10 Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

仮想ウォレットを作成してセキュリティ・オブジェクトを格納し、そのウォレットを様々なアクセス・レベルで信頼できるピアと共有できます。

• 仮想ウォレットの管理
  仮想ウォレットは、作成した後ユーザーにアクセス権を付与できるセキュリティ・オブジェクトのコンテナです。
• 「Keys & Wallets」タブからの仮想ウォレットへのアクセス権の管理
  「Keys & Wallets」タブを使用して、仮想ウォレットへのアクセス権をエンドポイントに付与することや、エンドポイントから取り消すことができます。
• ユーザーのメニューからの仮想ウォレットへのアクセス権の管理
  ユーザー、エンドポイントおよびそれぞれのグループの仮想ウォレットに対するアクセス制御を管理するには、「Users」メニューまたは「Endpoints」メニューを使用できます。
• キーまたはセキュリティ・オブジェクトの状態の管理
  キーまたはセキュリティ・オブジェクトをアクティブ化または非アクティブ化する日付を設定し、一部の仮想ウォレットのセキュリティ・オブジェクトの状態を変更できます。
• セキュリティ・オブジェクトの詳細の管理
  これらのオブジェクトに関する詳細の検索やこれらの詳細の変更など、セキュリティ・オブジェクトに関する詳細を管理できます。

10.1 仮想ウォレットの管理

仮想ウォレットは、作成した後ユーザーにアクセス権を付与できるセキュリティ・オブジェクトのコンテナです。

• 仮想ウォレットについて
  仮想ウォレットは、セキュリティ・オブジェクトのコンテナです。
• 仮想ウォレットの作成
  仮想ウォレットを作成し、同時にその仮想ウォレットにセキュリティ・オブジェクトを追加できます。
• 仮想ウォレットの変更
  仮想ウォレットを変更して、同時にその仮想ウォレットにセキュリティ・オブジェクトを追加できます。
• 仮想ウォレットへのセキュリティ・オブジェクトの追加
  必要に応じて、いつでも仮想ウォレットに新しいセキュリティ・オブジェクトを追加できます。
• 仮想ウォレットからのセキュリティ・オブジェクトの削除
  必要に応じていつでも仮想ウォレットからセキュリティ・オブジェクトを削除することはできません。
• 仮想ウォレットの削除
  仮想ウォレットを削除すると、コンテナとしてのウォレットは削除されますが、それに含まれていたセキュリティ・オブジェクトは削除されません。

10.1.1 仮想ウォレットについて

仮想ウォレットは、セキュリティ・オブジェクトのコンテナです。

これらのセキュリティ・オブジェクトには、Transparent Data Encryption (TDE)キーストア、Oracleウォレット、Javaキーストア、証明書、機密データ、資格証明ファイルを含む、公開キーおよび秘密暗号化キーを指定できます。仮想ウォレットを使用すると、暗号化データへのアクセスが必要な複数のユーザーと共有するために、セキュリティ・オブジェクトをグループ化できます。

すべてユーザーが仮想ウォレットを作成できます。仮想ウォレットを作成したら、その仮想ウォレットにキーおよびその他のセキュリティ・オブジェクトを追加できます。さらに、他のユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループに対して、仮想ウォレットへの様々なレベルのアクセス権を付与できます。仮想ウォレットとそのウォレットの内容はいつでも変更できます。仮想ウォレットのユーザー・リストとそれぞれのアクセス・レベルも変更できます。

キー管理者を除いて、仮想ウォレットへのアクセス権は、ユーザーに明示的に付与する必要があります。ウォレットにオブジェクトを追加および削除したり、他のユーザーおよびグループに対してウォレットのアクセス権を付与および変更するには、ウォレットの読取り、変更および管理権限が必要です。

10.1.2 仮想ウォレットの作成

仮想ウォレットの作成とその仮想ウォレットへのセキュリティ・オブジェクトの追加は同時に実行できます。

ただし、空の仮想ウォレットを作成して、後でセキュリティ・オブジェクトを追加することもできます。仮想ウォレットに対するアクセス・マッピングはいつでも変更できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
3. 「Wallets」ページで、「Create」をクリックします。
   「Create Wallet」ページが表示されます。

   
   
   図21_create_wallet.pngの説明
   

4. 「Name」フィールドにウォレットの名前を入力し、「Description」に識別するための説明を入力します。
   「オブジェクトのネーミング・ガイドライン」を参照してください。
5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。

   「Make Unique」は、マルチマスター・クラスタ環境全体で仮想ウォレット名のネーミング競合を制御するのに役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成された仮想ウォレットは、ネーミング競合による影響を受けません。

