機械翻訳について

外部デバイスでの暗号化キーの管理

データベース暗号化キーを格納および管理する方法について学習します。

Exadata Cloud@Customerで自律型データベースのデータベース暗号化キーを格納および管理するには、次の2つの方法があります:

1. Exadata InfrastructureのゲストVMで。
2. 外部キー管理デバイス上。 Oracle Key Vaultは、現在サポートされているデバイスです。

• 「Oracle Key Vaultについて」
  Oracle Key Vaultは、エンタープライズ内のキーおよびセキュリティ・オブジェクトの管理を一元化するために構築された、フル・スタックのセキュリティ強化されたソフトウェア・アプライアンスです。
• 「キーストアの概要」
  オンプレミスのOracle Key Vault (OKV)を顧客管理データベース・クラウド・サービスと統合し、クリティカル・データをオンプレミスに保護します。
• 「Oracle Exadata Database Service on Cloud@CustomerでOKVを管理するために必要なIAMポリシー」
  Oracle Exadata Database Service on Cloud@CustomerシステムでOKVを管理するためのアイデンティティ・アクセス管理(IAM)ポリシーを確認します。
• 「リソースのタグ付け」
  リソースにタグを適用すると、ビジネス・ニーズに応じたリソースの編成に役立ちます。
• 「別のコンパートメントへのリソースの移動」
  OKV Vault、シークレットおよびキーストア・リソースは、コンパートメント間で移動できます。
• 「Oracle Key Vaultと連携するためのOracle Exadata Database Service on Cloud@Customerの設定」
  
• 「キー・ストアの管理」
  

Oracle Key Vaultについて

Oracle Key Vaultは、エンタープライズ内のキーおよびセキュリティ・オブジェクトの管理を一元化するために構築された、フル・スタックのセキュリティ強化されたソフトウェア・アプライアンスです。

ノート:

Oracle Key Vaultは、顧客がプロビジョニングおよび管理するシステムであり、Oracle Cloud Infrastructure管理サービスの一部ではありません。

キーストアの概要

オンプレミスのOracle Key Vault (OKV)を顧客管理データベース・クラウド・サービスと統合し、クリティカル・データをオンプレミスに保護します。

Oracle Key Vaultの統合により、暗号化キーを完全に制御し、外部の一元化されたキー管理デバイスに安全に格納できます。

OKVは、Oracleウォレット、JavaキーストアおよびOracle Advanced Security Transparent Data Encryption (TDE)マスター・キー用に最適化されています。 Oracle Key Vaultでは、OASIS KMIP標準がサポートされています。 このフルスタックの、セキュリティが強化されたソフトウェア・アプライアンスは、セキュリティ、可用性およびスケーラビリティのためにOracle LinuxとOracle Databaseのテクノロジを使用しており、互換性のあるハードウェアのうちご希望のものにデプロイできます。

OKVには、クライアントがエンドポイントを自動エン・ロールし、ウォレットおよびキーを設定するためのRESTインタフェースも用意されています。 Exadata Cloud@Customer上のAutonomous DatabasesがOKV RESTインタフェースに接続するには、OKVのIPアドレスおよび管理者資格証明を格納するためのキー・ストアをテナンシに作成します。 Exadata Cloud@Customerは、OKVアプライアンスへの接続に必要なOKV RESTユーザー管理者パスワードをパスワードで保護されたウォレット・ファイルに一時的に格納し、顧客VMで実行されているソフトウェアがOKVサーバーに接続できるようにします。 TDEキーをOKVに移行した後、クラウド自動化ソフトウェアはウォレット・ファイルからパスワードを削除します。 Oracle Vault Serviceを使用してシークレットを作成していることを確認します。これには、キー管理のために自律型データベースがOKVに接続するために必要なパスワードが格納されます。

詳細は、「Oracle Key Vault」を参照してください。

Oracle Exadata Database Service on Cloud@CustomerでOKVを管理するために必要なIAMポリシー

Oracle Exadata Database Service on Cloud@CustomerシステムでOKVを管理するためのアイデンティティ・アクセス管理(IAM)ポリシーを確認します。

