1. 管理者ガイド
  2. Oracle Key Vaultエンドポイントの管理

12 Oracle Key Vaultエンドポイントの管理

Oracle Key Vaultのエンドポイントは、データベース・サーバーまたはアプリケーション・サーバーなどのコンピュータ・システムであり、ここではキーおよび資格証明を使用してデータにアクセスします。

12.1 エンドポイントの管理の概要

スタンドアロン環境とマルチマスター・クラスタの両方でエンドポイントを管理する方法はほとんど同じですが、マルチマスター・クラスタにはより多くの制限がある点が異なります。

親トピック: Oracle Key Vaultエンドポイントの管理

12.1.1 エンドポイントの管理について

Oracle Key Vaultと通信するには、エンドポイントを登録してエンロールする必要があります。

その後、エンドポイント内のキーをOracle Key Vaultにアップロードして他のエンドポイントと共有し、ユーザーがデータにアクセスできるようにこれらのエンドポイントからキーをダウンロードできます。システム管理者ロールまたはエンドポイント作成権限を持つユーザーのみがOracle Key Vaultにエンドポイントを追加できます。エンドポイントを追加した後、エンドポイント管理者は、エンドポイントでエンドポイント・ソフトウェアをダウンロードしてインストールすることによって、エンドポイントをエンロールできます。その後、エンドポイントでは、エンドポイント・ソフトウェアとともにパッケージ化されたユーティリティを使用して、Oracle Key Vaultとの間でセキュリティ・オブジェクトをアップロードおよびダウンロードできます。

すべてのユーザーが仮想ウォレットを作成できますが、キー管理者ロールを持つユーザーのみが、仮想ウォレット内にあるセキュリティ・オブジェクトへのエンドポイント・アクセス権を付与できます。キー管理者ユーザーは、エンドポイントの任意のウォレットへのアクセス権を付与できます。キー管理者ロールまたはエンドポイント・グループ作成権限を持つユーザーは、仮想ウォレットへの共有アクセスを有効にするエンドポイント・グループも作成できます。ウォレットに対するウォレット管理権限を持つユーザー(エンドポイントを作成したユーザーを含む)は、そのウォレットへのアクセス権をエンドポイントに付与できます。仮想ウォレットへのエンドポイント・グループ・アクセス権を付与すると、すべてのメンバー・エンドポイントがその仮想ウォレットへのアクセス権を持ちます。たとえば、Oracle Real Application Clusters (Oracle RAC)データベースのすべてのノードをエンドポイント・グループに入れることによって、仮想ウォレットへのアクセス権をそれらのノードに付与できます。これにより、仮想ウォレットへのアクセス権を各ノードに付与するステップを省略できます。

大規模なデプロイメントがある場合は、少なくとも4つのOracle Key Vaultサーバーをインストールし、エンドポイントをエンロールするときにこれら4つのサーバー間でバランスをとり高可用性を確保します。たとえば、データ・センターに登録するデータベース・エンドポイントが1000個あり、それらに対応するためのOracle Key Vaultの4つのサーバーがある場合、4つのサーバーそれぞれに250個のエンドポイントをエンロールします。

エンドポイントに名前を付ける際は、Oracle Key Vaultユーザー名をOracle Key Vaultエンドポイント名と同じにすることはできません。

エンドポイントに関連する管理ロールと権限は次のとおりです。

  • エンドポイントの作成: システム管理者ロールを持つユーザーは、Oracle Key Vaultシステムの任意の場所でエンドポイントを作成できます。エンドポイント作成権限を持つユーザーは、自分のエンドポイントを作成できます。
  • エンドポイントの管理: システム管理者ロールを持つユーザーは、Oracle Key Vaultシステムの任意の場所でエンドポイントを管理できます。エンドポイント管理権限を持つユーザーは、自分のエンドポイントを管理できます。これには、ユーザーに明示的にエンドポイント管理権限が付与されたエンドポイントまたはユーザーが作成して引き続きエンドポイント管理権限を持つエンドポイントが含まれます。この管理には、次の職務が含まれます。
    • エンドポイント・メタデータ(名前、タイプ、プラットフォーム、説明、電子メール通知など)の管理
    • エンドポイント・ライフサイクル(エンドポイントのエンロール、一時停止、再エンロールおよび削除で構成される)の管理
  • エンドポイント・グループの作成: システム管理者ロールを持つユーザーは、Oracle Key Vaultシステムの任意の場所でエンドポイント・グループを作成できます。エンドポイント・グループ作成権限を持つユーザーは、自分のエンドポイント・グループを作成できます。
  • エンドポイント・グループの管理: システム管理者ロールを持つユーザーは、Oracle Key Vaultシステムの任意の場所でエンドポイント・グループを管理できます。エンドポイント・グループ管理権限を持つユーザーは、自分のエンドポイント・グループを管理できます。ユーザーが管理できるエンドポイント・グループには、ユーザーにエンドポイント・グループ管理権限が明示的に付与されているエンドポイント・グループ、またはユーザーが作成して引き続きエンドポイント・グループ管理権限が付与されているエンドポイント・グループが含まれます。この管理には、次の職務が含まれます。
    • エンドポイント・グループ・ライフサイクル(エンドポイント・グループの作成、変更および削除で構成される)の管理
    • セキュリティ・オブジェクトのライフサイクル(セキュリティ・オブジェクトの作成、変更および削除で構成され)の管理

関連項目

親トピック: エンドポイントの管理の概要

12.1.2 マルチマスター・クラスタによるエンドポイントへの影響

マルチマスター・クラスタによるエンドポイントへの影響については、エンドポイントの接続方法と制限の両方に注意してください。

マルチマスター構成では、エンドポイントがOracle Key Vaultに接続すると、次の処理が実行されます。

  • 最初に、サーバーIPのリストを構成ファイル(okvclient.ora)から取得します。
  • 次に、エンドポイントと同じクラスタ・サブグループ内から優先的にランダムに1つ取得します。

マルチマスター・クラスタでのエンドポイントの動作方法に関する次の制限事項に注意してください。

  • エンドポイントは、最後に作成または再エンロールされたノードと同じノードからのみエンロールできます。
  • 1つまたは両方(ウォレットとエンドポイント)がPENDING状態にあり、その割当てが非作成者ノードから試行されている場合、デフォルト・ウォレットをエンドポイントに割り当てることはできません。エンドポイントとウォレットの両方がACTIVE状態になると、この制限は終了します。