   • 「Make Unique」を選択すると、仮想ウォレットは即座にアクティブになり、このウォレットを操作で使用できるようになります。
   • 「Make Unique」を選択しないと、ウォレットはPENDING状態で作成されます。その後、Oracle Key Vaultが名前解決操作を開始して、ウォレット名がクラスタ全体で一意の名前に変更される場合があります。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。ウォレット名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたウォレット名を受け入れるか、ウォレット名を変更する必要があります。ウォレット名を変更すると、名前解決操作が再起動され、ウォレットはPENDING状態に戻ります。PENDING状態のウォレットは、ほとんどの操作の実行に使用できません。
6. 「Add Wallet Contents」ペインで、ウォレットに追加する、リストされているセキュリティ・オブジェクトの名前の横にあるボックスを選択します。
   「Add Wallet Contents」ペインに、「Read and Modify」アクセス権を持っているセキュリティ・オブジェクトがリストされます。リストが空の場合、Oracle Key Vault内の既存のセキュリティ・オブジェクトに対するアクセス権はありません。この場合、セキュリティ・オブジェクトは、Oracle Key Vaultにアップロードした後に、ウォレットに追加することになります。
   「Wallet Contents」ペインの表の列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ダイアログ・ボックスで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。
7. 「Save」をクリックして、関連するセキュリティ・オブジェクトを含む新しいウォレットを作成します。

   「Wallet created successfully」メッセージが表示されます。「Wallets」ページが表示され、リストに新しいウォレットが表示されます。

   ウォレットの内容を表示するには、次の図に示すように、ウォレット名をクリックします。

   
   

   
   図21_wallet_contents.pngの説明

   
   

10.1.3 仮想ウォレットの変更

仮想ウォレットの変更とその仮想ウォレットへのセキュリティ・オブジェクトの追加は同時に実行できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
3. 「Wallets」ページで、変更するウォレットの「Edit」ボタンをクリックします。
4. 「Wallet Overview」ペインで、「Name」フィールドにウォレットの新しい名前を入力し、「Description」に識別の説明を入力します。
   「オブジェクトのネーミング・ガイドライン」を参照してください。
5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。

   「Make Unique」は、マルチマスター・クラスタ環境全体で仮想ウォレット名のネーミング競合を制御するのに役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成された仮想ウォレットは、ネーミング競合による影響を受けません。

   • 「Make Unique」を選択すると、仮想ウォレットは即座にアクティブになり、このウォレットを操作で使用できるようになります。
   • 「Make Unique」を選択しないと、ウォレットはPENDING状態で作成されます。その後、Oracle Key Vaultが名前解決操作を開始して、ウォレット名がクラスタ全体で一意の名前に変更される場合があります。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。ウォレット名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたウォレット名を受け入れるか、ウォレット名を変更する必要があります。ウォレット名を変更すると、名前解決操作が再起動され、ウォレットはPENDING状態に戻ります。PENDING状態のウォレットは、ほとんどの操作の実行に使用できません。
6. エンドポイントのアクセス設定を変更するには、「Wallet Access Settings」ペインで、「Add」をクリックして新しいエンドポイントを追加するか、「Remove」をクリックして既存のエンドポイントを削除します。
7. 「Wallet Contents」ペインで、ウォレットから削除する、リストされているセキュリティ・オブジェクトの名前の横にあるボックスを選択します。
   「Wallet Contents」ペインに、ウォレットに追加したセキュリティ・オブジェクトがリストされます。リストが空の場合、Oracle Key Vault内の既存のセキュリティ・オブジェクトに対するアクセス権はありません。この場合、セキュリティ・オブジェクトは、Oracle Key Vaultにアップロードした後に、ウォレットに追加することになります。
   「Wallet Contents」ペインの表の列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ダイアログ・ボックスで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。
   「Add Objects」または「Remove Objects」を選択します。
8. 「Save」をクリックして、関連するセキュリティ・オブジェクトを含む新しいウォレットを作成します。
9. 変更したウォレットのステータスを表示するには、左側のナビゲーション・バーで「Wallets」をクリックします。

