2 Oracle Key Vaultの概念

Oracle Key Vaultを正常にデプロイするには、デプロイメント・アーキテクチャ、ユースケース、アクセス制御、管理ロールおよびエンドポイントを理解する必要があります。

• Oracle Key Vaultの概念の概要
  エンドポイントは、データベースおよびアプリケーション・サーバーなどのコンピュータ・システムと、キーおよび資格証明がデータにアクセスするその他の情報システムです。
• Oracle Key Vaultデプロイメント・アーキテクチャ
  Oracle Key Vaultは、オペレーティング・システム、データベースおよびOracle Key Vaultアプリケーションを使用して事前構成されたソフトウェア・アプライアンスとしてパッケージ化されています。
• アクセス制御構成
  Oracle Key Vaultでは、様々なアクセス・レベルでセキュリティ・オブジェクトへのアクセスを制御できます。
• Oracle Key Vault内の管理ロールとエンドポイント権限
  Oracle Key Vaultには、企業ニーズを満たすために様々な方法で組み合せることができる義務の分離に準拠した管理ロールとエンドポイント権限が用意されています。
• オブジェクトのネーミング・ガイドライン
  このネーミング・ガイドラインは、ユーザー、ユーザー・グループ、エンドポイント、エンドポイント・グループおよび仮想ウォレットのOracle Key Vaultオブジェクトに影響します。
• 緊急時のシステム・リカバリ・プロセス
  インストール中に、Oracle Key Vaultが緊急事態からリカバリするために使用する特別なリカバリ・パスフレーズの作成が必要になります。
• rootおよびsupportユーザー・アカウント
  rootおよびsupportの両方のユーザー・アカウントが、コマンドライン・インタフェースで使用されます。
• エンドポイント管理者
  エンドポイント管理者は、Oracle Key Vaultを使用するOracleデータベースなどのエンティティであるエンドポイントを所有および管理します。
• FIPSモード
  FIPSモードでは、Oracle Key VaultがFIPS 140-2コンプライアンスに準拠できます。

2.1 Oracle Key Vaultの概念の概要

エンドポイントは、データベースおよびアプリケーション・サーバーなどのコンピュータ・システムと、キーおよび資格証明がデータにアクセスするその他の情報システムです。

これらのエンドポイント・システムでは暗号化キーと機密を効率的に格納および管理する必要があるため、データはセキュアでアクセスしやすく、企業の日常の活動に対応できます。既存のキーがあるか、これらを生成する機能があるエンドポイントでは、Oracle Key Vaultをセキュアな外部の長期のストレージとして使用できます。

Oracle Key Vaultと通信できるように、エンドポイントを登録およびエンロールする必要があります。エンロール済のエンドポイントは、キーをアップロードしてこれらを他のエンドポイントと共有し、これらをダウンロードしてデータにアクセスできます。Oracle Key Vaultは、エンロール済のエンドポイントをすべて追跡します。

マスター暗号化キーや資格証明ファイルなどのセキュリティ・オブジェクトをOracle Key Vaultの仮想ウォレットにグループ化できます。仮想ウォレットの主な目的は、関連するセキュリティ・オブジェクトをグループ化して、それらをまとめて簡単にピア間で共有できるようにすることです。権限を持つユーザーは、仮想ウォレットを作成してこの空のウォレットにキーを追加し、他のユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループにウォレットへの様々なアクセス・レベルを付与できます。ユーザーは、同じセキュリティ・オブジェクトへのアクセス権を他のユーザーに付与する前に、セキュリティ・オブジェクトへのアクセス権を持っている必要があります。付与できるアクセス・レベルは自分自身と同等以下のものとなります。組織の、変化する複数のニーズを満たすために、このような柔軟な設計となっています。

セキュリティ・オブジェクトの所有者はセキュリティ・オブジェクトを作成したエンティティであり、セキュリティ・オブジェクトに対する完全な読取り、書込みおよび変更アクセス権を持ちます。所有者は、任意の数のウォレットにセキュリティ・オブジェクトを追加して、様々なアクセス・レベルで他のユーザーと共有できます。

エンドポイントがOracle Key Vaultに登録されている場合は、エンドポイントのデフォルト・ウォレットを指定できます。デフォルト・ウォレットは、ウォレットまたはキーのアップロード時に仮想ウォレットが指定されていない場合に、キーがアップロードされる仮想ウォレットにエンドポイントが関連付けられることを保証します。

複数のエンドポイントが共通のデフォルト・ウォレットを持つことができます。このデフォルト・ウォレットの内容は、すべてのエンドポイントで共有され、これらのエンドポイントをエンドポイント・グループに追加する必要はありません。この機能を使用すると、複数のエンドポイントでキーを作成したり、Oracle Walletをデフォルト・ウォレットに直接アップロードすることができます。

Oracle Key Vaultでは、ユーザーとエンドポイントが実行するすべてのアクションが自動的に監査されます。

2.2 Oracle Key Vaultのデプロイメント・アーキテクチャ

Oracle Key Vaultは、オペレーティング・システム、データベースおよびOracle Key Vaultアプリケーションを使用して事前構成されたソフトウェア・アプライアンスとしてパッケージ化されています。

これにより、個々のコンポーネントをインストールして構成する必要はありません。オペレーティング・システムとデータベースの強化ベスト・プラクティスに応じて、セキュリティ面の強化が行われています。インストール・プロセスには不要なパッケージやソフトウェアは含まれておらず、必要なポートおよびサービスのみが有効になります。

エンドポイントは、OASIS Key Management Interoperability Protocol (KMIP)を使用して相互に認証されたトランスポート層セキュリティ(TLS)接続を介してOracle Key Vaultと通信します。