親トピック: エンドポイントの管理の概要

12.2 エンドポイントの管理

エンドポイントをエンロール、再エンロール、一時停止および削除できます。

親トピック: Oracle Key Vaultエンドポイントの管理

12.2.1 エンドポイント・エンロールのタイプ

エンドポイントをエンロールする最初のステップは、エンドポイントをOracle Key Vaultに追加することです。

エンドポイントを追加する(登録するともいう)には、次の2つの方法があります。

  • 管理者が開始

    システム管理者ロールを持つOracle Key Vaultユーザーが、Oracle Key Vaultにエンドポイントを追加することによって、Oracle Key Vault側からエンロールを開始します。エンドポイントが追加されると、1回限りのエンロール・トークンが生成されます。このトークンは、次の2つの方法でエンドポイント管理者に送信できます。

    • 電子メールによってOracle Key Vaultから直接。電子メール通知を使用するには、電子メール設定でSMTPを構成する必要があります。
    • 電子メールまたは電話などのバンド外の方式。

    エンドポイント管理者は、エンロール・トークンを使用してエンドポイント・ソフトウェアをダウンロードし、エンドポイント側でエンロール・プロセスを完了します。マルチマスター・クラスタでは、エンドポイントの追加に使用された同じノードを使用して、エンドポイントをエンロールする必要があります。

    エンドポイントのエンロールに使用したエンロール・トークンを別のエンロールに再度使用することはできません。エンドポイントを再エンロールする必要がある場合は、再エンロール・プロセスで、この目的のために新しい1回限りのエンロール・トークンを生成します。

  • 自己エンロール

    人による管理操作なしで、特定の時間中にエンドポイントがそれ自体をエンロールできます。エンドポイント自己エンロールは、エンドポイント間でセキュリティ・オブジェクトを共有せず、主にOracle Key Vaultを使用してそれ自体のセキュリティ・オブジェクトを保存およびリストアする場合に役立ちます。エンドポイント自己エンロールの別の用途は、テストです。

    自己エンロールされたエンドポイントは、ENDPT_001という形式の一般的なエンドポイント名で作成されます。クラスタでは、自己エンロールされたエンドポイントは、ENDPT_xx_001という形式で汎用エンドポイント名で作成されます。xxは2桁のノード識別子またはノード番号です。最初は、自己エンロールされたエンドポイントには、それ自体がアップロードまたは作成するセキュリティ・オブジェクトへのアクセス権のみがあります。仮想ウォレットへのアクセス権はありません。後で、そのアイデンティティを検証した後、仮想ウォレットへのエンドポイント・アクセス権を付与できます。

    エンドポイント自己エンロールはデフォルトでは無効で、システム管理者ロールを持っているユーザーによって有効化される必要があります。エンドポイントが自己エンロールすると予期される短期間に自己エンロールを有効化して、自己エンロール期間が終了したときに無効化することがベスト・プラクティスとなります。

関連項目

親トピック: エンドポイントの管理

12.2.2 マルチマスター・クラスタ内のエンドポイント・エンロール

クラスタのエンドポイントは、マルチマスター・クラスタのクライアント・システムです。

エンドポイント・エンロールは2つのステップに分かれています。最初にエンドポイントを追加してから、エンロールします。

初期ノードになるOracle Key Vaultサーバーは、特に以前のリリースからアップグレードされた場合に、すでにエンロールされているエンドポイントを保持できます。これらの既存のエンドポイントは、クラスタを初期化またはシードします。インダクション中に、クラスタにエンロールされたエンドポイントに関する情報が、新しく追加されたノードにレプリケートされます。インダクション中に、Oracle Key Vaultは、クラスタに追加されたすべての候補ノードに以前にエンロールされたエンドポイントに関する情報を削除します。

エンドポイントは読取り/書込みノードにのみエンロールできます。

エンドポイントをエンロールした後、新しいエンドポイントにクラスタ全体のプレゼンスが設定されます。Oracle Key Vaultマルチマスター・クラスタのエンドポイントを読取り/書込みノードに追加できます。

ノート:

エンドポイントは、最後に追加または再エンロールされたノードと同じノードにエンロールする必要があります。

異なるノード上のマルチマスター・クラスタに同時に追加された新しいエンドポイントには、名前の競合があります。Oracle Key Vaultによってエンドポイント名の競合が自動的に解決され、「Conflicts Resolution」ページに競合が表示されます。ここから、システム管理者は名前の変更を選択できます。

関連項目

親トピック: エンドポイントの管理

12.2.3 Oracle Key Vaultシステム管理者またはエンドポイント作成ユーザーとしてのエンドポイントの追加

システム管理者ロールまたはエンドポイント作成権限を付与されたユーザーは、「Endpoints」タブを使用してエンドポイントを追加できます。

  1. システム管理者ロールまたはエンドポイント作成権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。

    21_endpoint_page.pngの説明が続きます
    図21_endpoint_page.pngの説明

    「Endpoints」ページには、登録およびエンロールされたエンドポイントのリストと、名前、タイプ、説明、プラットフォーム、ステータス、エンロール・トークン、アラートなどのエンドポイント詳細が表示されます。このエンドポイントのリストは、ログインしているユーザーによって異なります。システム管理者ロールを持つユーザーの場合、すべてのエンドポイントがリストされます。エンドポイント作成権限を持つユーザーの場合、ユーザーがアクセスできるエンドポイントのみが表示されます。表の上にリストされるボタンも、ユーザーのロールまたは権限ステータスによって異なります。エンドポイント・ステータスは、「Registered」または「Enrolled」のいずれかになります。

