2 Oracle Key Vault RESTfulサービスのスタート・ガイド
RESTfulサービス・ユーティリティをダウンロードし、その構成ファイルをカスタマイズすると、Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドの使用を開始できます。
- Oracle Key Vault RESTfulサービスの有効化/無効化
RESTfulサービスは、Oracle Key Vault管理コンソールから有効化または無効化します。 - Oracle Key Vault RESTfulサービスの構成ファイルとロギング・ファイル
Oracle Key Vaultには、RESTfulサービス・ユーティリティ・コマンドの実行時に必須またはオプションの設定を指定するために使用できるokvrestcli.ini
ファイルとokvrestcli_logging.properties
ファイルが用意されています。 - Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドの実行
Oracle Key Vaultには、RESTfulサービス・ユーティリティ・コマンドを実行するための様々な方法があります。 - オブジェクトのネーミング・ガイドライン
このネーミング・ガイドラインは、ユーザー、ユーザー・グループ、エンドポイント、エンドポイント・グループおよび仮想ウォレットのOracle Key Vaultオブジェクトに影響します。 - LDAPユーザーによるRESTfulサービスの使用
通常のOracle Key Vault管理者と適切に認可されたLDAPユーザーは、どちらもサーバーにログインしてOracle Key Vault RESTfulサービス・ユーティリティ・コマンドを実行できます。
2.1 Oracle Key Vault RESTfulサービスの有効化/無効化
RESTfulサービスは、Oracle Key Vault管理コンソールから有効化または無効化します。
- RESTfulサービスの有効化
エンドポイント要件を確認して、ネットワーク・サービスを有効化した後で、RESTfulサービスの有効化とRESTfulソフトウェア・ユーティリティのダウンロードが可能になります。その後で、ユーティリティの構成ファイルをカスタマイズします。 - RESTfulサービスの無効化
RESTfulサービスは、管理タスクの実行時に短時間有効にする必要があります。
2.1.1 RESTfulサービスの有効化
エンドポイント要件を確認して、ネットワーク・サービスを有効化した後で、RESTfulサービスの有効化とRESTfulソフトウェア・ユーティリティのダウンロードが可能になります。その後で、ユーティリティの構成ファイルをカスタマイズします。
- ステップ1: エンドポイントのシステム要件の確認
RESTfulコマンドライン・インタフェースを使用してエンドポイントをプロビジョニングする前に、ネットワーク経由で安全にデータを転送するためのツールが必要です。 - ステップ2: ネットワーク・サービスの有効化
Oracle Key Vaultサーバーにアクセスするには、IPアドレスによってRESTfulクライアント用のWebアクセスを構成する必要があります。 - ステップ3: RESTfulサービスの有効化
ネットワーク・サービスを有効にした後、RESTfulサービスを有効にできます。 - ステップ4: RESTful Servicesユーティリティのダウンロード
RESTfulサービス・ユーティリティは、okvrestclipackage.zip
ファイル内にあります。 - ステップ5: RESTfulサービス・ユーティリティの構成
RESTfulサービス・ユーティリティのダウンロード後に、zipファイルに含まれている複数のファイルを変更する必要があります。
2.1.1.1 ステップ1: エンドポイントのシステム要件の確認
RESTfulコマンドライン・インタフェースを使用してエンドポイントをプロビジョニングする前に、ネットワーク経由で安全にデータを転送するためのツールが必要です。
親トピック: RESTfulサービスの有効化
2.1.1.2 ステップ2: ネットワーク・サービスの有効化
Oracle Key Vaultサーバーにアクセスするには、RESTfulクライアントのWebアクセスをそのIPアドレスごとに構成する必要があります。
親トピック: RESTfulサービスの有効化
2.1.1.3 ステップ3: RESTfulサービスの有効化
ネットワーク・サービスを有効にした後、RESTfulサービスを有効にできます。
親トピック: RESTfulサービスの有効化
2.1.1.4 ステップ4: RESTfulサービス・ユーティリティのダウンロード
RESTfulサービス・ユーティリティは、okvrestclipackage.zip