「ポリシー」は、リソースへのアクセス権のタイプを指定するIAM文書です。 様々な方法で使用されます: これは、ポリシー言語で記述された個々の文を意味し、単一の名前付きポリシー・ドキュメント(Oracle Cloud ID (OCID)が割り当てられている)内の文のコレクションを意味し、組織がリソースへのアクセスを制御するために使用するポリシーの本文を意味します。

「コンパートメント」は、組織の管理者によって権限が付与された特定のグループのみがアクセスできる関連リソースのコレクションです。

Oracle Cloud Infrastructureを使用するには、管理者が記述したポリシーで、コンソール、ソフトウェア開発キット(SDK)、コマンドライン・インタフェース(CLI)またはその他のツールを使用したREST APIのいずれを使用しているかにかかわらず、必要なアクセスのタイプを付与されている必要があります。 アクションを実行しようとしたときに、権限がないメッセージまたは権限がないメッセージを受信した場合は、付与されているアクセス権のタイプおよび作業するコンパートメントを管理者に確認してください。

管理者向け: 「データベース管理者によるDBシステムの管理」のポリシーにより、指定したグループはデータベースおよび関連するデータベース・リソースに対してすべてのことを実行できます。

ポリシーを初めて使用する場合は、「ポリシーの開始」および「共通ポリシー」を参照してください。 データベースのポリシーの書込みをより深くする場合は、「データベース・サービスの詳細」を参照してください。

リソースのタグ付け

リソースにタグを適用すると、ビジネス・ニーズに応じたリソースの編成に役立ちます。

リソースの作成時にタグを適用することも、後で必要なタグでリソースを更新することもできます。 タグの適用に関する一般情報は、「リソース・タグ」を参照してください。

別のコンパートメントへのリソースの移動

OKV Vault、シークレットおよびキーストア・リソースは、コンパートメント間で移動できます。

OCIリソースを新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、リソースへのアクセスに影響します。 OKV Vaultリソースを移動しても、OKV Vaultに含まれるOKV VaultキーまたはOKV Vaultシークレットへのアクセスには影響しません。 OKV VaultキーまたはOKV Vaultシークレットは、関連付けられているOKV Vaultの移動とは無関係に、あるコンパートメントから別のコンパートメントに移動できます。 詳細は、「コンパートメントの管理」」を参照してください。

Oracle Key Vaultと連携するためのOracle Exadata Database Service on Cloud@Customerの設定

前提条件

1. OKVが設定されており、そのネットワークがExadataクライアント・ネットワークからアクセス可能であることを確認します。 OKVクライアント・ソフトウェアおよびOracleデータベース・インスタンスがOKVサーバーにアクセスできるように、クライアント・ネットワーク上のエグレス用にポート443、5695および5696を開きます。
2. OKVユーザー・インタフェースからRESTインタフェースが有効になっていることを確認します。
3. 「OKV REST Administrator」ユーザーを作成します。

   「okv_rest_user」など、任意の修飾ユーザー名を使用できます。 ADB-C@CおよびExaDB-C@Cの場合は、同じまたは異なるRESTユーザーを使用します。 これらのデータベースは、同じまたは異なるオンプレミスOKVクラスタでキー管理できます。 ExaDB-C@Cには、create endpoint権限を持つRESTユーザーが必要です。 ADB-C@Cには、create endpointおよびcreate endpoint group権限を持つRESTユーザーが必要です。

4. OKVに接続するために必要なOKV管理者資格証明とIPアドレスを収集します。

詳細は、「ネットワーク・ポートの要件」、「Oracle Key Vaultユーザーの管理」および「管理ロールおよびユーザー権限の管理」を参照してください

• 「ステップ1: OKV Vault ServiceでのVaultの作成、OKV REST管理者パスワードを格納するためのVaultへのシークレットの追加」
  
• 「ステップ2: OKV Vaultでキー・ストアがシークレットにアクセスするための動的グループおよびポリシー・ステートメントの作成」
  
• 「ステップ3: Exadata Infrastructureからキーストアへの動的グループおよびポリシー・ステートメントの作成」
  
• 「ステップ4: OKV Vaultサービスからシークレットを使用するためのデータベース・サービスのポリシー・ステートメントの作成」
  
• 「ステップ5: キー・ストアの作成」
  

ステップ1: OKV Vault ServiceでのVaultの作成、OKV REST管理者パスワードを格納するためのVaultへのシークレットの追加

Exadata Cloud@Customerインフラストラクチャは、Oracle Databaseを登録してOKVでウォレットをリクエストするためにOracle Databaseがプロビジョニングされるたびに、RESTを介してOKVと通信します。 そのため、Exadataインフラストラクチャは、OKVサーバーに登録するためにREST管理者資格証明にアクセスする必要があります。