    • 「Registered」ステータス: エンドポイントが追加され、1回限りのエンロール・トークンが生成されています。このトークンは、対応する「Enrollment Token」列に表示されます。
    • 「Enrolled」ステータス: エンドポイント・ソフトウェアをダウンロードするために、1回限りのエンロール・トークンが使用されています。「Enrollment Token」列に、エンロール・トークンが使用されていることを示すダッシュ(-)が表示されます。システム管理者ロールを持っていない(つまり、エンドポイント管理権限を持っている)場合は、自分が管理できるエンドポイントのエンロール・トークンのみを表示できます。
    • Created By: エンドポイントを作成したユーザー。そのユーザーが存在しなくなった場合や、この情報が保存される前のバージョンでエンドポイントが作成されていた場合は、このフィールドにANONYMOUSと表示されます。
    • Creator Node: エンドポイントが作成されたノード。
    • Name Status: エンドポイントの状態。状態はACTIVEまたはPENDINGになります。
  3. 「Endpoints」ページで、「Add」をクリックします。
    「Register Endpoint」ページが表示されます。「Make Unique」チェック・ボックスは、マルチマスター・クラスタ・モードでのみ表示されます。

    21_add_endpoint.pngの説明が続きます
    図21_add_endpoint.pngの説明

  4. 「Endpoint Name」フィールドに、エンドポイントの名前を入力します。
  5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。

    「Make Unique」は、マルチマスター・クラスタ環境全体でネーミングの競合を制御するために役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成されたエンドポイントは、ネーミング競合による影響を受けません。

    • 「Make Unique」を選択すると、エンドポイントがただちにアクティブになり、ユーザーはこのエンドポイントを使用できます。
    • 「Make Unique」を選択しない場合、エンドポイントはPENDING状態で作成されます。その後、Oracle Key Vaultは名前解決操作を開始し、エンドポイントをクラスタ全体で一意の名前に変更できます。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。エンドポイントは一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたエンドポイント名を受け入れるか、エンドポイント名を変更する必要があります。エンドポイント名を変更すると、名前解決操作が再起動され、エンドポイントはPENDING状態に戻ります。PENDING状態のエンドポイントは、ほとんどの操作の実行に使用できません。
  6. 「Type」ドロップダウン・リストから、エンドポイントのタイプを選択します。
    サポートされているタイプは、「Oracle Database」「Oracle Database Cloud Service」「Oracle (non-database)」「Oracle ACFS」「MySQL Database」および「Other」です。「Other」の例には、サード・パーティのKMIPエンドポイントがあります。Oracle Advanced Security Transparent Data Encryption (TDE)を使用していて、Oracle Key Vaultを使用してTDEマスター暗号化キーまたはウォレットを管理する場合、「Type」「Oracle Database」に設定する必要があります。
  7. 次のエンドポイント情報を入力します。
    • Platform: サポートされているプラットフォームの選択肢は、LinuxSolaris SPARCSolaris x64AIXHP-UXおよびWindowsです。
    • Description: 必要に応じて、エンドポイントのホスト名、IPアドレス、機能または場所など、実用的でわかりやすい説明を入力します。
    • Administrator Email: 必要に応じて、Oracle Key Vaultからエンロール・トークンおよびその他のエンドポイント関連のアラートを直接送信するエンドポイント管理者の電子メール・アドレスを入力します。電子メール通知機能を使用するには、SMTPを構成する必要があります。
    • Cluster Subgroup: マルチマスター・クラスタ環境の場合、エンドポイントのサブグループを選択します。「No Cluster Subgroup」を選択すると、エンドポイントはどのクラスタ・サブグループにも属しません。接尾辞が付いたオプションを(作成者ノードから)選択した場合、エンドポイントは、作成者ノードのクラスタ・サブグループが変更された場合でも、その作成者ノードが属するクラスタ・サブグループの一部になります。他のすべてのオプションは、作成者ノードのクラスタ・サブグループに関係なく、エンドポイントが属する既存のクラスタ・サブグループにエンドポイントを割り当てます。
  8. 「Register」をクリックします。
    「Endpoints」ページが表示され、そこにステータスが「Registered」の新しいエンドポイントが表示されます。「Enrollment Token」列に1回限りのエンロール・トークンが表示されます。

    21_endpoint_registered.pngの説明が続きます
    図21_endpoint_registered.pngの説明

  9. エンドポイント作成権限を持つユーザーとしてログインしていて、これが登録した最初のエンドポイントである場合は、Oracle Key Vault管理コンソールからログアウトして再度ログインします。
    ログアウトして再度ログインすると、このエンドポイントに対するすべての権限が使用可能になります。ログインした後、「Endpoints」タブをクリックし、左側のナビゲーション・ウィンドウで「Endpoints」をクリックして「Endpoints」ページにアクセスします。
  10. エンドポイント名をクリックして、エンドポイントの詳細を表示します。
    「Endpoint Details」ページが表示されます。

    21_endpoint_details.pngの説明が続きます
    図21_endpoint_details.pngの説明

    「Endpoint Details」ページの「Send Enrollment Token」ボタンは、「Status」「Registered」のエンドポイントに対してのみ表示されます。(システム管理者ロールを持つユーザーでない場合、エンロール・トークンまたは「Send Enrollment Token」ボタンを表示できません。エンドポイント管理権限を持っている場合は、トークンの表示および「Send Enrollment Token」ボタンへのアクセスのみが可能です。)

    1回限りのエンロール・トークンをエンドポイント管理者に送信するには、2つの方法があります。

    • SMTPを構成して電子メール・アドレスを入力した場合は、次のステップに示すように「Send Enrollment Token」ボタンをクリックし、Oracle Key Vaultからエンロール・トークンをエンドポイント管理者に直接送信できます。
    • SMTPを構成しなかった場合、または電子メール・アドレスを入力しなかった場合は、バンド外の方式を使用して、エンドポイント管理者にエンロール・トークンを送信する必要があります。

    エンドポイントをエンロールし、エンドポイントが最近作成または再エンロールされたノードからエンドポイントjarファイルをダウンロードする必要があります。

  11. 「Send Enrollment Token」をクリックします。
    この段階で、エンドポイントの管理者はエンドポイントのエンロール・プロセスを完了できます。エンロール・トークンがエンドポイント側でエンドポイント・ソフトウェアのダウンロードおよびインストールに使用されている場合、エンドポイント・ステータスは「Registered」から「Enrolled」に変わります。

関連項目

親トピック: エンドポイントの管理

12.2.4 自己エンロールを使用したエンドポイントの追加

自己エンロール・プロセスでは、エンドポイントは途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスに移行します。