ファイル内にあります。
- 次のいずれかの方法を使用して、Oracle Key Vault RESTfulサービス・ユーティリティの
okvrestclipackage.zip
ファイルをダウンロードします。- Oracle Key Vault管理コンソールのホーム・ページから、次の操作を実行します。
- システム管理者ロールを持つユーザーとしてログインします。
- 「System」タブを選択します。
- 左側のサイドバーで、「Settings」を選択します。
- 「System Configuration」から「RESTful Services」を選択します。
- 「RESTful Services」ダイアログ・ボックスで、「Download」を選択します。
Oracle Key VaultのクラシックRESTfulサービス・ユーティリティをダウンロードするには、「Download Classic Utility」をクリックします。このバージョンの使用方法の詳細は、リリース18.6バージョンの『Oracle Key Vault管理者ガイド』を参照してください。
- 「Opening okvrestclipackage.zip」ダイアログ・ボックスで、「Save」を選択して
okvrestclipackage.zip
ファイルをローカルに保存します。
- Oracle Key Vault管理コンソールの「Endpoint Enrollment」および「Software Download」から、次の操作を実行します。
- Oracle Key Vault管理コンソールに接続します。
Oracle Key Vault管理コンソールへのログイン・ページが表示されます。ログインしないでください。
- ログイン・ページの右下隅にある「Login」で、「Endpoint Enrollment and Software Download」をクリックします。
- 「Download RESTful Service Utility」タブをクリックします。
- 「Download」ボタンをクリックします。
クラシックRESTfulサービス・ユーティリティをダウンロードするには、「Download Classic Utility」をクリックします。
- 安全な場所に
okvrestclipackage.zip
をダウンロードします。
- Oracle Key Vault管理コンソールに接続します。
- コマンドラインHTTPクライアント(
wget
やcurl
など)を使用します。プライマリ/スタンバイ構成の場合は、プライマリ・データベースのIPアドレスを入力します。次に例を示します。wget --no-check-certificate https://ip_address:5695/okvrestclipackage.zip curl -k https://ip_address:5695/okvrestclipackage.zip -o okvrestclipackage.zip curl -O -k https://ip_address:5695/okvrestclipackage.zip
- Oracle Key Vault管理コンソールのホーム・ページから、次の操作を実行します。
親トピック: RESTfulサービスの有効化
2.2 Oracle Key Vault RESTfulサービスの構成フィルとロギング・ファイル
Oracle Key Vaultには、RESTfulサービス・ユーティリティ・コマンドの実行時に必須またはオプションの設定を指定するために使用できるokvrestcli.ini
ファイルとokvrestcli_logging.properties
ファイルが用意されています。
- okvrestcli.ini構成ファイル
okvrestcli.ini
ファイルを使用すると、Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドに使用するグローバル設定を制御できます。 - okvrestcli_logging.propertiesログ・ファイルのパラメータ設定
okvrestcli_logging.properties
ログ・ファイルでは、Oracle Key Vault RESTfulサービスのアクティビティについてのロギングの処理方法を決定します。
2.2.1 okvrestcli.ini構成ファイル
okvrestcli.ini
ファイルを使用すると、Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドに使用するグローバル設定を制御できます。
- okvrestcli.ini構成ファイルについて
okvrestcli.ini