   「Wallets」ページが表示され、変更したウォレットがPENDINGのステータスでリストに表示されます。

10.1.4 仮想ウォレットへのセキュリティ・オブジェクトの追加

必要に応じて、いつでも仮想ウォレットに新しいセキュリティ・オブジェクトを追加できます。

マルチマスター・クラスタでは、PENDING状態の仮想ウォレットにはセキュリティ・オブジェクトを追加できません。

1. 仮想ウォレットに対する「Manage Wallet」アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
3. 「Wallets」ページで、使用するウォレットに対応する「Edit」列の鉛筆アイコンをクリックします。
   「Wallet Overview」ページが表示されます。「Wallet Contents」ペインに、すでにウォレットにあるセキュリティ・オブジェクトがリストされます。
4. 「Wallet Contents」ページで、「Add Objects」をクリックして「Add Wallet Contents」ペインを表示します。
   「Add Wallet Contents」ページに、「Read and Modify」アクセス権を持っているセキュリティ・オブジェクトがリストされます。リストが空の場合、Oracle Key Vault内の既存のセキュリティ・オブジェクトに対するアクセス権はありません。この場合、セキュリティ・オブジェクトは、Oracle Key Vaultにアップロードした後に、ウォレットに追加することになります。
   「Add Wallet Contents」ページの表の列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ダイアログ・ボックスで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。
5. ウォレットに追加するセキュリティ・オブジェクトの横にあるボックスを選択します。
6. 「Save」をクリックします。
   確認メッセージが表示され、次に「Wallet Overview」ページが表示されます。「Wallet Contents」ペインに、追加された新しいセキュリティ・オブジェクトがリストされます。

10.1.5 仮想ウォレットからのセキュリティ・オブジェクトの削除

必要に応じていつでも仮想ウォレットからセキュリティ・オブジェクトを削除することはできません。

マルチマスター・クラスタでは、PENDING状態の仮想ウォレットからセキュリティ・オブジェクトを削除できます。

1. 仮想ウォレットに対する「Manage Wallet」アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
3. 「Wallets」ペインで、使用するウォレットに対応する「Edit」列の鉛筆アイコンをクリックします。
   「Wallet Overview」ページが表示されます。「Wallet Contents」ペインに、すでにウォレットにあるセキュリティ・オブジェクトがリストされます。
4. ウォレットから削除するセキュリティ・オブジェクトの横にあるボックスを選択します。
5. 「Remove Objects」をクリックします。
   「Wallet Overview」ページの「Wallet Contents」ペインに、修正されたリストが表示されます。
6. 「OK」をクリックして確定します。

10.1.6 仮想ウォレットの削除

仮想ウォレットを削除すると、コンテナとしてのウォレットは削除されますが、それに含まれていたセキュリティ・オブジェクトは削除されません。

これらのセキュリティ・オブジェクトは、引き続きOracle Key Vault内に残ります。この仮想ウォレットをダウンロードしたエンドポイントは、引き続きローカル・コピーを保持します。マルチマスター・クラスタでは、PENDING状態の仮想ウォレットは削除できません。

1. 仮想ウォレットに対するウォレット管理アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
3. 「Wallets」ページで、削除するウォレットの名前の横のボックスを選択します。
   同時に複数の仮想ウォレットを削除できます。
4. 「Delete」をクリックします。
5. 「OK」をクリックして確定します。

10.2 「Keys & Wallets」タブからの仮想ウォレットへのアクセス権の管理

「Keys & Wallets」タブを使用すると、仮想ウォレットへのアクセス権をエンドポイントに対して付与することや、エンドポイントから取り消すことができます。

• 「Keys & Wallets」タブからの仮想ウォレットへのアクセスの管理について
  アクセス制御により、どのユーザーとエンドポイントが仮想ウォレットおよびセキュリティ・オブジェクトを共有し、それらの仮想ウォレットに対してどのような操作を実行できるかを決定しています。
• ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループへのアクセス権の付与
  「Read Only」、、「Read and Modify」および「Manage Wallet」のアクセス・レベルを、ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループに付与できます。
• ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループへのアクセス権の変更
  仮想ウォレットにおけるユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループのアクセス設定は、「Keys & Wallets」タブから変更できます。

10.2.1 「Keys & Wallets」タブからの仮想ウォレットへのアクセス権の管理について

アクセス制御は、どのユーザーとエンドポイントが仮想ウォレットおよびセキュリティ・オブジェクトを共有し、それらの仮想ウォレットに対してどのような操作を実行できるかを決定しています。

ユーザー、エンドポイントおよびそれぞれのグループのアクセス制御を管理するには、仮想ウォレットへのウォレット管理アクセス権があるか、キー管理者である必要があります。

仮想ウォレットへのアクセス権を管理するには、「Keys & Wallets」タブを使用してウォレットを選択し、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループにそのウォレットへのアクセス権を付与します。

10.2.2 ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループへのアクセス権の付与

「Read Only」、「Read and Modify」および「Manage Wallet」アクセス・レベルを、ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループに付与できます。

ウォレットへのアクセス権を持つことで、そのウォレットのすべてのセキュリティ・オブジェクトへのアクセス権を持つようになります。マルチマスター・クラスタでは、仮想ウォレットがPENDING状態にある間は、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループにアクセス権を付与できません。