Oracle Key Vaultマルチマスター・クラスタ構成には、最大16のノードを含めることができます。2つは読取り/書込みノードで、残りは読取り/書込みペアまたは読取り専用ノードのいずれかの組合せである必要があります。マルチマスター構成には、プライマリ・スタンバイ構成を上回る複数の利点があります。マルチマスター構成とプライマリ・スタンバイ構成は相互に排他的です。

Oracle Key Vaultのプライマリ/スタンバイ構成では、1台のプライマリ・サーバーと1台のスタンバイ・サーバーが定義されます。プライマリ・サーバーはアクティブで、エンドポイントからのリクエストにサービスを提供します。プライマリからスタンバイへの通信に失敗した時間が、構成された時間のしきい値を超えた場合は、スタンバイ・サーバーがプライマリを引き継ぎます。プライマリ・サーバーとスタンバイ・サーバーの間のデータ・レプリケーションに関連する通信は、相互認証TLS接続です。これは、以前のリリースのOracle Key Vaultでは、プライマリ・スタンバイ・オプション(以前は高可用性と呼ばれた)と呼ばれていました。

次の図に、Oracle Key Vaultのデプロイメント・アーキテクチャを示します。

図2-1 Oracle Key Vaultのデプロイメント・アーキテクチャ

図2-1「Oracle Key Vaultのデプロイメント・アーキテクチャ」の説明

負荷が高く高可用性の要件を備え、地理的に分散した複数のデータ・センターがある場合は、マルチマスター・クラスタ構成にOracle Key Vaultをデプロイする必要があります。読取り/書込みペアは、データ・センター間にまたがる必要があります。データ・センター内にデータを保持する単一データ・センターの場合は、プライマリ・スタンバイ・デプロイメントではなく、Oracle Key Vaultの2ノード・クラスタ・デプロイメント(1つの読取り/書込みペア)を使用することを検討してください。それにより、リソース使用率が向上します(アイドル状態のスタンバイ・サーバーがない)。これは、時間の経過とともに需要が増加する場合の、増大するOracle Key Vaultクラスタに理想的なプラットフォームです。Oracle Key Vaultのスタンドアロン・デプロイメントは、テスト環境および開発環境で役立ちます。

2.3 アクセス制御の構成

Oracle Key Vaultでは、様々なアクセス・レベルでセキュリティ・オブジェクトへのアクセスを制御できます。

• アクセス制御の構成について
  組織における機能に適したレベルで、Oracle Key Vaultのセキュリティ・オブジェクトへのアクセス権をユーザーに付与できます。
• アクセス権
  仮想ウォレットに直接または間接的にアクセス権を付与できます。
• アクセス制御のオプション
  アクセス制御のオプションを使用すると、セキュリティ・オブジェクトの読取り、書込みおよび削除に必要なユーザーの権限のタイプを設定できます。

2.3.1 アクセス制御の構成について

ユーザーに対して、組織における機能に適したレベルで、Oracle Key Vaultのセキュリティ・オブジェクトへのアクセス権を付与できます。

セキュリティ・オブジェクトに対するアクセス制御を個別に設定したり、セキュリティ・オブジェクトを仮想ウォレットにグループ化する場合はアクセス制御を一括で設定することもできます。Oracle Key Vaultは、仮想ウォレットを使用して、一連のセキュリティ・オブジェクトを他のユーザーと共有します。仮想ウォレットでは、エンドポイントまたはユーザーに対してアクセス・レベルを設定できます。つまり、仮想ウォレットに含まれるすべてのセキュリティ・オブジェクトに対するアクセス権が同時に付与されます。

ユーザーまたはエンドポイントに対して個別にアクセス権を付与できるのに加えて、ユーザー・グループまたはエンドポイント・グループを使用して一括でアクセス権を付与することもできます。仮想ウォレットへのアクセス権が必要なエンドポイントが複数ある場合、これらのエンドポイントをエンドポイント・グループに追加し、そのエンドポイント・グループに仮想ウォレットへのアクセス権を付与するほうが簡単です。または、各エンドポイントに個別にアクセス権を付与することもできます。エンドポイント・グループに仮想ウォレットへのアクセス権を付与すると、エンドポイント・グループ内のすべてのメンバー・エンドポイントにアクセス権が付与されます。

2.3.2 アクセス権の付与

仮想ウォレットに対するアクセス権は、直接または間接的に付与できます。

• ユーザーおよびエンドポイントにアクセス権を直接付与します。

• ユーザー・グループおよびエンドポイント・グループにグループ・メンバーシップを介して間接的にアクセス権を付与します。ユーザー・グループおよびエンドポイント・グループにアクセス権を付与する場合は、グループのすべてのメンバーにアクセス権が付与されます。これは、各ユーザーまたはエンドポイントにアクセス権を個別に付与するかわりとなる便利な方法です。

Oracle Key Vault管理コンソールから、次の2つの方法で、仮想ウォレットに対するアクセス権のマッピングを付与できます。

• ユーザー、エンドポイントまたはそれぞれのグループから。ユーザー、エンドポイントまたはそれぞれのグループから開始して、ウォレットおよびこのユーザーに対するアクセス権のマッピングを追加できます。

• 仮想ウォレットから。仮想ウォレットから開始して、設定したアクセス権のマッピングでこれにアクセスできるユーザー、エンドポイントおよびそれぞれのグループを追加できます。

2.3.3 アクセス制御のオプション

アクセス制御のオプションを使用すると、セキュリティ・オブジェクトの読取り、書込みおよび削除に必要なユーザーの権限のタイプを設定できます。

仮想ウォレットに対するアクセスは、ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループに対して、組織でのロールおよび機能に応じて異なるアクセス・レベルを設定することによって制御できます。