親トピック: エンドポイントの管理

12.2.4.1 自己エンロールを使用したエンドポイントの追加について

Oracle Key Vaultでは、エンドポイント自己エンロールでエンロールされたすべてのエンドポイントに、自己エンロール済属性が関連付けられます。

自己エンロールされたエンドポイントは、エンドポイント・ソフトウェアをダウンロードするときに途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスになります。自己エンロールされたエンドポイントは、ENDPT_001という形式の、システム生成の名前によって認識できます。マルチマスター・クラスタでは、システム生成エンドポイント名はENDPT_node_id_sequential_numberという形式で、node_id01または02などの値です。たとえば、ENDPT_01_001は、生成されるエンドポイントの名前になります。

エンドポイント自己エンロールはデフォルトでは無効で、システム管理者ロールを持っているユーザーによって有効化される必要があります。

エンドポイントがエンロールすると予期される限られた期間にエンドポイント自己エンロールを有効化することがベスト・プラクティスとなります。予期したエンドポイントがエンロールされた後、エンドポイント自己エンロールを無効化する必要があります。

12.2.4.2 自己エンロールを使用したエンドポイントの追加

Oracle Key Vault管理コンソールからエンドポイントの自己エンロール・プロセスを構成できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択し、左側のナビゲーション・バーから「Settings」を選択します。
    「Endpoint Settings」ページが表示されます。


    21_endpoint_settings.pngの説明が続きます
    図21_endpoint_settings.pngの説明

  3. 「Allow Endpoint Self-Enrollment」の右にあるボックスを選択します。
  4. 「Save」をクリックします。

12.2.5 エンドポイントの削除、一時停止または再エンロール

エンドポイントでセキュリティ・オブジェクトの格納にOracle Key Vaultが使用されなくなった場合、エンドポイントを削除してから、再度必要になったときに再エンロールできます。

親トピック: エンドポイントの管理

12.2.5.1 エンドポイントの削除について

エンドポイントを削除すると、Oracle Key Vaultから永久に削除されます。

ただし、そのエンドポイントによって以前に作成またはアップロードされたセキュリティ・オブジェクトは、Oracle Key Vaultに残ります。同様に、そのエンドポイントに関連付けられているセキュリティ・オブジェクトも残ります。これらのセキュリティ・オブジェクトを永久に削除または再割当てするには、キー管理者ロールを持っているユーザーであるか、ウォレットの権限を管理することでこれらのオブジェクトをマージする権限を持っている必要があります。エンドポイントで以前にダウンロードされたエンドポイント・ソフトウェアも、エンドポイント管理者が削除するまで、エンドポイントに残ります。

PENDING状態のエンドポイントは、それを作成したユーザーでなければ削除できません。作成したノードで削除する必要があります。

12.2.5.2 1つ以上のエンドポイントの削除

「Endpoints」ページでは、Oracle Key Vaultからエンドポイントのグループを一度に削除できます。

このページから1つのエンドポイントを削除することもできます。
  1. そのエンドポイントにシステム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、このユーザーにエンドポイント管理権限が付与されているエンドポイントのみ削除できます。ユーザーが管理できるエンドポイントを表示するには、「Users」タブを選択し、「Manage Users」を選択します。該当するユーザーの「User Details」ページを確認し、「Access to Endpoints」領域までスクロールします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    「Endpoints」ページに、現在登録またはエンロールされているすべてのエンドポイントがリストされます。
  3. 「Endpoints」ページで、削除するエンドポイントの左側にあるチェック・ボックスを選択します。
  4. 「Delete」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。
12.2.5.3 1つのエンドポイントの削除(代替方法)

「Endpoint Details」ページには、選択したエンドポイントの統合ビューが表示されます。これには、Oracle Key Vaultからエンドポイントを削除するメカニズムも含まれます。

  1. そのエンドポイントにシステム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、このユーザーにエンドポイント管理権限が付与されているエンドポイントのみ削除できます。ユーザーが管理できるエンドポイントを表示するには、「Users」タブを選択し、「Manage Users」を選択します。該当するユーザーの「User Details」ページを確認し、「Access to Endpoints」領域までスクロールします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 削除するエンドポイントの名前をクリックします。
    「Endpoint Details」ページが表示されます。
  4. 「Delete」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。
12.2.5.4 エンドポイントの一時停止

セキュリティ上の理由からエンドポイントを一時的に停止し、脅威が去った後でエンドポイントを回復できます。

エンドポイントを一時停止すると、ステータスが「Enrolled」から「Suspended」に変わります。PENDING状態のエンドポイントは、それを作成したユーザーでなければ一時停止できません。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、自分が作成したエンドポイントのみを一時停止できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、一時停止するエンドポイントの左側にあるチェック・ボックスを選択します。
  4. 「Suspend」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。
    エンドポイントを一時停止すると、「Endpoints」ページの「Status」「Suspended」になります。
  6. エンドポイントを有効化するには、ステップ1-3. を実行します
    「Endpoint Details」ペインから、「Enable」をクリックします。「Endpoints」ページのエンドポイントの「Status」「Enrolled」になります。

マルチマスター・クラスタ内のエンドポイントの一時停止には、次のルールが適用されます。

  • 通常のエンドポイントの場合、すべての一時停止操作リクエストがクラスタ内のすべてのノードに到達するまで、エンドポイントは引き続き動作します。
  • 任意のノードのエンドポイントを一時停止できます。
  • クラウドベースのエンドポイントの場合、一時停止操作がリバースSSHトンネルの確立元であるすべてのノードに達するまで、エンドポイントは引き続き動作します。
  • リバースSSHトンネルの確立元から、クラウドベースのエンドポイントの任意のノードのエンドポイントを一時停止できます。
12.2.5.5 エンドポイントの再エンロール

