8 Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理
仮想ウォレットを作成してセキュリティ・オブジェクトを格納し、そのウォレットを様々なアクセス・レベルで信頼できるピアと共有できます。
- 仮想ウォレットの管理
仮想ウォレットは、作成した後ユーザーにアクセス権を付与できるセキュリティ・オブジェクトのコンテナです。 - 「Keys and Wallets」タブからの仮想ウォレットへのアクセス権の管理
「Keys and Wallets」タブを使用して、エンドポイントに仮想ウォレットへのアクセス権を付与したり、エンドポイントから仮想ウォレットへのアクセス権を取り消すことができます。 - ユーザーのメニューからの仮想ウォレットへのアクセス権の管理
ユーザー、エンドポイントおよびそれぞれのグループの仮想ウォレットに対するアクセス制御を管理するには、「Users」メニューまたは「Endpoints」メニューを使用できます。 - キーまたはセキュリティ・オブジェクトの状態の管理
キーまたはセキュリティ・オブジェクトをアクティブ化または非アクティブ化する日付を設定し、一部の仮想ウォレットのセキュリティ・オブジェクトの状態を変更できます。 - セキュリティ・オブジェクトの詳細の管理
これらのオブジェクトに関する詳細の検索やこれらの詳細の変更など、セキュリティ・オブジェクトに関する詳細を管理できます。
8.1 仮想ウォレットの管理
仮想ウォレットは、作成した後ユーザーにアクセス権を付与できるセキュリティ・オブジェクトのコンテナです。
- 仮想ウォレットについて
仮想ウォレットは、セキュリティ・オブジェクトのコンテナです。 - 仮想ウォレットの作成
仮想ウォレットを作成し、同時にその仮想ウォレットにセキュリティ・オブジェクトを追加できます。 - 仮想ウォレットの変更
仮想ウォレットを変更して、同時にその仮想ウォレットにセキュリティ・オブジェクトを追加できます。 - 仮想ウォレットへのセキュリティ・オブジェクトの追加
必要に応じて、いつでも仮想ウォレットに新しいセキュリティ・オブジェクトを追加できます。 - 仮想ウォレットからのセキュリティ・オブジェクトの削除
必要に応じて、いつでも仮想ウォレットからセキュリティ・オブジェクトを削除できます。 - 仮想ウォレットの削除
仮想ウォレットを削除すると、コンテナとしてのウォレットは削除されますが、それに含まれていたセキュリティ・オブジェクトは削除されません。
8.1.1 仮想ウォレットについて
仮想ウォレットは、セキュリティ・オブジェクトのコンテナです。
これらのセキュリティ・オブジェクトには、Transparent Data Encryption (TDE)キーストア、Oracleウォレット、Javaキーストア、証明書、機密データ、資格証明ファイルを含む、公開キーおよび秘密暗号化キーを指定できます。仮想ウォレットを使用すると、暗号化データへのアクセスが必要な複数のユーザーと共有するために、セキュリティ・オブジェクトをグループ化できます。
すべてユーザーが仮想ウォレットを作成できます。仮想ウォレットを作成したら、その仮想ウォレットにキーおよびその他のセキュリティ・オブジェクトを追加できます。さらに、他のユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループに対して、仮想ウォレットへの様々なレベルのアクセス権を付与できます。仮想ウォレットとそのウォレットの内容はいつでも変更できます。仮想ウォレットのユーザー・リストとそれぞれのアクセス・レベルも変更できます。
キー管理者を除いて、仮想ウォレットへのアクセス権は、ユーザーに明示的に付与する必要があります。ウォレットにオブジェクトを追加および削除したり、他のユーザーおよびグループに対してウォレットのアクセス権を付与および変更するには、ウォレットの読取り、変更および管理権限が必要です。
親トピック: 仮想ウォレットの管理
8.1.2 仮想ウォレットの作成
仮想ウォレットの作成とその仮想ウォレットへのセキュリティ・オブジェクトの追加は同時に実行できます。
親トピック: 仮想ウォレットの管理
8.1.4 仮想ウォレットへのセキュリティ・オブジェクトの追加
必要に応じて、いつでも仮想ウォレットに新しいセキュリティ・オブジェクトを追加できます。
PENDING
状態の仮想ウォレットにはセキュリティ・オブジェクトを追加できません。
親トピック: 仮想ウォレットの管理
8.1.5 仮想ウォレットからのセキュリティ・オブジェクトの削除
必要に応じて、いつでも仮想ウォレットからセキュリティ・オブジェクトを削除できます。
PENDING
状態の仮想ウォレットからセキュリティ・オブジェクトを削除できます。
親トピック: 仮想ウォレットの管理