次の3つのアクセス・レベルがあります。

• 「Read Only」は、セキュリティ・オブジェクトに対する読取り権限を付与します。

• 「Read and Modify」は、セキュリティ・オブジェクトに対する読取り権限および変更権限を付与します。

• 「Manage Wallet」は、次の権限を付与します。

  • 仮想ウォレットに対してセキュリティ・オブジェクトを追加または削除します。ユーザーは、仮想ウォレットに追加するセキュリティ・オブジェクトに対する「Read and Modify」アクセス権を持っている必要があります。

  • 他のユーザーにウォレットへのアクセス権を付与します

  • ウォレットの設定(説明など)を変更します

  • ウォレットを削除します

2.4 Oracle Key Vault内の管理ロールとエンドポイント権限

Oracle Key Vaultには、企業ニーズを満たすために様々な方法で組み合せることができる義務の分離に準拠した管理ロールとエンドポイント権限が用意されています。

• Oracle Key Vaultでの義務の分離
  Oracle Key Vaultのロールとシステム権限をユーザーに付与するときは、必ず義務の分離のガイドラインに従ってください。
• 管理ロール
  Oracle Key Vaultの管理ロールには、システム管理者、キー管理者および監査マネージャがあります。
• エンドポイント権限
  Oracle Key Vaultには、エンドポイントとエンドポイント・グループを作成および管理するための権限があります。

2.4.1 Oracle Key Vaultでの義務の分離

Oracle Key Vaultのロールとシステム権限をユーザーに付与するときは、必ず義務の分離のガイドラインに従ってください。

Oracle Key Vaultユーザーは、職務によって管理ロールを割り当てることができるため、システム管理者ロール、キー管理者ロールおよび監査マネージャ・ロールの間で明確な義務の分離が存在します。エンドポイント作成、エンドポイント管理、エンドポイント・グループ作成およびエンドポイント・グループ管理の各権限により、それよりも強力な権限のある管理ロールを付与することなく、ユーザーはエンドポイントまたはエンドポイント・グループのサブセットを管理できます。管理権限を持たないユーザーを作成することもできます。

厳格な義務の分離環境では、それぞれのユーザーが異なる職務を担当します。たとえば、エンドポイントの場合、エンドポイントを管理する操作とエンドポイントに権限を付与する操作は、別のユーザーが実行する必要があります。システム管理者ロールまたはエンドポイント管理権限を持つユーザーのみがエンドポイントをエンロールでき、キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーのみがエンドポイントをエンドポイント・グループに追加できます。

次の2つの方法で、義務の分離を実現できます。

• ロールまたは権限が付与されている担当者ごとに、その担当者が管理する機能領域に応じた適切な権限を付与します。たとえば、ユーザー管理、バックアップ/リカバリ管理、エンドポイント管理などのシステム関連タスクのためにシステム管理者ロールを付与します。また、暗号化キー、ウォレットおよびエンドポイント・グループを管理するためにはキー管理者ロール(Oracle Key Vaultインタフェース内)を付与し、監査関連タスクを管理するためには監査マネージャ・ロールを付与します。

• きめ細かいアクセス制御の区分を使用して、あるオブジェクトまたは機能へのアクセス権をその他すべてのオブジェクトまたは機能から独立するようにユーザーに付与します。たとえば、担当領域に基づいて、エンドポイント管理権限とエンドポイント・グループ管理権限を別のユーザーに付与します。これらのユーザーは、自分の機能を実行するために、管理ロールを持っている必要はありません。

Oracle Key Vaultとやり取りするすべてのユーザーが、独自の一意のユーザー・アカウントおよびパスワードを持つようにします。システム管理者ロールとキー管理者ロールには強力な権限が与えられているため、該当するユーザーは信頼できる人物であり、管理する領域に関する知識が豊富であることも必要です。

2.4.2 管理ロール

Oracle Key Vaultの管理ロールには、システム管理者、キー管理者および監査マネージャがあります。

• Oracle Key Vaultの管理ロールについて
  Oracle Key Vaultには、システム管理者、キー管理者、監査マネージャというロールが用意されています。
• システム管理者ロールの職務
  Oracle Key Vaultシステム管理者は、一般的なシステム関連のタスクを担当します。
• 主な管理者ロールの職務
  Oracle Key Vaultキー管理者は、セキュリティ・オブジェクトの管理を担当します。
• 監査マネージャ・ロールの職務
  Oracle Key Vault監査マネージャは、監査関連のタスクを担当します。

2.4.2.1 Oracle Key Vaultの管理ロールについて

Oracle Key Vaultには、システム管理者、キー管理者、監査マネージャというロールが用意されています。

• システム管理者ロールには、ユーザーの作成と管理、エンドポイントの作成と管理、システム設定とアラートの構成、およびOracle Key Vaultの一般的な管理を行うための権限が含まれています。これは権限が最も強いロールです。
• キー管理者ロールには、キーのライフサイクルの管理、およびOracle Key Vault内のすべてのセキュリティ・オブジェクトへのアクセスの制御を行うための権限が含まれています。
• 監査マネージャ・ロールには、監査ライフサイクルおよび監査ポリシーを管理するための権限が含まれています。

システム管理者、キー管理者および監査マネージャの各ロールは、多様な組織のニーズと構造を柔軟にサポートできるように設計されています。こうしたロールを持つユーザーは、別のユーザーに自分のロールを付与できます。1人の管理ユーザーが2つの管理機能を実行している場合、そのユーザーはOracle Key Vaultの2つのロールを持つことになります。このユーザーは、必要に応じて1つまたは両方のロールを他のユーザーに付与できます。たとえば、1人のユーザーがシステム管理者ロールおよびキー管理者ロールの両方を持っている場合は、組織のニーズに応じてこれらのロールの両方または1つのみを別のユーザーに付与できます。