ファイルを使用すると、Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドの実行時に共通して使用される設定を構成できます。 - okvrestcli.iniの構成パラメータ
okvrestcli.ini
のパラメータは、ユーザーの名前とパスワード、okvclient.ora
ファイルの場所などの設定に対応しています。 - okvrestcli.iniファイルの[DEFAULT]および名前付きプロファイル
okvrestcli.ini
ファイルの[DEFAULT]
および名前付きプロファイル・セクションを使用すると、異なるコンテキストでコマンドを実行するときに適用できる構成パラメータ設定の各種セットを維持できます。 - okvrestcli.iniのパラメータの優先順位
Oracle Key Vault RESTfulサービス・コマンドを実行するときに、構成パラメータの値は優先順位に基づいて決定されます。 - 代替構成ファイルの使用
okvrestcli.ini
構成ファイルの代替パラメータ構成ファイルを使用できます。
2.2.1.1 okvrestcli.ini構成ファイルについて
okvrestcli.ini
ファイルを使用すると、Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドの実行時に共通して使用される設定を構成できます。
該当する設定には、ユーザーの名前やOracle Key VaultサーバーのIPアドレスなどがあります。RESTfulサービス・ユーティリティでは、このような種類のokvrestcli.ini
ファイル内のパラメータをコマンドの実行ごとに設定する必要があります。このファイルで設定した設定内容は、すべてのOracle Key Vault RESTfulサービス・ユーティリティ・コマンドに自動的に適用されるため、コマンドの実行ごとにコマンドラインで手動入力する必要がなくなります。
okvrestcli.ini
の構成パラメータは、名前付きプロファイルという異なるセクションにグループ化されています。それぞれのセクションには、プロファイル名とプロファイルに関連付けるパラメータのリストが含まれています。コマンドの実行時に名前付きプロファイルを指定(--profile
profile_name
パラメータを使用)すると、コマンドの実行に名前付きプロファイルの下にリストされている構成パラメータが適用されます。[DEFAULT]
プロファイルの下にリストされている構成パラメータは、名前付きプロファイルが指定されていない場合や、名前付きプロファイルの下にパラメータがリストされていない場合に適用されるデフォルトのパラメータ設定を表します。
デフォルトでは、okvrestcli.ini
の場所は、Oracle Key Vault RESTfulサービス・ユーティリティをダウンロードした場所と同じになります。これは、エンドポイントのOKV_HOME/conf
ディレクトリ内にあります。
関連項目
親トピック: okvrestcli.ini構成ファイル
2.2.1.2 okvrestcli.iniの構成パラメータ
okvrestcli.ini
のパラメータは、ユーザーの名前とパスワード、okvclient.ora
ファイルの場所などの設定に対応しています。
okvrestcli.ini
のパラメータは次のとおりです。
-
server
: 実行のためにコマンドが送信されるターゲットOracle Key Vaultサーバーを決定します。このサーバーのIPアドレスを入力します。サーバー情報は、okv_client_config
パラメータの設定時に、okvclient.ora
ファイルから取得することもできます。Oracle Key Vaultクラスタのマルチマスター・デプロイメントでは、Oracle Key Vaultは、エンドポイントのクラスタ・サブグループ設定と、クラスタ・トポロジまたはOracle Key Vaultクラスタ・ノードの状態についての変更に基づいて、エンドポイントの構成ファイル
okvclient.ora
のサーバー情報を動的に更新します。エンドポイントのokvclient.ora
から得られるサーバー情報を使用すると、okvrestcli.ini
のSERVER
パラメータを頻繁に更新しなくても、Oracle Key Vaultで最適なOracle Key Vaultノードを自動的に選択してRESTコマンドを実行できるようになります。 -
okv_client_config
: エンドポイントのokvclient.ora
ファイルのフルパスを指定します。デフォルトでは、このファイルは$OKV_HOME/conf
ディレクトリにあります。このパラメータは管理対象オブジェクトのRESTfulサービス・ユーティリティ・コマンドを実行する場合に必須です。そのコマンドは、常にエンドポイントのIDを使用して実行する必要があります。Oracle Key Vault RESTfulサービス・ユーティリティでは、okvclient.ora