8.1.6 仮想ウォレットの削除
仮想ウォレットを削除すると、コンテナとしてのウォレットは削除されますが、それに含まれていたセキュリティ・オブジェクトは削除されません。
PENDING
状態の仮想ウォレットを削除します。
親トピック: 仮想ウォレットの管理
8.2 「Keys and Wallets」タブからの仮想ウォレットへのアクセス権の管理
「Keys and Wallets」タブを使用すると、仮想ウォレットへのアクセス権をエンドポイントに対して付与したり、エンドポイントから取り消すことができます。
- 「Keys and Wallets」タブからの仮想ウォレットへのアクセスの管理について
アクセス制御は、どのユーザーとエンドポイントが仮想ウォレットおよびセキュリティ・オブジェクトを共有し、それらの仮想ウォレットに対してどのような操作を実行できるかを決定しています。 - ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループへのアクセス権の付与
「Read Only」、、「Read and Modify」および「Manage Wallet」のアクセス・レベルを、ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループに付与できます。 - ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループへのアクセス権の変更
仮想ウォレットにおけるユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループのアクセス設定は、「Keys & Wallets」タブから変更できます。
8.2.1 「Keys and Wallets」タブからの仮想ウォレットへのアクセス権の管理について
アクセス制御は、どのユーザーとエンドポイントが仮想ウォレットおよびセキュリティ・オブジェクトを共有し、それらの仮想ウォレットに対してどのような操作を実行できるかを決定しています。
ユーザー、エンドポイントおよびそれぞれのグループのアクセス制御を管理するには、仮想ウォレットへのアクセス権があるか、キー管理者である必要があります。
仮想ウォレットへのアクセス権を管理するには、「Keys & Wallets」タブを使用してウォレットを選択し、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループにそのウォレットへのアクセス権を付与します。
8.2.2 ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループへのアクセス権の付与
「Read Only」、「Read and Modify」および「Manage Wallet」アクセス・レベルを、ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループに付与できます。
PENDING
状態にある間は、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループにアクセス権を付与できません。
8.3 ユーザーのメニューからの仮想ウォレットへのアクセス権の管理
ユーザー、エンドポイントおよびそれぞれのグループの仮想ウォレットに対するアクセス制御を管理するには、「Users」メニューまたは「Endpoints」メニューを使用できます。
- 仮想ウォレットへのユーザー・アクセス権の付与
「Users」タブを使用して、仮想ウォレットへのアクセス権を付与できます。 - 仮想ウォレットからのユーザー・アクセス権の取消し
「Users」タブを使用して、ユーザーの仮想ウォレットへのアクセス権を取り消すことができます。 - 仮想ウォレットへのユーザー・グループ・アクセス権の付与
「Users」タブを使用して、仮想ウォレットへのユーザー・グループ・アクセス権を付与できます。 - 仮想ウォレットからのユーザー・グループ・アクセス権の取消し
「Users」タブを使用して、仮想ウォレットへのユーザー・グループ・アクセス権を取り消すことができます。
8.3.1 仮想ウォレットへのユーザー・アクセス権の付与
仮想ウォレットへのアクセス権は、「Users」タブを使用して付与できます。
PENDING
状態にある間は、仮想ウォレットへのユーザー・アクセス権を付与できません。
関連項目
8.3.2 仮想ウォレットからのユーザー・アクセス権の取消し
ユーザーの仮想ウォレットへのアクセス権は、「Users」タブを使用して取り消すことができます。
PENDING
状態にある間は、仮想ウォレットからユーザー・アクセス権を取り消すことはできません。