インストール後タスクの1つは、この3つの管理ロールに対応する3人の管理ユーザーを作成することです。また、インストール・プロセスでは、リカバリ・パスフレーズの作成も求められます。管理ユーザーが存在しない場合には、Oracle Key Vaultの操作と管理を確実に継続できるようにするために、リカバリ・パスフレーズを使用してインストール後の構成を繰り返すことで、3人の管理ユーザーを作成します。

ユーザーには任意のエンドポイントの管理権限を付与できます。そのユーザーがエンドポイントとエンドポイント・グループのどちらを作成したかは関係ありません。その他にユーザーが権限を持つことができる具体的な領域として、仮想ウォレットの管理があります。これらのユーザーには、組織内での機能に適した仮想ウォレットへのアクセス権を付与できるため、セキュリティ・オブジェクトへのアクセスを、必要とするユーザーのみに制限できます。このように、セキュリティ・オブジェクトへのアクセスは制御されますが、企業の進化するニーズを満たすための柔軟性もあります。

管理コンソール・インタフェースを使用する場合、様々なタブ、メニューおよびアクションへのアクセス権は、アクセス権を持っているロールやオブジェクトによって異なります。

2.4.2.2 システム管理者ロールの職務

Oracle Key Vaultのシステム管理者は、一般的なシステム関連のタスクを担当します。

• ユーザーの作成および管理

• エンドポイントの追加と管理(エンドポイントを処理する権限は、個々の通常ユーザーに付与することもできます)

• プライマリ・スタンバイ・サーバーの設定

• アラートとキー・ローテーションのリマインダの構成

• バックアップのスケジューリング

• Oracle Key Vaultの開始と停止

• 電子メール通知のSMTPサーバー設定の構成

• FIPSモードの有効化または無効化

• ハードウェア・セキュリティ・モジュールを使用するためのOracle Key Vaultの構成

• リモート・モニタリング用のSNMPの構成

• RESTfulサービスを介した自動エンドポイント・エンロールおよびキー管理の有効化

• Oracle Audit Vaultのモニタリング・プロセスが実行されているかどうかの確認

• Oracle Cloud Database as a Serviceのエンドポイントに対するSSHトンネルの作成

• クラスタの設定

• クラスタの管理およびモニタリング

• クラスタ構成の管理

• 別のユーザーに対するシステム管理者ロールの付与と取消し

• 別のユーザーに対するエンドポイント作成権限とエンドポイント管理権限の付与と取消し

2.4.2.3 キー管理者ロールの職務

Oracle Key Vaultのキー管理者は、セキュリティ・オブジェクトの管理を担当します。

• セキュリティ・オブジェクトのライフサイクルの管理

• すべての仮想ウォレットおよびセキュリティ・オブジェクトに対する完全なアクセス権の保有

• エンドポイント・グループの追加と管理(エンドポイント・グループを処理する権限は、個々の通常ユーザーに付与することもできます)

• ユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループの仮想ウォレットに対するアクセス権の制御

• 別のユーザーに対するキー管理者ロールの付与と取消し

• 別のユーザーに対するエンドポイント・グループ作成権限とエンドポイント・グループ管理権限の付与と取消し

2.4.2.4 監査マネージャ・ロールの職務

Oracle Key Vaultの監査マネージャは、監査関連のタスクを担当します。

• Oracle Key Vault監査レコードをエクスポートまたは削除する権限を持っている唯一のユーザーとしての監査証跡の管理

• すべてのセキュリティ・オブジェクトに対する読取りアクセス権の保有

• 監査設定の管理

• 他のユーザーへの監査マネージャ・ロールの付与

• Oracle Key VaultとのOracle Audit Vault統合の管理

2.4.3 エンドポイント権限

Oracle Key Vaultには、エンドポイントとエンドポイント・グループを作成および管理するための権限があります。

• Oracle Key Vaultのエンドポイント権限について
  Oracle Key Vaultには、システム管理者ロールとキー管理者ロールを持たないユーザーが、エンドポイントとエンドポイント・グループを作成および管理できるようにするためのきめ細かいエンドポイント管理権限が用意されています。
• エンドポイント作成権限の職務とスコープ
  エンドポイント作成システム権限によって、ユーザーはエンドポイントを作成できるようになります。
• エンドポイント管理権限の職務とスコープ
  エンドポイントに対するエンドポイント管理オブジェクト権限によって、ユーザーはそのエンドポイントに対するすべてのエンドポイント管理操作を実行できるようになります。
• エンドポイント・グループ作成権限の職務とスコープ
  エンドポイント・グループ作成システム権限によって、ユーザーはエンドポイント・グループを作成できるようになります。
• エンドポイント・グループ管理権限の職務とスコープ
  エンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限によって、ユーザーはそのエンドポイント・グループに対するすべてのエンドポイント・グループ管理操作を実行できるようになります。

2.4.3.1 Oracle Key Vaultのエンドポイント権限について

Oracle Key Vaultには、システム管理者ロールとキー管理者ロールを持たないユーザーが、エンドポイントとエンドポイント・グループを作成および管理できるようにするためのきめ細かいエンドポイント管理権限が用意されています。

これに該当する権限は次のとおりです。

• エンドポイント作成システム権限では、ユーザーがエンドポイントを作成できるようにします。
• エンドポイント管理オブジェクト権限はエンドポイントに対するオブジェクト権限であり、ユーザーがそのエンドポイントに対するすべての管理操作を実行できるようにします。
• エンドポイント・グループ作成システム権限では、ユーザーがエンドポイント・グループを作成できるようにします。
• エンドポイント・グループ管理オブジェクト権限はエンドポイント・グループに対するオブジェクト権限であり、ユーザーがそのエンドポイント・グループに対するすべての管理操作を実行できるようにします。