エンドポイントを再エンロールすると、エンロール・プロセスによってエンドポイント・ソフトウェアが自動的にアップグレードされます。

プライマリ・スタンバイ構成でプライマリOracle Key Vaultサーバーと新しいセカンダリ・サーバーのペアなどの変更に対応するために、エンドポイントを再エンロールする必要もあります。エンドポイントを再エンロールする処理は、エンドポイントの古いデプロイメントからの接続をただちに禁止します。エンドポイントを再エンロールする場合は、okvclient.jarをダウンロードして、既存のデプロイメントとは別のディレクトリにデプロイすることをお薦めします。ソフトウェアをデプロイする場合は、-oオプションを使用して、古いokvclient.oraを指すシンボリック・リンクを上書きします。PENDING状態のエンドポイントは、そのエンドポイントを作成したユーザーでなければ再エンロールできません。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、自分が作成したエンドポイントのみを再エンロールできます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、再エンロールするエンドポイントの左側にあるボックスを選択します。
  4. 「Reenroll」をクリックします。

    okvclient.jarファイルをデプロイすると、「The endpoint software for Oracle Key Vault installed successfully」というメッセージが表示されます。かわりに「The endpoint software for Oracle Key Vault upgraded successfully」というメッセージが表示された場合は、古いデプロイメント・ディレクトリで再エンロールが実行されたため、エンドポイントのソフトウェアはアップグレードされましたが、正常に再エンロールされませんでした。

    okvclient.jarオプション-oを使用して、新しいディレクトリ内のokvclient.oraを指すシンボリック・リンク参照を上書きできます。

    エンドポイントの再エンロールごとに新しいエンロール・トークンが生成され、対応する「Enrollment Token」列に表示されます。この1回限りのトークンを使用して、エンドポイントを再エンロールできます。エンドポイントjarファイルは、エンドポイントが再エンロールされた同じノードからダウンロードする必要があります。

12.3 エンドポイント詳細の管理

エンドポイント詳細は、エンドポイント名、タイプ、説明、プラットフォームおよび電子メール、グループへのエンドポイントの追加、またはエンドポイント・ソフトウェアのアップグレードを指します。

親トピック: Oracle Key Vaultエンドポイントの管理

12.3.1 エンドポイント詳細について

エンドポイント詳細ページには、エンドポイントの統合ビューが表示されます。

このページにアクセスするには、「Endpoints」タブを選択し、エンドポイントの名前をクリックします。ここから、エンドポイント詳細を変更したり、エンドポイント管理タスクを完了することができます。(次の画面に一部のビューを示します。)

21_endpoint_details.pngの説明が続きます
図21_endpoint_details.pngの説明

親トピック: エンドポイント詳細の管理

12.3.2 エンドポイント詳細の変更

エンドポイント名、エンドポイント・タイプ、説明、プラットフォームおよび電子メールを変更できます。

マルチマスター・クラスタでは、エンドポイントの詳細を変更できるのは、そのエンドポイントが作成されたノードで、エンドポイントがPENDING状態にある場合のみです。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、このユーザーが作成したエンドポイントのみを変更できます。ユーザーが管理できるエンドポイントを表示するには、「Users」タブを選択し、「Manage Users」を選択します。該当するユーザーの「User Details」ページを確認し、「Access to Endpoints」領域までスクロールします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、エンドポイントの名前をクリックします。
    「Endpoint Details」ページが表示されます。21_endpoint_details1.pngの説明が続きます
    図21_endpoint_details1.pngの説明
  4. 「Endpoint Details」ページで、「Endpoint Name」「Type」「Description」「Platform」「Administrator Email」「Cluster Subgroup」(マルチマスター・クラスタ環境のみ)または「Strict IP Check」のいずれかを変更します。
    「Strict IP Check」設定は、Oracle Key Vaultで作成された任意のエンドポイントに対してデフォルトで有効になっています。このチェック・ボックスを選択すると、Oracle Key Vaultは、エンドポイント・ソフトウェアが最初にデプロイされたときに使用されたものと同じIPを使用してエンドポイントが接続しているかどうかを確認します。このチェック・ボックスを無効にすると、Oracle Key Vaultによってエンドポイントは任意のIPアドレスを使用して接続できます。特に指定がないかぎり、この設定を有効にすることをお薦めします。
  5. 「Save」をクリックします。

親トピック: エンドポイント詳細の管理

12.3.3 グローバル・エンドポイント構成パラメータ

Oracle Key Vaultでは、Oracle Key Vault管理コンソールで設定できるエンドポイント固有の構成パラメータが提供されています。

親トピック: エンドポイント詳細の管理

12.3.3.1 グローバル・エンドポイント構成パラメータについて

システム管理者ロールを持つユーザーは、Oracle Key Vault管理コンソールで特定のエンドポイント構成パラメータを集中的に更新できます。 

この機能により、システム管理者は特定のエンドポイント構成パラメータをグローバルに設定できます(すべてのエンドポイントまたはエンドポイントごとに)。 システム管理者の複数のエンドポイントを管理するプロセスを簡略化します。

エンドポイント固有のパラメータは、グローバル・パラメータより優先されます。グローバル・パラメータは、エンドポイント固有のパラメータがクリアされると有効になります。Oracle Key Vaultでは、グローバルおよびエンドポイント固有のパラメータがクリアされるか、Oracle Key Vault管理コンソールから設定されていない場合は、デフォルトのシステム・パラメータが使用されます。

Oracle Key Vault管理コンソールで設定された構成パラメータ値は、エンドポイントに動的に適用されます。次回エンドポイントがOracle Key Vaultサーバーに接続すると、更新された構成パラメータがエンドポイントに適用されます。エラーがある場合、更新は適用されません。okvutilおよびPKCS11ライブラリの両方で、エンドポイント構成の更新を取得および適用できます。

C SDK、JAVA SDKまたはRESTfulサービス・ユーティリティを使用する場合は、Oracle Key Vaultによってエンドポイント構成が更新されません。この場合は、okvutilまたはPKCSライブラリを使用してエンドポイント構成の更新を適用します。

マルチマスター・クラスタでは、構成パラメータのレプリケーションはレプリケーション・ラグに依存します。接続先のノードがまだパラメータの新しい値を受信していないため、エンドポイントはすぐに更新を取得できない可能性があります。新しい値が設定されたノードに接続した場合、または過去1時間その構成がリフレッシュされなかった場合は、エンドポイントの構成がリフレッシュされます。

ノート:

エンドポイント管理権限を持つユーザーは、アクセス権を持つ各エンドポイントごとに構成パラメータを変更できます。そうするには、エンドポイントの「Details」ページに移動し、下部までスクロールした場所でエンドポイントを変更します。
12.3.3.2 グローバル・エンドポイント構成パラメータの設定

グローバル・エンドポイント構成パラメータは、Oracle Key Vault管理コンソールで設定できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択し、左側のナビゲーション・バーから「Settings」を選択します。