8.3.3 仮想ウォレットへのユーザー・グループ・アクセス権の付与
仮想ウォレットへのユーザー・グループ・アクセス権は、「Users」タブを使用して付与できます。
PENDING
状態にある間は、仮想ウォレットへのユーザー・グループ・アクセス権を付与できません。
8.4 キーまたはセキュリティ・オブジェクトの状態の管理
キーまたはセキュリティ・オブジェクトをアクティブ化または非アクティブ化する日付を設定し、一部の仮想ウォレットのセキュリティ・オブジェクトの状態を変更できます。
- キーまたはセキュリティ・オブジェクトの状態の管理について
キーまたはセキュリティ・オブジェクトがアクティブになる日付、つまりその使用日時を制御できます。 - マルチマスター・クラスタによるキーおよびセキュリティ・オブジェクトへの影響
マルチマスター・クラスタの1つのノードに作成したキーは、クラスタ内の他のノードに表示されるまでに多少時間がかかります。 - キーまたはセキュリティ・オブジェクトのアクティブ化
キーは、「Active」または「Pre-Active」状態にできます。 - キーまたはセキュリティ・オブジェクトの非アクティブ化
キーは、非アクティブ化に設定された日付を過ぎると非アクティブつまり期限切れになります。 - キーまたはセキュリティ・オブジェクトの取消し
キーを取り消すと、その状態を「Deactivated」または「Compromised」に設定できます。 - キーまたはセキュリティ・オブジェクトの破棄
使用されなくなったり、なんらかの方法で侵害されたキーは、破棄できます。
8.4.1 キーまたはセキュリティ・オブジェクトの状態の管理について
キーまたはセキュリティ・オブジェクトがアクティブな日付(使用可能な時期)を制御できます。
キーおよびセキュリティ・オブジェクトも取り消して破棄します。マルチマスター・クラスタは、異なるノード上のキーおよびセキュリティ・オブジェクトのアクティブ化時間または非アクティブ化時間に影響し、ネーミング競合が発生する可能性があることに注意してください。
8.4.2 マルチマスター・クラスタによるキーおよびセキュリティ・オブジェクトへの影響
マルチマスター・クラスタの1つのノードで作成するキーは、クラスタ内の他のノードでの表示に時間がかかります。
この時間は、ノード間のレプリケーション・ラグによって定義されます。レプリケーション・ラグの値は「Monitoring」ページの「Cluster Link State」ペインに表示され、このページには、「Cluster」タブを選択してアクセスできます。
Transparent Data Encryption (TDE)マスター暗号化キーを2つの異なるノード上の2つの異なるキーストアに追加した場合は、両方のキーストアに表示されます。
アクティブ化日、非アクティブ化日、プロセス開始日および保護停止日の調整には制限があります。これらの日付について、セキュリティ・オブジェクトへの変更が現在の時間に非常に近い場合は、レプリケーション・ラグが原因で状態の変更が発生することがあります。
マルチマスター・クラスタでのオブジェクトの作成と同様に、セキュリティ・オブジェクトには、異なるノードで作成されたオブジェクトとの名前の競合が発生することがあります。競合がある場合、Oracle Key Vaultでは一意の名前が提示されるか、名前を変更できます。
関連項目
親トピック: キーまたはセキュリティ・オブジェクトの状態の管理
8.4.3 キーまたはセキュリティ・オブジェクトのアクティブ化
キーは、「Active」または「Pre-Active」状態にできます。
- このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
- 「Keys & Wallets」タブを選択します。
- 「All Items」メニューを選択して、設定する項目に対応する編集の鉛筆アイコンをクリックします。
- 項目の「Item Details」ページで、「Process Start Date」を任意の日付に設定します。
- 「Save」をクリックします。
親トピック: キーまたはセキュリティ・オブジェクトの状態の管理
8.4.4 キーまたはセキュリティ・オブジェクトの非アクティブ化
キーは、非アクティブ化の設定がされた日付を過ぎると、非アクティブ化するか期限切れになります。
- このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
- 「Keys & Wallets」タブを選択します。
- 「All Items」メニューを選択し、非アクティブ化する項目に対応する編集の鉛筆アイコンをクリックします。
- 項目の「Item Details」ページで、「Date of Deactivation」を、キーを非アクティブ化する日付に設定します。