これらの資格証明は、OCIのOracle Vault Serviceにシークレットとして安全に格納され、Exadata Cloud@Customerインフラストラクチャから必要な場合にのみアクセスされます。 必要に応じて、資格証明はパスワードで保護されたウォレット・ファイルに格納されます。

OKV VaultサービスにOKV管理者パスワードを格納するには、「ボールトの管理」で説明されている手順に従ってボールトを作成し、「シークレットの管理」で説明されている手順に従ってそのボールトにシークレットを作成します。

ステップ2: OKV Vaultでキー・ストアがシークレットにアクセスするための動的グループおよびポリシー・ステートメントの作成

OKV Vaultのシークレットにアクセスする権限をキー・ストア・リソースに付与するには、これらのリソースを識別するIAM動的グループを作成し、OKVボールトおよびシークレットで作成したシークレットへのこの動的グループ・アクセス権を付与するIAMポリシーを作成します。

動的グループを定義する場合、キー・ストアを含むコンパートメントのOCIDを指定して、キー・ストア・リソースを識別します。

1. キー・ストア・リソースを含むコンパートメントのOCIDをコピーします。

   このOCIDは、コンパートメントの「コンパートメント詳細」ページにあります。

2. Oracle Cloud Infrastructureドキュメントの動的グループを作成する手順に従って、動的グループを作成します。 次の手順に従う場合は、この書式の一致ルールを入力します:

   ALL {resource.compartment.id ='<compartment-ocid>'}

   ここで、<compartment-ocid>は、キー・ストア・リソースを含むコンパートメントのOCIDです。

3. 動的グループを作成した後、ボールトおよびシークレットを含むコンパートメントより上位のコンパートメント階層のIAMポリシーに移動(または作成)します。 次に、次の形式のポリシー・ステートメントを追加します:

   allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>

   ここで、<dynamic-group>は作成した動的グループの名前で、<vaults-and-secrets-compartment>はボールトおよびシークレットを作成したコンパートメントの名前です。

ステップ3: Exadata Infrastructureからキーストアへの動的グループおよびポリシー・ステートメントの作成

Exadataインフラストラクチャ・リソースにキー・ストアにアクセスする権限を付与するには、これらのリソースを識別するIAM動的グループを作成し、作成したキー・ストアへのアクセス権をこの動的グループに付与するIAMポリシーを作成します。

動的グループを定義する場合、Exadataインフラストラクチャを含むコンパートメントのOCIDを指定して、Exadataインフラストラクチャ・リソースを識別します。

1. Exadataインフラストラクチャ・リソースを含むコンパートメントのOCIDをコピーします。
   このOCIDは、コンパートメントの「コンパートメント詳細」ページにあります。
2. Oracle Cloud Infrastructureドキュメントの動的グループを作成する手順に従って、動的グループを作成します。 次の手順に従う場合は、この書式の一致ルールを入力します:

   ALL {resource.compartment.id ='<compartment-ocid>'}

   ここで、<compartment-ocid>は、Exadataインフラストラクチャ・リソースを含むコンパートメントのOCIDです。

3. 動的グループを作成した後、コンパートメント階層内で、キー・ストアを含むコンパートメントより上位のコンパートメントにあるIAMポリシーに移動(または作成)します。 次に、次の形式のポリシー・ステートメントを追加します:

   Allow dynamic-group <dynamic-group> to use keystores in compartment <key-store-compartment>

   ここで、<dynamic-group>は作成した動的グループの名前で、<key-store-compartment>はキー・ストアを作成したコンパートメントの名前です。