    「Endpoint Settings」ページが表示されます。

    21_endpoint_settings.pngの説明が続きます
    図21_endpoint_settings.pngの説明

  3. 「グローバル・エンドポイント構成パラメータ」セクションで、次の設定を構成します。
    • Endpoint Certificate Validity ( in days ): 現在のエンドポイント証明書が有効である日数を指定します。
    • PKCS 11 In-Memory Cache Timeout ( in minutes ): インメモリー・キャッシュにキャッシュされた後にマスター暗号化キーを使用できる期間を分単位で指定します。PKCS 11インメモリー・キャッシュのタイムアウト設定の詳細は、PKCS11_CACHE_TIMEOUTパラメータを参照してください。

      PKCS 11 Persistent Cache Timeout ( in minutes ): 永続マスター暗号化キー・キャッシュにキャッシュされた後のマスター暗号化キーの使用可能期間を分単位で指定します。PKCS 11キャッシュ永続タイムアウト設定の詳細は、PKCS11_PERSISTENT_CACHE_TIMEOUTパラメータを参照してください。

    • PKCS 11 Persistent Cache Refresh Window ( in minutes ): 永続マスター暗号化キー・キャッシュにキャッシュされた後のマスター暗号化キーの使用可能期間を延長するために期間を分単位で指定します。PKCS 11永続キャッシュ・リフレッシュ期間設定の詳細は、PKCS11_PERSISTENT_CACHE_REFRESH_WINDOWパラメータを参照してください。
    • Server Poll Timeout ( in milliseconds ): リスト内の次のサーバーを試行する前に、クライアントがOracle Key Vaultサーバーに接続しようとするタイムアウトを秒単位で指定します。デフォルト値は300 (ミリ秒)です。
    • PKCS 11トレース・ディレクトリ・パス: トレース・ファイルを保存するディレクトリを指定します。
    • Expire PKCS11 Persistent Cache on Database Shutdown: 指定したエンドポイント・データベースのPKCS#11永続キャッシュがエンドポイント・データベースの停止時に自動的に期限切れになるように有効にするか、または無効にします。EXPIRE PKCS11 PERSISTENT CACHE ON DATABASE SHUTDOWNパラメータを参照してください。
  4. 「Save」をクリックします。

12.3.4 エンドポイントごとの構成パラメータの変更

システム管理者ロールまたはエンドポイント管理権限を持つユーザーは、エンドポイントごとの構成パラメータを設定できます。

システム管理者ロールを持つユーザーは、任意のエンドポイントの構成パラメータを設定できます。エンドポイント管理権限を持つユーザーは、そのユーザーがエンドポイント管理権限を持つエンドポイントの構成パラメータのみを設定できます。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーから「Endpoints」を選択します。
  3. 「Endpoints」ページで、変更するエンドポイントを選択します。
  4. 「Endpoint Details」ページで、「Endpoint Configuration Parameters」領域までスクロール・ダウンします。
  5. 構成パラメータを必要に応じて変更します。
    この構成パラメータは、グローバルに変更できる構成パラメータと同じです。
  6. 「Save」をクリックします。

関連項目

親トピック: エンドポイント詳細の管理

12.4 デフォルト・ウォレットとエンドポイント

エンドポイントでは、仮想ウォレットの1タイプであるデフォルト・ウォレットを使用できます。

親トピック: Oracle Key Vaultエンドポイントの管理

12.4.1 デフォルト・ウォレットとエンドポイントの関連付け

デフォルト・ウォレットは、ウォレットが明示的に指定されていない場合にセキュリティ・オブジェクトがアップロードされる仮想ウォレットのタイプです。

デフォルト・ウォレットは、Oracle Real Application Clusters (Oracle RAC)のノードやOracle Data Guardのプライマリおよびスタンバイ・ノードなど、他のエンドポイントと共有し、すべてのエンドポイントで同じデフォルト・ウォレットを使用できるので便利です。

デフォルト・ウォレットを使用する場合は、エンドポイントを登録した後、エンロールする前に設定する必要があります。エンロール後にデフォルト・ウォレットを使用することを決定した場合は、デフォルト・ウォレットを削除してから、エンドポイントを再エンロールする必要があります。

エンロール・ステータス「registered」は、エンドポイントはOracle Key Vaultに追加されているが、エンドポイント・ソフトウェアがダウンロードおよびインストールされていないことを意味します。ステータスが「registered」の場合は、デフォルト・ウォレットをエンドポイントに関連付ける必要があります。

エンドポイント・エンロール・ステータスは、エンドポイント・ソフトウェアをエンドポイントにダウンロードおよびインストールすると「enrolled」になります。エンドポイントのエンロール後にデフォルト・ウォレットを設定する場合は、エンドポイントを再エンロールして、エンドポイントで今後作成されるすべてのセキュリティ・オブジェクトがそのウォレットに自動的に関連付けられるようにしてください。

マルチマスター・クラスタでは、作成されたエンドポイントおよびウォレットのいずれかがPENDING状態の場合、デフォルト・ウォレットはそれらが作成された同じノードでのみ割り当てることができます。両方がACTIVE状態の場合、制限はありません。デフォルト・ウォレットが割り当てられ、エンドポイントがエンロールされると、両方がACTIVE状態で、そのノードに情報がレプリケートされているかぎり、どのノードからもデフォルト・ウォレットにアクセスできます。

Parent topic: デフォルト・ウォレットとエンドポイント

12.4.2 エンドポイントのデフォルト・ウォレットの設定

エンドポイントのデフォルト・ウォレットを設定すると、別のウォレットが明示的に指定されていないかぎり、エンドポイントのセキュリティ・オブジェクトがウォレットに自動的にアップロードされます。

エンドポイントを登録した直後で、エンドポイント・ソフトウェアをダウンロードする前に、デフォルト・ウォレットを設定する必要があります。
  1. キー管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーとしてログオンしている場合は、エンドポイントのデフォルト・ウォレットとして設定するウォレットに対する完全なウォレット・アクセス権(読取り/書込み/管理ウォレット)が必要です。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、必要なエンドポイントの名前をクリックします。
  4. 「Default Wallet」ペインで「Choose Wallet」を選択します。