1. 仮想ウォレットに対する「Manage Wallet」アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
3. 「Wallets」ペインで、アクセス権を付与するウォレットに対応する「Edit」列の鉛筆アイコンをクリックします。
   「Wallet Overview」ページが表示されます。
4. 「Wallet Access Settings」ペインで、「Add」をクリックします。
   「Add Access to Wallet」ページが表示されます。

   
   図21_wallet_access_settings.pngの説明

5. 「Add Access to Wallet」ページの「Select Endpoint/User Group」の下で、「Type」メニューからアクセス権を付与するエンティティ・タイプを選択します。
   「Type」の可能な値は、「Endpoint Groups」、「Endpoints」、「User Groups」および「Users」です。

   選択したタイプによって、表示されるリストが決定されます。たとえば、「Type」として「Endpoint Groups」を選択すると、Oracle Key Vaultエンドポイント・グループのリストが「Endpoint Groups」の見出しの下に表示されます。「Users」を選択すると、Oracle Key Vaultユーザーのリストが「Users」の見出しの下に表示されます。

6. アクセス権を付与するエンティティに対応する「Name」表のチェック・ボックスを選択します。
7. 「Select Access Level」ペインで、次のいずれかのアクセス・レベルを選択します。
   • Read OnlyまたはRead and Modify
   • Manage Wallet
8. 「Save」をクリックします。
   「Wallet Access Settings」ペインに新しいエンティティが表示されます。

10.2.3 ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループへのアクセス権の変更

仮想ウォレットにおけるユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループのアクセス設定は、「Keys & Wallets」タブから変更できます。

マルチマスター・クラスタでは、仮想ウォレットがPENDING状態にある間は、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループへのアクセス権を変更できません。

1. 仮想ウォレットに対するウォレット管理権限を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
3. 「Wallets」ペインで、ウォレット名に対応する「Edit」列の鉛筆アイコンをクリックします。
   「Wallet Overview」ページが表示され、「Wallet Access Settings」にウォレットへのアクセス権を持っているエンティティとそのアクセス・レベルがリストされます。
4. 「Wallet Access Settings」で、「Subject Name」の下にあるエンティティに対応する鉛筆アイコンをクリックします。
   「Modify Access」ウィンドウが表示されます。「Wallet Access Settings」には、このウォレットへのアクセス権があるすべてのエンティティが「Subject Name」の下にリストされ、ユーザー、エンドポイント、ユーザーおよびエンドポイント・グループを含めることができます。
5. 変更するアクセス設定を選択して、「Save」をクリックします。
   「Successfully updated」というメッセージが表示されます。「Wallet Overview」ページが表示され、「Wallet Access Settings」にエンティティの新しいアクセス権のマッピングが表示されます。
6. 「Wallet Overview」ページで、「Save」をクリックします。

10.3 ユーザーのメニューからの仮想ウォレットへのアクセス権の管理

ユーザー、エンドポイントおよびそれぞれのグループの仮想ウォレットに対するアクセス制御を管理するには、「Users」メニューまたは「Endpoints」メニューを使用できます。

• 仮想ウォレットへのユーザー・アクセス権の付与
  「Users」タブを使用して、仮想ウォレットへのアクセス権を付与できます。
• 仮想ウォレットからのユーザー・アクセス権の取消し
  「Users」タブを使用して、ユーザーの仮想ウォレットへのアクセス権を取り消すことができます。
• 仮想ウォレットへのユーザー・グループ・アクセス権の付与
  「Users」タブを使用して、仮想ウォレットへのユーザー・グループ・アクセス権を付与できます。
• 仮想ウォレットからのユーザー・グループ・アクセス権の取消し
  「Users」タブを使用して、仮想ウォレットへのユーザー・グループ・アクセス権を取り消すことができます。

10.3.1 仮想ウォレットへのユーザー・アクセス権の付与

仮想ウォレットへのアクセス権は、「Users」タブを使用して付与できます。

マルチマスター・クラスタでは、仮想ウォレットがPENDING状態にある間は、仮想ウォレットへのユーザー・アクセス権を付与できません。

1. 仮想ウォレットに対するウォレット管理権限を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
3. 「Manage Users」ペインで、「User Name」列のユーザーの名前をクリックします。
4. 「Access to Wallets」ペインで、「Add」をクリックします。
   「Add Access to User」ページが表示されます。
5. 使用可能リストから仮想ウォレットを選択します。
6. 「Select Access Level」ペインで、目的のアクセス・レベルを選択します。
7. 「Save」をクリックします。
   「Access mapping successfully added」というメッセージが表示されます。追加されたウォレットを確認するには、ユーザーの「User Details」にある「Access to Wallets」を確認します。