システム管理者ロールまたはキー管理者ロールを持つユーザーのみが、次のようにエンドポイント権限の付与と取消しを実行できます。

• エンドポイントの作成およびエンドポイント管理権限: システム管理者ロール
• エンドポイント・グループの作成およびエンドポイント・グループ管理権限: キー管理者ロール

システム管理者ロールとキー管理者ロールは、強力なロールです。これらのロールを持つユーザーは、別ユーザーに帰属するOracle Key Vaultのオブジェクトを変更または削除できるようになります。エンドポイント権限とエンドポイント・グループ権限を使用することで、そうしたロールを持たない通常のユーザーが特定のエンドポイントおよびエンドポイント・グループのセットを作成および管理できるようにします。そうしたユーザーは、その他の管理権限のないエンドポイントやエンドポイント・グループに対する操作を実行できません。これらの権限は、それぞれのユーザーによって管理される異なるエンドポイントとエンドポイント・グループのセットの間の分離を実装するために役立ちます。たとえば、あるユーザーの集団がすべてのクラウド・データベース・エンドポイントの管理を担当し、それ以外のユーザーがすべてのオンプレミス・データベース・エンドポイントの管理を担当できるようになります。

これらの権限は、エンドポイントまたはエンドポイント・グループの操作がOracle Key Vault管理コンソールまたはOracle Key Vault RESTfulサービス・コマンドライン・インタフェースから実行されるときに強制的に要求されます。

2.4.3.2 エンドポイント作成権限の職務とスコープ

エンドポイント作成システム権限によって、ユーザーはエンドポイントを作成できるようになります。

ユーザーにエンドポイント作成権限が付与されているときには、そのユーザーにシステム管理者ロールがすでに付与されていないかぎり、Oracle Key Vaultは自動的にエンドポイント管理権限も付与します。エンドポイント管理の付与されたユーザーは、そのユーザーが作成したエンドポイントに対する管理操作を実行できます。

ユーザーがエンドポイントを作成すると、このエンドポイントに対するエンドポイント管理権限がOracle Key Vaultによってユーザーに自動的に付与されるため、ユーザーは作成したエンドポイントを管理できます。このとき追加の権限の付与は必要ありません。ただし、このエンドポイントに対するユーザーのエンドポイント管理権限は後で取り消すことができます。

このエンドポイントがユーザーが作成した最初のエンドポイントであるときに、そのユーザーが別のエンドポイントのエンドポイント管理権限を所持していない場合、このユーザーはログアウトしてからOracle Key Vault管理コンソール・セッションに再度ログインする必要があります。そうすることで、このユーザーはそのエンドポイントに対するエンドポイント管理権限を行使できるようになります。

エンドポイント作成権限の付与または取消しを実行できるユーザー

システム管理者ロールを持つユーザーのみが、エンドポイント作成権限の付与または取消しを実行できます。エンドポイント作成権限を持つユーザーは、どのユーザーに対してもこの権限を付与または取消しすることはできません。ユーザーは、そのユーザーが管理ロールを持っていない場合に、エンドポイント作成権限を付与されることのみ可能です。ユーザーがこの権限を持っている場合、そのユーザーには管理ロールを付与できません。

エンドポイント作成権限とエンドポイント管理権限の連動について

エンドポイント管理権限はエンドポイントを作成したときにエンドポイント作成権限が付与されたユーザーに自動的に付与されますが、このユーザーのエンドポイント管理権限はいつでも取り消すことができます。そうすることで、このユーザーをエンドポイントの作成のみに制限して、エンドポイントの変更または削除ができないようにします。

システム管理者ロールとエンドポイント作成権限

以前のリリースと同様に、システム管理者がエンドポイントを作成できることに変わりはありません。ユーザーからシステム管理者ロールが取り消されると、そのユーザーはエンドポイントを作成できなくなります。ただし、そのユーザーがエンドポイントを作成できるようにするためのエンドポイント作成権限を付与できるようになりました。

エンドポイント作成権限の取消し

エンドポイント作成権限を取り消すと、ユーザーはそれ以上のエンドポイントを作成できなくなります。ユーザーは、自分自身からエンドポイント作成権限を取り消すことはできません。エンドポイント作成権限は、1つ以上のエンドポイントに対するユーザーのエンドポイント管理権限に影響を与えることなく、ユーザーから取消しできます。

エンドポイント作成権限が付与されているユーザーの削除

エンドポイント作成者には、エンドポイントの永久的な所有権はありません。エンドポイントの作成者に付与されたそのエンドポイントに対するエンドポイント管理権限は取消しできます。この権限を取り消すことで、エンドポイント作成者はそのエンドポイントを管理できなくなります。エンドポイントの作成者を削除することは、このユーザーにエンドポイントを作成したときのエンドポイント管理権限が付与されている可能性があることを除いて特別な意味はありません。そのエンドポイントに対するエンドポイント管理権限を持つ別のユーザーが存在しない場合は、システム管理者がそのエンドポイントの管理を担当するようになります。

2.4.3.3 エンドポイント管理権限の職務とスコープ

エンドポイントに対するエンドポイント管理オブジェクト権限では、ユーザーがそのエンドポイントに対するすべての管理操作を実行できるようにします。

エンドポイントに対するエンドポイント管理権限を持つユーザーは、次のタスクを実行できます。

• エンドポイントに対するすべてのエンドポイント管理操作(再エンロール、一時停止、再開、削除など)を実行します。
• ユーザーがサブジェクト・ウォレットに対する完全なアクセス権も持っている場合は、そのエンドポイントのデフォルト・ウォレットを設定します。