    21_wallet_default_none.pngの説明が続きます
    図21_wallet_default_none.pngの説明

    「Add Default Wallet」ページが表示され、使用可能なウォレットのリストが示されます。

    21_wallet_default_select.pngの説明が続きます
    図21_wallet_default_select.pngの説明

  5. デフォルト・ウォレットにするウォレットをリストから選択するには、ウォレットの左にあるオプションをクリックして「Select」をクリックします。
    選択したウォレットの名前が「Default Wallet」ペインに表示されます。

    21_wallet_default_selected.pngの説明が続きます
    図21_wallet_default_selected.pngの説明

  6. 「Save」をクリックします。

Parent topic: デフォルト・ウォレットとエンドポイント

12.5 仮想ウォレットへのエンドポイント・アクセス権の管理

仮想ウォレットへのエンドポイント・アクセス権を付与し、必要でなくなった場合にアクセス権を取り消したり変更することができます。

親トピック: Oracle Key Vaultエンドポイントの管理

12.5.1 仮想ウォレットへのエンドポイント・アクセス権の付与

セキュリティ・オブジェクトをアップロードまたはダウンロードする前に、エンドポイントにはウォレットに対する読取りおよび変更権限およびウォレット管理権限が必要です。

Oracle Key Vaultにエンドポイントを追加した直後で、まだ「registered」ステータスのときに、仮想ウォレットへのエンドポイント・アクセス権を付与できます。
  1. エンドポイントにキー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
  3. 「Endpoints」ページで、仮想ウォレットへのアクセス権が必要なエンドポイントを選択します。
    「Endpoint Details」ページが表示されます。「Access to Wallets」ペインまでページをスクロールします。

    21_access_to_wallets.pngの説明が続きます
    図21_access_to_wallets.pngの説明

  4. 「Access to Wallets」ペインに、エンドポイントがすでにアクセス権を持っているウォレットがリストされます。このリストに別のウォレットを追加するには、「Add」をクリックします。
    「Select Wallet」ページが表示されます。エンドポイント管理権限を持つユーザーは、このユーザーがアクセスできるウォレットのみを表示できます。

    21_wallet_default_select.pngの説明が続きます
    図21_wallet_default_select.pngの説明

  5. 「Add Access to Endpoint」ページに表示されているウォレットの使用可能なリストからウォレットを選択します。
  6. 「Select Access Level」ペインで、適切なアクセス・レベルを選択します。
  7. 「Save」をクリックします。

関連項目

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

12.5.2 仮想ウォレットへのエンドポイント・アクセス権の取消し

「Endpoints」タブを使用して、エンドポイントの仮想ウォレットへのアクセス権を取り消すことができます。

  1. キー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
    指定されたエンドポイントに対するエンドポイント管理権限がある場合は、ウォレットへのアクセス権のレベルが同じかそれ以上である必要があります。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
  3. 「Endpoints」ページで、エンドポイント名を選択して、「Endpoint Details」ページを表示します。
    このページで、「Access to Wallets」ペインを探します。「Access to Wallets」ペインに、エンドポイントがアクセス権を持っているウォレットのリストが表示されます。
  4. アクセス権を取り消すウォレットを選択します。
  5. 「Remove」をクリックします。
  6. 確認のウィンドウで、「OK」をクリックします。

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

12.5.3 エンドポイントによってアクセスされるウォレット項目の表示

ウォレット項目という用語は、エンドポイントがアクセスできるセキュリティ・オブジェクトを指します。

  1. キー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、エンドポイントの名前をクリックして「Endpoint Details」ページにアクセスし、「Access to Wallet Items」ペインまでスクロールします。
    「Access to Wallet Items」ペインには、エンドポイントがアクセス権を持っているウォレット項目がリストされます。

    21_access_to_wallets.pngの説明が続きます
    図21_access_to_wallets.pngの説明

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

12.6 エンドポイント・グループの管理

エンドポイント・グループは、ウォレットの共通セットを共有するエンドポイントの名前付きグループです。

親トピック: Oracle Key Vaultエンドポイントの管理

12.6.1 マルチマスター・クラスタによるエンドポイント・グループへの影響

任意のノードでエンドポイント・グループを作成し、クラスタ全体のプレゼンスを設定できます。

いずれのノードでもエンドポイント・グループを追加、更新または削除できますが、読取り/書込みモードのみです。

初期ノードになるOracle Key Vaultサーバーは、すでに作成されているエンドポイント・グループを保持できます。これらのエンドポイント・グループは、クラスタの初期化またはシードに使用されます。インダクション中に、クラスタ内のエンドポイント・グループが新しく追加されたノードにレプリケートされます。クラスタに追加された他のすべてのノードで作成されたエンドポイント・グループは、インダクション中に削除されます。

異なるノード上のマルチマスター・クラスタに同時に追加された新しいエンドポイント・グループには、名前の競合があります。Oracle Key Vaultは、すべてのエンドポイント・グループ名の競合を自動的に解決します。これらの競合は競合解決ページに表示され、キー管理者は名前を変更できます。

関連項目

親トピック: エンドポイント・グループの管理

12.6.2 エンドポイント・グループの作成

ウォレットに格納されたセキュリティ・オブジェクトの共通セットを共有する必要がある複数のエンドポイントを、1つのエンドポイント・グループにまとめることができます。

たとえば、Oracle Real Application Clusters (Oracle RAC)、GoldenGateまたはOracle Active Data Guardを使用するエンドポイントが、共有データにアクセスするためのキーを共有する必要がある場合があります。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを管理できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。