10.3.2 仮想ウォレットからのユーザー・アクセス権の取消し

ユーザーの仮想ウォレットへのアクセス権は、「Users」タブを使用して取り消すことができます。

マルチマスター・クラスタでは、仮想ウォレットがPENDING状態にある間は、仮想ウォレットからユーザー・アクセス権を取り消すことはできません。

1. 仮想ウォレットに対するウォレット管理アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
3. 「Manage Users」ペインで、「User Name」列のユーザーの名前をクリックします。
4. 「Access to Wallets」ペインで、アクセス権を取り消す仮想ウォレットの横にあるボックスを選択します。
5. 「Remove」をクリックします。
6. 確認のウィンドウで、「OK」をクリックします。
   「Access Mapping(s) deleted successfully」というメッセージが表示されます。削除されたウォレットを確認するには、ユーザーの「User Details」にある「Access to Wallets」を確認します。

10.3.3 仮想ウォレットへのユーザー・グループ・アクセス権の付与

仮想ウォレットへのユーザー・グループ・アクセス権は、「Users」タブを使用して付与できます。

仮想ウォレットへのユーザー・グループ・アクセス権を付与すると、グループのすべてのメンバーがそのウォレット内のセキュリティ・オブジェクトへのアクセス権を持ちます。マルチマスター・クラスタでは、仮想ウォレットがPENDING状態にある間は、仮想ウォレットへのユーザー・グループ・アクセス権を付与できません。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Access」を選択します。
3. ユーザー・グループに対応する「Edit」列の鉛筆アイコンをクリックします。
4. 「Access to Wallets」ペインで、「Add」をクリックします。
   「Add Access to User Group」ページが表示されます。
5. 「Select Wallet」ペインで、1つ以上のウォレットのチェック・ボックスを選択します。
6. 「Select Access Level」ペインで、目的のアクセス・レベルを選択します。
7. 「Save」をクリックします。
   「Access mapping successfully added」というメッセージが表示されます。追加されたウォレットを確認するには、ユーザーの「User Groups」にある「Access to Wallets」を確認します。

10.3.4 仮想ウォレットからのユーザー・グループ・アクセス権の取消し

仮想ウォレットへのユーザー・グループ・アクセス権は、「Users」タブを使用して削除できます。

マルチマスター・クラスタ環境では、仮想ウォレットがPENDING状態にある間は、仮想ウォレットからユーザー・グループ・アクセス権を取り消すことはできません。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左のサイドバーの「Manage Access」を選択します。
   「User Groups」ページが表示されます。
3. ユーザー・グループに対応する「Edit」列の鉛筆アイコンをクリックします。
   「User Group Details」ページが表示されます。
4. 「Access to Wallets」ペインで、アクセス権を取り消す仮想ウォレットの横にあるボックスを選択します。
5. 「Remove」をクリックします。
6. 「OK」をクリックして確定します。
   「Access Mapping(s) deleted successfully」というメッセージが表示されます。リストから削除されたウォレットを確認するには、「User Groups」にある「Access to Wallets」を確認します。

10.4 キーまたはセキュリティ・オブジェクトの状態の管理

キーまたはセキュリティ・オブジェクトをアクティブ化または非アクティブ化する日付を設定し、一部の仮想ウォレットのセキュリティ・オブジェクトの状態を変更できます。

• キーまたはセキュリティ・オブジェクトの状態の管理について
  キーまたはセキュリティ・オブジェクトがアクティブになる日付、つまりその使用日時を制御できます。
• マルチマスター・クラスタによるキーおよびセキュリティ・オブジェクトへの影響
  マルチマスター・クラスタの1つのノードに作成したキーは、クラスタ内の他のノードに表示されるまでに多少時間がかかります。
• キーまたはセキュリティ・オブジェクトのアクティブ化
  キーは、「Active」または「Pre-Active」状態にできます。
• キーまたはセキュリティ・オブジェクトの非アクティブ化
  キーは、非アクティブ化に設定された日付を過ぎると非アクティブつまり期限切れになります。
• キーまたはセキュリティ・オブジェクトの取消し
  キーを取り消すと、その状態を「Deactivated」または「Compromised」に設定できます。
• キーまたはセキュリティ・オブジェクトの破棄
  使用されなくなったり、なんらかの方法で侵害されたキーは、破棄できます。

10.4.1 キーまたはセキュリティ・オブジェクトの状態の管理について

キーまたはセキュリティ・オブジェクトがアクティブな日付(使用可能な時期)を制御できます。

キーおよびセキュリティ・オブジェクトを取り消したり、破棄することができます。マルチマスター・クラスタは、異なるノード上のキーおよびセキュリティ・オブジェクトのアクティブ化時間または非アクティブ化時間に影響し、ネーミング競合が発生する可能性があることに注意してください。