エンドポイント管理権限の付与または取消しを実行できるユーザー

システム管理者ロールを持つユーザーのみが、エンドポイント管理権限の付与または取消しを実行できます。エンドポイント管理権限を持つユーザーが、この権限を別のユーザーに対して付与または取消しすることはできません。ユーザーは、そのユーザーが管理ロールを持っていない場合に、エンドポイント管理権限を付与されることのみ可能です。ユーザーがこの権限を持っている場合、そのユーザーには管理ロールを付与できません。

システム管理者ロールとエンドポイント管理権限を持つユーザー

以前のリリースと同様に、エンドポイント作成権限を持つユーザーが作成したエンドポイントを含めて、システム管理者がエンドポイントを管理できることに変わりはありません。ユーザーからシステム管理者ロールが取り消されると、そのユーザーはそのロールで以前に作成したエンドポイントを含めて、どのエンドポイントも管理できなくなります。ユーザーがエンドポイントを管理できるようにするために、ユーザーにはエンドポイントに対するエンドポイント管理権限を明示的に付与する必要があります。

エンドポイントに関連付けられたオブジェクトとウォレット

エンドポイントで作成されたオブジェクトは、そのエンドポイントによって常に所有されます。エンドポイント作成者またはエンドポイント管理権限を持つユーザーが、エンドポイントで作成されたオブジェクトへの自動的または暗黙的なアクセス権を取得することはありません。

エンドポイント管理権限を持つユーザーがウォレットに対する完全なアクセス権も持っている場合は、エンドポイントのデフォルト・ウォレットを設定できます。その後で、ユーザーからウォレットのアクセス権を取り消しても、エンドポイントのデフォルト・ウォレット設定に影響はありません。

エンドポイント管理権限の取消し

エンドポイントに対するエンドポイント管理権限は、ユーザーのエンドポイント作成権限ステータスに影響を与えることなく、ユーザーから取消しできます。ユーザーは、自分自身からエンドポイント管理権限を取り消すことはできません。エンドポイントに対するエンドポイント管理権限を持つユーザーが存在しない場合は、システム管理者ロールを持つユーザーがそのエンドポイントの管理を担当するようになります。

エンドポイント管理権限が付与されているユーザーの削除

エンドポイントを管理するユーザーが削除されても、システム管理者またはそのエンドポイントに対するエンドポイント管理権限を持つ別のユーザーはエンドポイントを引き続き管理できます。

2.4.3.4 エンドポイント・グループ作成権限の職務とスコープ

エンドポイント・グループ作成システム権限では、ユーザーがエンドポイント・グループを作成できるようにします。

ユーザーにエンドポイント・グループ作成権限を付与すると、そのユーザーがエンドポイント・グループを作成したときに、Oracle Key Vaultによって自動的にユーザーにエンドポイント・グループ管理権限が付与されます。エンドポイント・グループ管理が付与されたユーザーは、そのユーザーが作成したエンドポイント・グループに対して管理操作を実行することと、エンドポイント・グループに影響するウォレット操作を実行することが可能になります。

このエンドポイント・グループがユーザーが作成した最初のエンドポイント・グループであるときに、そのユーザーが別のエンドポイント・グループのエンドポイント・グループ管理権限を所持していない場合、このユーザーはログアウトしてからOracle Key Vault管理コンソール・セッションに再度ログインする必要があります。そうすることで、このユーザーはそのエンドポイント・グループに対するエンドポイント管理権限を行使できるようになります。

エンドポイント・グループ作成権限の付与または取消しを実行できるユーザー

キー管理者ロールを持つユーザーのみが、エンドポイント・グループ作成権限の付与または取消しを実行できます。エンドポイント・グループ作成権限を持つユーザーが、この権限を別のユーザーに対して付与または取消しすることはできません。ユーザーは、そのユーザーが管理ロールを持っていない場合に、エンドポイント・グループ作成権限を付与されることのみ可能です。ユーザーがこの権限を持っている場合、そのユーザーには管理ロールを付与できません。

エンドポイント・グループ作成権限とエンドポイント・グループ管理権限の連動について

エンドポイント・グループ管理権限はエンドポイント・グループを作成したときにユーザーに自動的に付与されますが、このユーザーのエンドポイント管理権限はいつでも取り消すことができます。そうすることで、このユーザーがそのエンドポイント・グループの変更または削除をできないようにします。

キー管理者ロールとエンドポイント・グループ作成権限を持つユーザー

以前のリリースと同様に、キー管理者がエンドポイント・グループを作成できることに変わりはありません。ユーザーからキー管理者ロールが取り消されると、そのユーザーはエンドポイント・グループを作成できなくなります。ただし、そのユーザーがエンドポイント・グループを作成できるようにするためのエンドポイント・グループ作成権限を付与できるようになりました。

エンドポイント・グループ作成権限の取消し

エンドポイント・グループ作成権限を取り消すと、ユーザーはそれ以上のエンドポイント・グループを作成できなくなります。ユーザーは、自分自身からエンドポイント・グループ作成権限を取り消すことはできません。エンドポイント・グループ作成権限は、1つ以上のエンドポイント・グループに対するユーザーのエンドポイント・グループ管理権限に影響を与えることなく、ユーザーから取消しできます。