- 「Save」をクリックします。
親トピック: キーまたはセキュリティ・オブジェクトの状態の管理
8.4.5 キーまたはセキュリティ・オブジェクトの取消し
キーを取り消すと、その状態を「Deactivated」または「Compromised」に設定できます。
親トピック: キーまたはセキュリティ・オブジェクトの状態の管理
8.4.6 キーまたはセキュリティ・オブジェクトの破棄
使用されなくなったり、なんらかの方法で侵害されたキーは、破棄できます。
- このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
- 「Keys & Wallets」タブを選択します。
- 「All Items」メニューを選択して、設定する項目に対応する編集の鉛筆アイコンをクリックします。
- 項目の「Item Details」ページで、「Destroy」をクリックします。
- 「Save」をクリックします。
親トピック: キーまたはセキュリティ・オブジェクトの状態の管理
8.5 セキュリティ・オブジェクト詳細の管理
これらのオブジェクトに関する詳細の検索やこれらの詳細の変更など、セキュリティ・オブジェクトに関する詳細を管理できます。
- セキュリティ・オブジェクトの詳細の管理について
仮想ウォレット内のセキュリティ・オブジェクトを検索し、これらのセキュリティ・オブジェクトを追加、変更または削除できます。 - セキュリティ・オブジェクト項目の検索
個々のセキュリティ・オブジェクトを表示する権限がある場合は、それらのオブジェクトを検索できます。 - セキュリティ・オブジェクトの詳細の表示
キー管理者ロールを持つ管理ユーザーが、セキュリティ・オブジェクトの詳細を表示、追加および変更できます。 - セキュリティ・オブジェクトの詳細の追加または変更
適切な権限を持つユーザーのみが、セキュリティ・オブジェクトの詳細を追加または変更できます。
8.5.1 セキュリティ・オブジェクトの詳細の管理について
仮想ウォレット内のセキュリティ・オブジェクトを検索し、これらのセキュリティ・オブジェクトを追加、変更または削除できます。
セキュリティ・オブジェクトは、明確な義務の分離があるOracle Key Vault管理ユーザーが管理します。セキュリティ・オブジェクトが含まれる仮想ウォレットのウォレット権限を管理するには、キー管理者ロールを持つユーザーであることが必要です。監査マネージャ・ロールを持っているユーザーは、セキュリティ・オブジェクトを表示できますが変更はできません。一方、システム管理者ロールを持っているユーザーは個々のセキュリティ・オブジェクトの表示もできません。
親トピック: セキュリティ・オブジェクトの詳細の管理
8.5.2 セキュリティ・オブジェクト項目の検索
個々のセキュリティ・オブジェクトを検索できるのは、これらのオブジェクトを表示する権限がある場合です。
関連項目
親トピック: セキュリティ・オブジェクトの詳細の管理
8.5.3 セキュリティ・オブジェクトの詳細の表示
キー管理者ロールを持つ管理ユーザーが、セキュリティ・オブジェクトの詳細を表示、追加および変更できます。
管理ユーザーは、対応する「Item Details」ページから、セキュリティ・オブジェクトに対してこれらのアクションを実行できます。項目の詳細は、特定のセキュリティ・オブジェクトの属性で、セキュリティ・オブジェクトのタイプに依存します。
-
キー管理者ロールを持っているユーザーまたは仮想ウォレットへのアクセス権を持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
-
「Keys & Wallets」タブをクリックします。
「Wallets」ページが表示されます。
-
左のサイドバーの「All Items」をクリックします。
Key Vaultのすべてのセキュリティ・オブジェクトが表示された「All Items」ページが表示されます。
-
セキュリティ・オブジェクトに対応する「Details」列の鉛筆アイコンをクリックします。
セキュリティ・オブジェクトの属性が表示された「Item Details」ページが表示されます。
図screenshot-8.5.2-step-4.pngの説明「Item Details」ページで、セキュリティ・オブジェクトを非アクティブ化する日付または使用しない日付を設定できます。「Item Details」に表示される属性は、セキュリティ・オブジェクトのタイプによって変わります。「Symmetric Key」の属性は、「Private Key」または「Opaque Object」のものとは異なります。