10.4.2 マルチマスター・クラスタによるキーおよびセキュリティ・オブジェクトへの影響

マルチマスター・クラスタの1つのノードで作成するキーは、クラスタ内の他のノードでの表示に時間がかかります。

この時間は、ノード間のレプリケーション・ラグによって定義されます。レプリケーション・ラグの値は「Monitoring」ページの「Cluster Link State」ペインに表示され、このページには、「Cluster」タブを選択してアクセスできます。

Transparent Data Encryption (TDE)マスター暗号化キーを2つの異なるノード上の2つの異なるキーストアに追加した場合は、両方のキーストアに表示されます。

アクティブ化日、非アクティブ化日、プロセス開始日および保護停止日の調整には制限があります。これらの日付について、セキュリティ・オブジェクトへの変更が現在の時間に非常に近い場合は、レプリケーション・ラグが原因で状態の変更が発生することがあります。

マルチマスター・クラスタでのオブジェクトの作成と同様に、セキュリティ・オブジェクトには、異なるノードで作成されたオブジェクトとの名前の競合が発生することがあります。競合がある場合、Oracle Key Vaultでは一意の名前が提示されるか、名前を変更できます。

10.4.3 キーまたはセキュリティ・オブジェクトのアクティブ化

キーは、「Active」または「Pre-Active」状態にできます。

作成時には、ほとんどのキーが「Active」状態にあります。ただし、作成日よりも後のデータの保護に使用されるキーの場合は、「Process Start Date」を設定できます。現在、サード・パーティのKMIPクライアントでアップロードされたキーにかぎり、「Pre-Active」状態にして「Date of Activation」フィールドを設定できます。その他すべてのキーについては、「Date of Activation」の日付はシステムによって生成されるため、設定できません。

1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
3. 「Keys & Secrets」ページで、設定する項目に対応する、「Edit」の下の編集用鉛筆アイコンをクリックします。
4. 項目の「Object Details」ページで、「Activate」をクリックします。
5. 「OK」をクリックして確定します。

10.4.4 キーまたはセキュリティ・オブジェクトの非アクティブ化

キーは、非アクティブ化の設定がされた日付を過ぎると、非アクティブ化するか期限切れになります。

1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
3. 「Keys & Secrets」ページで、非アクティブ化する項目に対応する、「Edit」の下の編集用鉛筆アイコンをクリックします。
4. 項目の「Object Details」ページで、「Date of Deactivation」を、キーを非アクティブ化する日付に設定します。
5. 「Save」をクリックします。

10.4.5 キーまたはセキュリティ・オブジェクトの取消し

キーを取り消すと、その状態を「Deactivated」または「Compromised」に設定できます。

この時点で、キーは新しいデータの暗号化に使用できません。ただし、非アクティブ化されたキーは、ダウンロードして、古いデータの復号化に使用できます。

1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
3. 「Keys & Secrets」ページで、取り消す項目に対応する、「Edit」の下の編集用鉛筆アイコンをクリックします。
4. 「Object Details」ページで、「Revoke」をクリックします。
5. 「Revoke Object」ページの「Revocation Reason」ドロップダウン・リストから、取消しの理由を選択します。
6. オプションで、「Revocation Message」に詳細を追加します。
7. 「Save」をクリックします。

10.4.6 キーまたはセキュリティ・オブジェクトの破棄

使用されなくなったり、なんらかの方法で侵害されたキーは、破棄できます。

廃棄されたキーおよびセキュリティ・オブジェクトのメタデータは、廃棄後も、Oracle Key Vaultに保持されます。

1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
3. 「Keys & Secrets」ページで、破棄する項目に対応する、「Edit」の下の編集用鉛筆アイコンをクリックします。
4. 「Object Details」ページで、「Destroy」をクリックします。
5. 確認のウィンドウで、「OK」をクリックします。

10.5 セキュリティ・オブジェクト詳細の管理

これらのオブジェクトに関する詳細の検索やこれらの詳細の変更など、セキュリティ・オブジェクトに関する詳細を管理できます。

• セキュリティ・オブジェクトの詳細の管理について
  仮想ウォレット内のセキュリティ・オブジェクトを検索し、これらのセキュリティ・オブジェクトを追加、変更または削除できます。
• セキュリティ・オブジェクト項目の検索
  個々のセキュリティ・オブジェクトを表示する権限がある場合は、それらのオブジェクトを検索できます。
• セキュリティ・オブジェクトの詳細の表示
  キー管理者ロールを持つ管理ユーザーが、セキュリティ・オブジェクトの詳細を表示、追加および変更できます。
• セキュリティ・オブジェクトの詳細の追加または変更
  適切な権限を持つユーザーのみが、セキュリティ・オブジェクトの詳細を追加または変更できます。