エンドポイント・グループ作成権限が付与されているユーザーの削除

エンドポイント・グループ作成者には、エンドポイント・グループの永久的な所有権はありません。エンドポイント・グループの作成者に付与されたそのエンドポイント・グループに対するエンドポイント・グループ管理権限は取消しできます。この権限を取り消すことで、エンドポイント・グループ作成者はそのエンドポイント・グループを管理できなくなります。エンドポイント・グループの作成者を削除することは、このユーザーにはエンドポイント・グループを作成したときのエンドポイント・グループ管理権限が付与されている可能性があることを除いて特別な意味はありません。そのエンドポイント・グループに対するエンドポイント・グループ管理権限を持つ別のユーザーが存在しない場合は、キー管理者がそのエンドポイント・グループの管理を担当するようになります。

2.4.3.5 エンドポイント・グループ管理権限の職務とスコープ

エンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限では、ユーザーがそのエンドポイント・グループに対するすべての管理操作を実行できるようにします。

エンドポイント・グループに対するエンドポイント・グループ管理権限を持つユーザーは、エンドポイント・グループに対するすべてのエンドポイント・グループ管理操作(エンドポイント・グループに対するエンドポイントの追加や削除、エンドポイント・グループの削除など)を実行できます。このユーザーは、ウォレットへのアクセス権をエンドポイント・グループから継承します。このウォレットへのアクセス権限の継承は、エンドポイントまたはユーザーが、それぞれエンドポイント・グループまたはユーザー・グループからウォレット権限を継承するのと同様に動作します。

エンドポイント・グループ管理権限の付与または取消しを実行できるユーザー

キー管理者ロールを持つユーザーのみが、エンドポイント・グループ管理権限の付与または取消しを実行できます。エンドポイント・グループ管理権限を持つユーザーが、この権限を別のユーザーに対して付与または取消しすることはできません。ユーザーは、そのユーザーが管理者ロールを持っていない場合に、エンドポイント・グループ管理権限を付与されることのみ可能です。ユーザーがこの権限を持っている場合、そのユーザーには管理ロールを付与できません。

キー管理者ロールとエンドポイント・グループ管理権限を持つユーザー

以前のリリースと同様に、エンドポイント・グループ作成権限を持つユーザーが作成したエンドポイント・グループを含めて、キー管理者がエンドポイント・グループを管理できることに変わりはありません。ユーザーからキー管理者ロールが取り消されると、そのユーザーはそのロールで以前に作成したエンドポイント・グループを含めて、どのエンドポイント・グループも管理できなくなります。ユーザーがエンドポイント・グループを管理できるようにするために、ユーザーにはエンドポイント・グループに対するエンドポイント・グループ管理権限を明示的に付与する必要があります。

エンドポイント・グループからのウォレット・アクセス権の継承

• エンドポイント・グループに対するエンドポイント・グループ管理権限を付与されているユーザー(このユーザーはエンドポイント・グループ・マネージャとも呼ばれます)は、そのエンドポイント・グループからウォレットへのアクセス権を継承します。このウォレットへのアクセス権限の継承は、エンドポイントまたはユーザーが、それぞれエンドポイント・グループまたはユーザー・グループからウォレット権限を継承するのと同様に動作します。

  エンドポイント・グループにウォレット・アクセス権を付与することで、そのエンドポイント・グループに対するエンドポイント・グループ管理権限を持つすべてのユーザーに同じウォレット・アクセス権を暗黙的に付与することになります。このようにエンドポイント・グループから継承した権限は、ユーザーがエンドポイント・グループのエンドポイント・グループ・マネージャであるかぎり有効です。このルールにより、エンドポイント・グループのすべてのエンドポイント・グループ・マネージャが、そのエンドポイント・グループと同等以上のウォレットへのアクセス権を持っていることを保証します。これにより、エンドポイントがエンドポイント・グループに追加されたときに、そのエンドポイント・グループ・マネージャは、エンドポイントのメンバーシップをエンドポイント・グループに追加することによって、エンドポイントが暗黙的に付与されているウォレットのアクセス権を完全に認識した状態を維持できます。

• ユーザーの実際のウォレット・アクセス権は、次の項目を結合したものです。
  • ユーザーへの直接ウォレット・アクセス権の付与
  • このユーザーがメンバーになっているユーザー・グループから継承したウォレット・アクセス権の付与
  • このユーザーが管理を認可されているエンドポイント・グループから継承したウォレット・アクセス権

取消し操作がウォレットに与える影響

• エンドポイント・グループからウォレットのアクセス権を取り消すと、そのエンドポイント・グループのマネージャが、それぞれのエンドポイント・グループから継承したウォレット・アクセス権のみを失うことになります。エンドポイント・グループのマネージャは、直接付与またはユーザー・グループや別のエンドポイント・グループからのウォレット・アクセス権の継承から、同じウォレットに引き続きアクセスできます。
• エンドポイント・グループに対するエンドポイント・グループ管理権限をユーザー(エンドポイント・グループ・マネージャ)から取り消すと、そのエンドポイント・グループから今後のウォレット・アクセス権を継承できなくなります。
• エンドポイント・グループのマネージャは、該当するウォレットに対するウォレット管理アクセス権限を持っている場合、ウォレット・アクセスエンドポイント・グループから(または別のユーザー、ユーザー・グループ、エンドポイントまたはエンドポイント・グループから)ウォレットへのアクセス権を取り消すことができます。このアクセス権がエンドポイント・グループ自体から継承されていたとしても同じです。

エンドポイント・グループ管理権限の取消し

エンドポイント・グループ管理権限は、ユーザーのエンドポイント・グループ作成権限ステータスに影響を与えることなく、ユーザーから取消しできます。ユーザーは、自分自身からエンドポイント・グループ管理権限を取り消すことはできません。エンドポイントに対するエンドポイント・グループ管理権限を持つユーザーが存在しない場合は、キー管理者ロールを持つユーザーがそのエンドポイント・グループの管理を担当するようになります。