セキュリティ・オブジェクトを取消しまたは破棄したり、「Item Details」ページからウォレットに対してセキュリティ・オブジェクトを追加または削除することができます。
「Item Details」ページの「Wallet Membership」ペインを使用すると、ウォレットにセキュリティ・オブジェクトを追加したり、ウォレットからセキュリティ・オブジェクトを削除できます。
「Item Details」ページには、次の属性が表示されます。
-
Identifier: ユーザーが項目を識別する助けになる概要説明。たとえば、項目がTDEマスター暗号化キーの場合、「Identifier」には、接頭辞のTDE master encryption keyの後に、データベースがそのキーを識別するために使用する識別子が表示されます。
-
Unique Identifier: 項目を識別する、グローバルに一意のIDです。
-
Type: 項目のオブジェクト・タイプを示します。有効な値は、「Symmetric Key」、「Private Key」、「Template」、「Opaque Object」、「Certificate」および「Secret Data」です。
-
State: セキュリティ・オブジェクトの状態を示します。値は次のとおりです。
-
Pre-active: オブジェクトは存在しますが、暗号化目的にはまだ使用できません。
-
Active: オブジェクトは使用可能です。エンドポイントは、このオブジェクトがどの用途に適切かを判断するために、「Cryptographic Usage Mask」属性を調べる必要があります。
-
Deactivated: オブジェクトがアクティブではなくなっているため、(たとえば、暗号化または署名のための)暗号保護の適用には使用しないでください。ただし、以前に保護済のデータの復号化や検証の用途には、まだ適切である場合があります。
-
Compromised: オブジェクトは損われていると思われるため、使用しないでください。
-
Destroyed: オブジェクトは、いかなる目的にももう使用できません。
-
Destroyed Compromised: オブジェクトはセキュリティ侵害があったため破棄されました。いかなる目的でも、もう使用できません。
-
-
Creator: セキュリティ・オブジェクトを作成したエンドポイント。
-
Last Modified: 最終変更日。
-
Date of Creation: 作成日。
-
Date of Activation: アクティブ化の日付。
-
Process Start Date: データの暗号化にキーの使用を開始する日付。「Date of Activation」と同じかこれ以降にすることはできますが、これより前にすることはできません。
-
Protect Stop Date: この日付を過ぎると、キーを使用してデータを暗号化できなくなります。「Date of Deactivation」設定より後にすることはできません。
-
Date of Deactivation: 非アクティブ化の日付。
-
-
「Advanced」をクリックして、セキュリティ・オブジェクトの暗号化属性を表示します。
図itm_dtls_advanced.pngの説明属性情報と問合せは、項目タイプによって異なります。属性の例は次のとおりです。
-
Cryptographic Algorithms: その項目によって使用されている暗号化アルゴリズム
-
Key Usage: キーを使用できる操作クライアントはこれらの属性を使用する場合もしない場合もあります。たとえば、Transparent Data Encryptionではキーの使用属性を参照しません。
-
Names: キーを識別するためにユーザーまたはエンドポイントがアタッチしたラベル
-
Custom Attributes: エンドポイントによって定義され、Oracle Key Vaultによる解釈が行われない追加の属性
-
Cryptographic Parameters: 項目によって使用される、暗号化アルゴリズムのオプションのパラメータ(たとえばブロック暗号モードやパディング方式)
-
Cryptographic Length: キーの長さ(ビット)
-
Retrieved at Least Once: オブジェクトがクライアントに提供されたかどうかを示します
-
Contact Information: 連絡目的のみに使用します
-
Digests: セキュリティ・オブジェクトのダイジェスト値
-
Link Details: 関連オブジェクトへのリンク
-
8.5.4 セキュリティ・オブジェクトの詳細の追加または変更
適切な権限を持つユーザーのみが、セキュリティ・オブジェクトの詳細を追加または変更できます。
親トピック: セキュリティ・オブジェクトの詳細の管理