10.5.1 セキュリティ・オブジェクトの詳細の管理について

仮想ウォレット内のセキュリティ・オブジェクトを検索し、これらのセキュリティ・オブジェクトを追加、変更または削除できます。

セキュリティ・オブジェクトは、明確な義務の分離があるOracle Key Vault管理ユーザーが管理します。セキュリティ・オブジェクトが含まれる仮想ウォレットのウォレット権限を管理するには、キー管理者ロールを持つユーザーであることが必要です。監査マネージャ・ロールを持っているユーザーは、セキュリティ・オブジェクトを表示できますが変更はできません。一方、システム管理者ロールを持っているユーザーは個々のセキュリティ・オブジェクトの表示もできません。

セキュリティ・オブジェクトの非アクティブ化日を設定し、セキュリティ・オブジェクトが期限切れになるときにアラートで通知できます。たとえば、オブジェクト有効期限のアラートを、しきい値を7日にして構成した場合は、オブジェクトの非アクティブ化日が7日以内になると、その有効期限アラートが発生します。このしきい値の期間には、24時間ごとに電子メール通知が送信されます。このアラートは、セキュリティ・オブジェクトがPRE-ACTIVE状態またはACTIVE状態の場合にのみ発生します。セキュリティ・オブジェクトが取り消されるか破棄されると、Oracle Key Vaultによってセキュリティ・オブジェクトの有効期限アラートが削除されます。

10.5.2 セキュリティ・オブジェクト項目の検索

個々のセキュリティ・オブジェクトを検索できるのは、これらのオブジェクトを表示する権限がある場合です。

1. キー管理者ロール、監査マネージャ・ロールを持っているユーザーまたは仮想ウォレットへのアクセス権を持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
   「Keys & Secrets」ページが開き、すべてのセキュリティ・オブジェクトが表で示されます。

   
   図212_keys_and_secrets.pngの説明

   デフォルトでは、表には、各セキュリティ・オブジェクトについて次の列があります。

   • 「Display Name」には、オブジェクトの名前がリストされます。

   • Type: セキュリティ・オブジェクトのオブジェクト・タイプを示します。有効な値は、「Symmetric Key」、「Public Key」、「Private Key」、「Template」、「Opaque Object」、「Certificate」および「Secret Data」です。

   • Wallet Membership: セキュリティ・オブジェクトを含む仮想ウォレット。

   • Creating Endpoint: セキュリティ・オブジェクトを所有するエンドポイント。

   • State: オブジェクトの状態を示します。有効な値は、「Active」、「Compromised」、「Deactivated」、「Destroyed」、「Destroyed Compromised」および「Pre-Active」です。

   • Creation Date: セキュリティ・オブジェクトがOracle Key Vaultに追加された日時。

   • Deactivation Date: セキュリティ・オブジェクトが無効化された日時。

   • Name: オブジェクトの実際の名前。

   • Unique Identifier: 項目を識別する、グローバルに一意のIDです。

   • Edit: 鉛筆アイコンは、セキュリティ・オブジェクトの「Object Details」ページにリンクしています。

   これらの列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ウィンドウで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。
3. セキュリティ・オブジェクトが表示されない場合は、検索バーまたは「Actions」メニューを使用して検索します。

10.5.3 セキュリティ・オブジェクトの詳細の表示

キー管理者ロールを持つ管理ユーザーが、セキュリティ・オブジェクトの詳細を表示、追加および変更できます。

管理ユーザーは、対応する「Object Details」ページから、セキュリティ・オブジェクトに対してこれらのアクションを実行できます。オブジェクトの詳細は、特定のセキュリティ・オブジェクトの属性で、セキュリティ・オブジェクトのタイプに依存します。

1. キー管理者ロールを持っているユーザーまたは仮想ウォレットへのアクセス権を持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。

2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。

3. 「Keys & Secrets」ページで、必要なセキュリティ・オブジェクトを検索します。

   「Keys & Secrets」ページには、Key Vault内のセキュリティ・オブジェクトの表が示されます。

   この表の列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ダイアログ・ボックスで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。

4. セキュリティ・オブジェクトに対応する「Edit」列の鉛筆アイコンをクリックします。

   セキュリティ・オブジェクトの属性が表示された「Object Details」ページが表示されます。次の画面には、このオブジェクトで実行できるすべてのアクティビティの一部が表示されます。

   
   図21_object_details.pngの説明

   「Object Details」ページで、セキュリティ・オブジェクトを非アクティブ化する日付または使用しない日付を設定できます。「Object Details」に表示される属性は、セキュリティ・オブジェクトのタイプによって変わります。「Symmetric Key」の属性は、「Private Key」または「Opaque Object」のものとは異なります。

   セキュリティ・オブジェクトを取消しまたは破棄したり、「Object Details」ページからウォレットに対してセキュリティ・オブジェクトを追加または削除できます。