エンドポイント・グループ管理権限が付与されているユーザーの削除

エンドポイント・グループの作成者を削除しても、そのユーザーが作成したエンドポイント・グループには影響しません。エンドポイント・グループを管理するユーザーが削除されても、そのエンドポイント・グループに対するエンドポイント・グループの管理権限を持つ別のユーザーはエンドポイント・グループを引き続き管理できます。そのようなユーザーが存在しない場合は、キー管理者ロールを持つユーザーがエンドポイント・グループの管理を担当するようになります。

2.5 オブジェクトのネーミング・ガイドライン

このネーミング・ガイドラインは、ユーザー、ユーザー・グループ、エンドポイント、エンドポイント・グループおよび仮想ウォレットのOracle Key Vaultオブジェクトに影響します。

該当するオブジェクトのネーミング規則は次のとおりです。

• エンドポイント、エンドポイント・グループ、ユーザー・グループおよび仮想ウォレットの名前に使用できる文字は、文字(a–z、A–Z)、数字(0-9)、アンダースコア(_)、ピリオド(.)およびハイフン(-)です。
• ユーザー名に使用できる文字は、文字(a–z、A–Z)、数字(0-9)およびアンダースコア(_)です。
• ほとんどの環境で、許容されている名前の長さの最大バイト数は120バイトです。Oracle Key Vaultリリース18.5以降にアップグレードしていないノードがあるマルチマスター・クラスタ環境では、最大24バイトのオブジェクト名を使用してください。
• ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループの名前は、大/小文字が区別されません。たとえば、pfitchとPFITCHは、Oracle Key Vaultでは同じユーザーと見なされます。
• 仮想ウォレットの名前は、大文字と小文字が区別されます。たとえば、wallet_hrとWALLET_HRは、Oracle Key Vaultでは異なる2つのウォレットと見なされます。

2.6 緊急時のシステム・リカバリのプロセス

インストール中に、緊急事態からのリカバリのためにOracle Key Vaultで使用する特別なリカバリ・パスフレーズを作成する必要があります。

これらの状況は、管理ユーザーがすぐに対応できない場合や、パスワードを忘れるなどのより日常的な事柄によって発生します。

リカバリ・パスフレーズは、次の状況で必要になります。

• Oracle Key Vaultにログインする管理ユーザーが不在の場合は、リカバリ・パスフレーズを使用してインストール後タスクを繰り返し、システム、キーおよび監査を管理する新しい管理ユーザーを作成できます。
• 以前のバックアップからOracle Key Vaultをリストアする場合は、そのバックアップに関連付けられたリカバリ・パスフレーズが必要です。
• クラスタ・モードでのノード・インダクション・プロセス中に、リカバリ・パスフレーズを要求されます。
• リカバリ・パスフレーズを定期的にリセットする場合は、これが必要になります。

これらの理由から、リカバリ・パスフレーズを安全かつアクセス可能な場所に保存し、以前のリカバリ・パスフレーズの記録を取ることが非常に重要です。リカバリ・パスフレーズは、マルチマスター・クラスタにノードを追加する場合に使用するパスフレーズと同じです。

リカバリ・パスフレーズの紛失からリカバリする唯一の方法は、Oracle Key Vaultを再インストールすることです。

2.7 ルートおよびサポート・ユーザー・アカウント

rootおよびsupportの両方のユーザー・アカウントが、コマンドライン・インタフェースで使用されます。

rootユーザー・アカウントは、Oracle Key Vaultをホストするオペレーティング・システムのスーパーユーザー・アカウントです。通常のOracle Key Vault管理ではrootアカウントは必要ありません。しかし、新しいバンドル・パッチにアップグレードする場合や、ディスク領域の追加などのコマンドライン操作を実行する場合は、rootアカウントを使用する必要があります。supportユーザーは、SSHが有効な場合にOracle Key Vaultをホストするオペレーティング・システムにリモートでログインできる唯一のアカウントです。

rootまたはsupportパスワードを誤って3回入力した場合、アカウントは短時間ロックされることに注意してください。

2.8 エンドポイント管理者

エンドポイント管理者は、Oracle Key Vaultを使用するOracleデータベースなどのエンティティであるエンドポイントを所有および管理します。

このユーザーは通常、システム、セキュリティまたはデータベースの管理者ですが、企業内でセキュリティのデプロイ、管理および維持を担当するユーザーである場合もあります。エンドポイント管理者は、エンドポイントのエンロールを担当します。(このユーザーは、エンドポイント管理権限とエンドポイント・グループ管理権限を持つOracle Key Vaultユーザーとは異なります)。

Oracle Databaseエンドポイントのエンドポイント管理者は、データベース管理を担当するデータベース管理者です。

2.9 FIPSモード

FIPSモードでは、Oracle Key VaultがFIPS 140-2コンプライアンスに準拠できます。

Federal Information Processing Standard (FIPS)パブリケーションは、National Institute of Standards and Technology (NIST)によって発行されます。暗号化モジュールに関するセキュリティ要件(FIPS PUB 140-2)というパブリケーションでは、いくつかの重要な領域に対するセキュリティ要件を指定します。これらのセキュリティ要件は、取扱注意ではあるが機密扱いでない情報を保護するセキュリティ・システム内で利用される暗号化モジュールによって満たされます。

Oracle Key VaultはFIPS 140–2に準拠しています。FIPS 140–2に準拠してインストールするオプションを選択すると、インストール時に必要なすべての変更が実行されます。インストール後に追加の変更は必要ありません。また、Oracle Key Vaultの初期インストール時にFIPS 140-2準拠を有効にしていなくても、インストール後に有効にすることもできます。FIPSモードを有効または無効にするには、Oracle Key Vaultを再起動する必要があります。