ステップ4: OKV Vaultサービスからシークレットを使用するためのデータベース・サービスのポリシー・ステートメントの作成

OKV Vaultのシークレットを使用してOKV RESTインタフェースにログインする権限をExadata Databaseサービスに付与するには、OKVボールトおよびシークレットを含むコンパートメントよりも上位のコンパートメントのIAMポリシーに移動(または作成)します。 次に、次の形式のポリシー・ステートメントを追加します:

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

<vaults-and-secrets-compartment>は、OKVボールトおよびシークレットを作成したコンパートメントの名前です。

OKV Vaultが設定され、IAM構成が配置されると、Oracle Key Vaultのキー・ストアをOCIにデプロイし、それをExadata Cloud@Customer VMクラスタに関連付ける準備が整います。

ステップ5: キー・ストアの作成

次のステップに従って、Oracle Key Vault (OKV)などのオンプレミス暗号化キー・アプライアンスに接続するためのキー・ストアを作成します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseの下で、Exadata Database Service on Cloud@Customerをクリックします。
2. コンパートメントを選択します。
3. 「キーストア」をクリックします。

   「キーストア」ページには、キー・ストアの名前、各データベースに関連付けられたデータベースの数、および各キー・ストアが作成された日付のリストが表示されます。

4. 「キー・ストアの作成」をクリックします。
5. キー・ストアの作成ダイアログで、次の一般情報を入力します:
   • キーストアに名前を付けます: キー・ストア・リソースの識別を容易にするわかりやすい説明またはその他の情報。 機密情報の入力は避けてください。
   • Oracle Key Vault接続設定
     • 接続IPアドレス: 少なくとも1つのOKVクラスタ・ノードのIPアドレスを入力します。同じOKVクラスタの複数のコンマ区切りのIPアドレスを使用できます(例: 193.10.20.1、193.10.20.2)。
     • 管理者ユーザー名: okv_rest_userのユーザー名を入力します。
     • 管理者パスワード・シークレット: 管理者パスワードは、OCI内のシークレット管理サービスとともに格納されます。 テナンシで、シークレットとして格納されたokv_rest_userパスワードを含むOKV Vaultを選択します。
   • タグ: オプションで、タグを適用できます。 リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限もあります。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、「リソース・タグ」を参照してください。 タグを適用するかどうか不明な場合は、このオプションをスキップする(タグを後から適用できます)か、管理者に問い合せてください。 機密情報の入力は避けてください。
6. 「キー・ストアの作成」をクリックします。
7. Autonomous Databaseのプロビジョニング中に、同じ" okv_rest_user "ユーザー資格証明を使用していることを確認してください。

   詳細は、「ボールトの管理」、「キーの管理」および「シークレットの管理」を参照してください。

キー・ストアの管理

• 「キー・ストア詳細の表示」
  Oracle Key Vault (OKV)接続の詳細および関連付けられたデータベースのリストを含むキー・ストアの詳細を表示するには、次のステップに従います。
• 「キー・ストア詳細の編集」
  キーストアは、どのCDBにも関連付けられていない場合にのみ編集できます。
• 「別のコンパートメントへのキー・ストアの移動」
  Oracle Exadata Database Service on Cloud@Customerシステムのキー・ストアをコンパートメント間で移動するには、次のステップに従います。
• 「キー・ストアの削除」
  キーストアは、どのCDBにも関連付けられていない場合にのみ削除できます。
• 「キー・ストアに関連付けられたコンテナ・データベースの詳細の表示」
  キー・ストアに関連付けられたコンテナ・データベースの詳細を表示するには、次のステップを実行します。
• 「APIを使用したキー・ストアの管理」
  APIを使用してキー・ストアを管理する方法について学習します。

キー・ストア詳細の表示

Oracle Key Vault (OKV)接続の詳細および関連付けられたデータベースのリストを含むキー・ストアの詳細を表示するには、次のステップに従います。

1. ナビゲーション・メニューを開きます。 Oracle Databaseの下で、Exadata Database Service on Cloud@Customerをクリックします。
2. コンパートメントを選択します。
3. 「キーストア」をクリックします。

