey Vaultに接続できる場合は、「No objects found」というメッセージが表示されます。「Server connect failed」というメッセージが表示された場合は、インストールで問題が発生していないかどうかトラブルシューティングする必要があります。環境変数が正しく設定されていることを確認します。エンドポイント・ソフトウェアに関するヘルプを取得するには、次のコマンドを実行します。 
    java -jar okvclient.jar -h

    出力は、次のようになります。

    Production on Fri Apr 12 15:03:01 PDT 2019
Copyright (c) 1996, 2019 Oracle. All Rights Reserved.
Usage:
  java -jar okvclient.jar [-h | -help] [[-v | -verbose] [-d <destination directory>] [-o]]

Options:
  -h or -help : Display command help.
  -v or -verbose : Turn on the verbose mode. Logs will be written to files under
                   <destination directory>/log/ directory.
  -d <destination directory> : Specify the software installation directory.
  -o : Overwrite the current symbolic link to okvclient.ora.
  4. インストールの完了後に、okvclient.jarエンドポイント・ソフトウェア・ファイルを安全に削除します。

9.7.2 エンロール済エンドポイント上のエンドポイント・ソフトウェアのアップグレード

Oracle Key Vaultの新しいリリースにアップグレードした場合は常に、エンロールされたエンドポイントのエンドポイント・ソフトウェアをアップグレードする必要があります。

これにより、Oracle Key Vaultサーバーとエンドポイントの両方に最新のソフトウェアがインストールされていることが保証されます。パフォーマンスを最適化するために、これをお薦めします。Oracle Key Vaultサーバーは、以前のメジャー・リリースのエンドポイント・ソフトウェアと連携できますが、それより古いエンドポイント・ソフトウェアとは正しく連携できない場合があります。エンロール済エンドポイント上のソフトウェアをアップグレードするには、ソフトウェアokvclient.jarをエンドポイントにダウンロードしてインストールできます。エンドポイントを再エンロールする必要はありません。
  1. エンドポイント管理者としてエンドポイント・サーバーにログインします。
  2. Oracle Key Vault管理コンソールに接続します。

    次に例を示します。

    https://192.0.2.254

    Oracle Key Vault管理コンソールへのログイン・ページが表示されます。ログインしないでください


    ep_enroll_sw_dwnload.pngの説明が続きます
    図ep_enroll_sw_dwnload.pngの説明

  3. ログイン画面の右下隅にある「Login」で、「Endpoint Enrollment and Software Download」をクリックします。
  4. 「Enroll Endpoint & Download Software」ページで、「Download Endpoint Software Only」をクリックします。
    「Download Endpoint Software Only」ページが表示されます。

    download-endpoint-software-only.pngの説明が続きます
    図download-endpoint-software-only.pngの説明

  5. ドロップダウン・リストから「Platform」を選択し、「Download」をクリックします。
    ディレクトリ・ウィンドウが表示され、エンドポイント・ソフトウェア・ファイルokvclient.jarを保存するよう求められます。ファイルの保存先フォルダにナビゲートします。
  6. 適切なディレクトリにファイルを保存します。
  7. ファイルがダウンロードされていることを確認します。
これらのステップを完了した後、エンロール解除されたエンドポイントに使用できるのと同じステップを使用して、エンドポイントにOracle Key Vaultソフトウェアをインストールできます。既存のエンドポイント・ディレクトリのjarファイルを解凍することをお薦めします。そうしないと、エンドポイントのアップグレード・ソフトウェアが機能しません。次に例を示します。 
java -jar /path/to/okvclient.jar -d /path/to/existing/ep/files -v

関連項目

親トピック: エンドポイントのアップグレード