   「Object Details」ページの「Wallet Membership」ペインを使用すると、ウォレットにセキュリティ・オブジェクトを追加したり、ウォレットからセキュリティ・オブジェクトを削除できます。

   「Object Details」ページには、次の属性が表示されます。

   • Display Name: ユーザーが項目を識別するために役立つサマリーの説明。たとえば、項目がTDEマスター暗号化キーの場合、「Identifier」には、接頭辞のTDE master encryption keyの後に、データベースがそのキーを識別するために使用する識別子が表示されます。

   • Unique Identifier: 項目を識別する、グローバルに一意のIDです。

   • Type: 項目のオブジェクト・タイプを示します。有効な値は、「Symmetric Key」、「Public Key」、「Private Key」、「Template」、「Opaque Object」、「Certificate」および「Secret Data」です。

   • State: セキュリティ・オブジェクトのステータスを示します。値は次のとおりです。

     • Pre-active: オブジェクトは存在しますが、暗号化目的にはまだ使用できません。

     • Active: オブジェクトは使用可能です。エンドポイントは、このオブジェクトがどの用途に適切かを判断するために、「Cryptographic Usage Mask」属性を調べる必要があります。

     • Deactivated: オブジェクトがアクティブではなくなっているため、(たとえば、暗号化または署名のための)暗号保護の適用には使用しないでください。ただし、以前に保護済のデータの復号化や検証の用途には、まだ適切である場合があります。

     • Compromised: オブジェクトは損われていると思われるため、使用しないでください。

     • Destroyed: オブジェクトは、いかなる目的にももう使用できません。

     • Destroyed Compromised: オブジェクトはセキュリティ侵害があったため破棄されました。いかなる目的でも、もう使用できません。

   • Creator: セキュリティ・オブジェクトを作成したエンドポイント。

   • Last Modified: 最終変更日。

   • Date of Creation: 作成日。

   • Date of Activation: アクティブ化の日付。

   • Process Start Date: データの暗号化にキーの使用を開始する日付。「Date of Activation」と同じかこれ以降にすることはできますが、これより前にすることはできません。

   • Protect Stop Date: この日付を過ぎると、キーを使用してデータを暗号化できなくなります。「Date of Deactivation」設定より後にすることはできません。

   • Date of Deactivation: 非アクティブ化の日付。

5. 「Advanced」をクリックして、セキュリティ・オブジェクトの暗号化属性を表示します。次の画面には、「Advanced」で実行できるすべてのアクティビティの一部が表示されます。

   
   図21_object_details_advanced.pngの説明

   属性情報と問合せは、項目タイプによって異なります。属性の例は次のとおりです。

   • Cryptographic Algorithms: その項目によって使用されている暗号化アルゴリズム

   • Key Usage: キーを使用できる操作クライアントはこれらの属性を使用する場合もしない場合もあります。たとえば、Transparent Data Encryptionではキーの使用属性を参照しません。

   • Names: キーを識別するためにユーザーまたはエンドポイントがアタッチしたラベル

   • Custom Attributes: エンドポイントによって定義され、Oracle Key Vaultによる解釈が行われない追加の属性

   • Cryptographic Parameters: 項目によって使用される、暗号化アルゴリズムのオプションのパラメータ(たとえばブロック暗号モードやパディング方式)

   • Cryptographic Length: キーの長さ(ビット)

   • Retrieved at Least Once: オブジェクトがクライアントに提供されたかどうかを示します

   • Contact Information: 連絡目的のみに使用します

   • Digests: セキュリティ・オブジェクトのダイジェスト値

   • Link Details: 関連オブジェクトへのリンク

10.5.4 セキュリティ・オブジェクトの詳細の追加または変更

適切な権限を持つユーザーのみが、セキュリティ・オブジェクトの詳細を追加または変更できます。

セキュリティ・オブジェクトの属性を変更するには、キー管理者ロールを持っているユーザーであるか、そのセキュリティ・オブジェクトへの「Read and Modify」アクセス権が必要です。セキュリティ・オブジェクトを所有している場合、またはそのセキュリティ・オブジェクトを含む仮想ウォレットへのアクセス権がある場合は、セキュリティ・オブジェクトに対するRead and Modifyアクセス権を取得できます。

1. キー管理者ロールを持つユーザーまたは仮想ウォレットへのアクセス権があるユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
   「Keys & Secrets」ページには、すべてのセキュリティ・オブジェクトが表で示されます。この表の列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ダイアログ・ボックスで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。
3. セキュリティ・オブジェクトに対応する鉛筆アイコンをクリックします。
   「Object Details」ページが表示されます。
4. 「Advanced」ペインで、必要な変更を加えます。
5. ペインの右上隅にある「Save」をクリックします。