    21_endpoint_groups.pngの説明が続きます
    図21_endpoint_groups.pngの説明

  3. 「Create」をクリックします。
    「Create Endpoint Group」ページが表示されます。

    21_create_endpoint_group.pngの説明が続きます
    図21_create_endpoint_group.pngの説明

  4. 新しいグループの名前と簡単な説明を入力します。
    オブジェクトの正しいネーミング・ガイドラインに従っていることを確認します。
  5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。
    「Make Unique」は、マルチマスター・クラスタ環境全体でネーミングの競合を制御するために役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成されたエンドポイント・グループは、名前の競合による影響を受けません。
    • 「Make Unique」を選択すると、エンドポイント・グループがただちにアクティブになり、ユーザーはこのエンドポイント・グループを使用できます。「Make Unique」をクリックすると、エンドポイント・グループに追加できるエンドポイントのリストも表示されます。
    • 「Make Unique」を選択しない場合、エンドポイント・グループはPENDING状態で作成されます。その後、Oracle Key Vaultは名前解決操作を開始し、クラスタ全体で一意の名前にエンドポイント・グループ名を変更できます。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。エンドポイント・グループ名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたエンドポイント・グループ名を受け入れるか、エンドポイント・グループ名を変更する必要があります。エンドポイント・グループ名を変更すると、名前解決操作が再起動され、エンドポイント・グループがPENDING状態に戻ります。PENDING状態のエンドポイント・グループは、ほとんどの操作の実行に使用できません。
  6. 「Save」をクリックして、エンドポイント・グループの作成を完了します。
    これで、新しいエンドポイント・グループが「Endpoint Groups」ページに表示されます。
  7. Create Endpoint Group権限を持つユーザーとしてログインしていて、これが作成した最初のエンドポイント・グループである場合は、Oracle Key Vault管理コンソールからログアウトして再度ログインします。
    ログアウトして再度ログインすると、このエンドポイント・グループに対するすべての権限が使用可能になります。

関連項目

親トピック: エンドポイント・グループの管理

12.6.3 エンドポイント・グループ詳細の変更

エンドポイント・グループの作成後、エンドポイントおよびアクセス権のマッピングをエンドポイント・グループに追加できます。

1つのエンドポイントは複数のエンドポイント・グループに属することができます。1つのエンドポイント・グループを別のエンドポイント・グループに追加することはできません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを変更できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. エンドポイント・グループに対応する「Edit」列の編集の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。

    21_endpoint_group_details.pngの説明が続きます
    図21_endpoint_group_details.pngの説明

  4. 必要に応じてエンドポイント名を変更します。
  5. 必要に応じて、説明を変更します。
  6. 「Add」または「Remove」をクリックして、ウォレットまたはエンドポイント・グループ・メンバーに対するアクセス権を追加または削除します。
  7. 「Save」をクリックします。

親トピック: エンドポイント・グループの管理

12.6.4 仮想ウォレットへのエンドポイント・グループ・アクセス権の付与

エンドポイント・グループに仮想ウォレットへのアクセス権を付与できます。

マルチマスター・クラスタでは、PENDING状態のエンドポイント・グループに仮想ウォレットへのアクセス権は付与できません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、ユーザーが作成したエンドポイント・グループに対してのみ、ウォレットへのエンドポイント・グループ・アクセス権を付与できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. エンドポイント・グループに対応する「Edit」列の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。
  4. 「Access to Wallets」ペインで、「Add」をクリックします。
  5. 使用可能リストから仮想ウォレットを選択します。
  6. 次のように、「Access Level」を選択します。
    • Read Only: このレベルでは、仮想ウォレットとその項目へのエンドポイント・グループ読取りアクセス権が付与されます。
    • Read and Modify: このレベルでは、仮想ウォレットとその項目へのエンドポイント・グループ読取りおよび書込みアクセス権が付与されます。
  7. エンドポイントで次の操作を実行する場合は、「Manage Wallet」チェック・ボックスを選択します。
    • 仮想ウォレットでのオブジェクトの追加または削除。
    • その他のエンドポイントまたはエンドポイント・グループに対する仮想ウォレットへのアクセス権の付与。
  8. 「Save」をクリックします。

関連項目

親トピック: エンドポイント・グループの管理

12.6.5 エンドポイント・グループへのエンドポイントの追加

名前付きエンドポイント・グループにエンドポイントを追加できます。

マルチマスター・クラスタでは、PENDING状態のエンドポイントをエンドポイント・グループに追加することはできません。また、PENDING状態のエンドポイント・グループにエンドポイントを追加することはできません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループにのみエンドポイントを追加できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    「Endpoints」ページが表示されます。
  3. グループに追加するエンドポイントを選択します。
    「Endpoint Details」ページが表示されます。
  4. 「Endpoint Group Membership」までスクロールし、「Add」をクリックします。

    「Add Endpoint Group Membership」ページが表示されます。

    21_add_endpoint_group_membership.pngの説明が続きます
    図21_add_endpoint_group_membership.pngの説明

    エンドポイント・グループのリストが「Endpoint Group Name」の下に表示されます。

  5. エンドポイントを追加するエンドポイント・グループの左にあるボックスを選択します。
  6. 「Save」をクリックします。

    「Endpoint Group Membership」ペインに、選択されたエンドポイント・グループが表示されます。

    21_added_endpoint_group_membership.pngの説明が続きます
    図21_added_endpoint_group_membership.pngの説明

親トピック: エンドポイント・グループの管理

12.6.6 エンドポイント・グループからのエンドポイントの削除

エンドポイント・グループからエンドポイントを削除すると、そのエンドポイント・グループに関連付けられているウォレットへのアクセス権が削除されます。

削除プロセスは、エンドポイントに対してウォレットへのアクセス権が別途、直接または別のエンドポイント・グループを介して付与されていないかぎり、削除を完了します。マルチマスター・クラスタでは、複数のエンドポイントを同時に削除できます。マルチマスター・クラスタでは、PENDING状態のエンドポイント・グループのエンドポイントを削除できません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループからのみエンドポイントを削除できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. 「Endpoint Groups」で、エンドポイント・グループに対応する「Edit」列の横にある編集の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。
  4. 「Endpoint Group Members」ペインで、削除するエンドポイントの名前の左にあるボックスをチェックします。
  5. 「Remove」をクリックします。
  6. 確認のウィンドウで、「OK」をクリックします。

親トピック: エンドポイント・グループの管理

12.6.7 エンドポイント・グループの削除

メンバー・エンドポイントで、同じ仮想ウォレットへのアクセス権が必要がなくなった場合、エンドポイント・グループを削除できます。

このアクションでは、エンドポイント自体ではなく、ウォレットに対するメンバー・エンドポイントの共有アクセス権が削除されます。PENDING状態のエンドポイント・グループを削除できるのは、グループにメンバーがないか、またはウォレットへのアクセス権がない場合のみです。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを削除できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. 削除するエンドポイント・グループ名の左にあるボックスを選択します。
  4. 「Delete」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。

親トピック: エンドポイント・グループの管理