   「キーストア」ページには、キー・ストアのリスト名、各データベースに関連付けられているデータベースの数、および各キー・ストアが作成された日付が表示されます。

4. 「キー・ストア」の名前をクリックするか、「処理」アイコン(3ドット)をクリックして、「詳細を見る」をクリックします。
5. 「管理者パスワード・シークレット」フィールドのリンクをクリックして、シークレットの詳細を表示します。

   「関連データベース」セクションには、このキー・ストアに関連付けられたCDBのリストが表示されます。

キー・ストア詳細の編集

キーストアは、どのCDBにも関連付けられていない場合にのみ編集できます。

1. ナビゲーション・メニューを開きます。 Oracle Databaseの下で、Exadata Database Service on Cloud@Customerをクリックします。
2. コンパートメントを選択します。
3. 「キーストア」をクリックします。
4. 「キー・ストア」の名前をクリックするか、「処理」アイコン(3ドット)をクリックして、「詳細を見る」をクリックします。
5. 「キー・ストア詳細」ページで、「編集」をクリックします。
6. 「キー・ストアの編集」ページで、必要に応じて変更を行い、「変更内容を保存」をクリックします。

キー・ストアの別のコンパートメントへの移動

Oracle Exadata Database Service on Cloud@Customerシステムのキー・ストアをコンパートメント間で移動するには、次のステップに従います。

1. ナビゲーション・メニューを開きます。 Oracle Databaseの下で、Exadata Database Service on Cloud@Customerをクリックします。
2. コンパートメントを選択します。
3. 「キーストア」をクリックします。
4. 「キー・ストア」の名前をクリックするか、「処理」アイコン(3ドット)をクリックして、「詳細を見る」をクリックします。
5. 「キー・ストア詳細」ページで、「リソースの移動」をクリックします。
6. 「別のコンパートメントへのリソースの移動」ページで、新しいコンパートメントを選択します。
7. 「リソースの移動」をクリックします。

キー・ストアの削除

キーストアは、どのCDBにも関連付けられていない場合にのみ削除できます。

1. ナビゲーション・メニューを開きます。 Oracle Databaseの下で、Exadata Database Service on Cloud@Customerをクリックします。
2. コンパートメントを選択します。
3. 「キーストア」をクリックします。
4. 「キー・ストア」の名前をクリックするか、「処理」アイコン(3ドット)をクリックして、「詳細を見る」をクリックします。
5. 「キー・ストア詳細」ページで、「削除」をクリックします。
6. 「キー・ストアの削除」ダイアログで「削除」をクリックします。

キー・ストアに関連付けられたコンテナ・データベースの詳細の表示

キー・ストアに関連付けられたコンテナ・データベースの詳細を表示するには、次のステップを実行します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseの下で、Exadata Database Service on Cloud@Customerをクリックします。
2. コンパートメントを選択します。
3. 「キーストア」をクリックします。
4. 表示された「キーストア」ページで、キー・ストアの名前をクリックするか、アクション・アイコン(3つのドット)をクリックして、「詳細を見る」をクリックします。
5. 関連付けられたデータベースの名前をクリックするか、「処理」アイコン(3ドット)をクリックして、「詳細を見る」をクリックします。

APIを使用したキー・ストアの管理

APIを使用してキー・ストアを管理する方法について学習します。

APIの使用およびリクエストの署名の詳細は、「REST API」および「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットおよびコマンドライン・インタフェース」を参照してください。

次の表に、キー・ストアを管理するためのREST APIエンドポイントを示します。

操作	REST APIエンドポイント
OKVキーストアの作成	CreateKeyStore
OKVキー・ストアの表示	GetKeyStore
OKVキー・ストアの更新	UpdateKeyStore
OKVキー・ストアの削除	DeleteKeyStore
キー・ストア・コンパートメントの変更	ChangeKeyStoreCompartment
顧客管理暗号化とOracle管理暗号化のいずれかを選択	CreateDatabase
キー・ストア(OKVまたはOracle管理)およびOKVウォレット名の取得	GetDatabase
キー・ストア・タイプの変更	changeKeyStoreType
OKVおよびOracle管理キーのローテーション	RotateVaultKey