ファイルから得られる次の情報のみを使用します。- サーバー情報: Oracle Key VaultサーバーのIPアドレスまたはホスト名
SSL_WALLET_LOC
: エンドポイントで使用されるウォレットの場所。
これは文字列値であり、必須です。
-
user
: RESTfulサービス・コマンドを実行するOracle Key Vaultユーザーを指定します。ユーザーには、コマンドを実行するための適切な権限が必要です。Oracle Key Vaultでは、管理対象オブジェクトのカテゴリに対応するRESTfulサービス・ユーティリティ・コマンドの実行時に、
user
パラメータは使用されません。こうしたコマンドは、常に、okv_client_config
パラメータで設定されたエンドポイントのIDを使用して実行されます。 -
client_wallet
: ユーザー資格証明が格納されているウォレットへの絶対パスを指定します。このウォレットは、ユーザーのパスワードを手動で指定することなくOracle Key Vaultサーバーにログインするために使用できます。ユーザー情報は、user
パラメータから取得されます。client_wallet
パラメータにより、無人モードで実行する必要がある自動化スクリプトの実装と使用が可能になります。Oracle Key Vaultでは、管理対象オブジェクトのカテゴリに対応するRESTfulサービス・ユーティリティ・コマンドの実行時に、
client_wallet
パラメータは使用されません。こうしたコマンドは、常に、okv_client_config
パラメータで設定されたエンドポイントのIDを使用して実行されます。 -
password
: RESTfulサービス・ユーティリティ・コマンドを実行するユーザーのパスワードを指定します。client_wallet
を指定したときに、password
パラメータは不要です。client_wallet
パラメータとpassword
パラメータの両方を指定すると、client_wallet
よりもpassword
パラメータが優先されます。Oracle Key Vaultでは、管理対象オブジェクトのカテゴリに対応するRESTfulサービス・ユーティリティ・コマンドの実行時に、
password
パラメータは使用されません。こうしたコマンドは、常に、okv_client_config
パラメータで設定されたエンドポイントのIDを使用して実行されます。 -
log_property
: Javaロギング・プロパティ・ファイルのフルパスを指定します。このパラメータが設定されていないときにRESTfulコマンドを実行すると、Oracle Key Vaultによって、log_property
が構成されていないというメッセージとともに、現行ディレクトリにINFO
レベルでデフォルト名のログ・ファイルが生成されます。デフォルトのログ・プロパティ・ファイルは、ダウンロードしたokvrestclipackage.zip
ファイルに含まれています。このファイルを使用すると、ログ・ファイルとその形式をカスタマイズできます。これは文字列値であり、オプションです。
親トピック: okvrestcli.ini構成ファイル
2.2.1.3 okvrestcli.iniファイルの[DEFAULT]および名前付きプロファイル
okvrestcli.ini
ファイルの[DEFAULT]
および名前付きプロファイル・セクションを使用すると、異なるコンテキストでコマンドを実行するときに適用できる構成パラメータ設定の各種セットを維持できます。
okvrestcli.ini
ファイルは、1つ以上の名前付きプロファイルのセクションとして編成されています。名前付きプロファイルのセクションは、論理的にグループ化された構成パラメータ設定のコレクションを表します。名前付きプロファイルのセクションには次の項目が含まれます。
[profile_name]
として示される名前付きプロファイル・セクション・ヘッダー- 名前プロファイル・ヘッダーの下の構成パラメータのリスト
名前付きプロファイルの下にリストされている構成パラメータ設定は、パラメータ--profile
profile_name
を使用して、コマンドラインでプロファイル名を指定することで適用します。
[DEFAULT]
プロファイルには、okvrestcli.ini
パラメータのデフォルト値をリストします。[DEFAULT]
プロファイルの下のパラメータ設定は、コマンドの実行時に名前付きプロファイルが指定されていない場合や、パラメータが名前付きプロファイルの下にリストされていない場合に適用されます。また、コマンドラインでパラメータを指定しないことも想定しています。
次の例では、異なるエンドポイントのIDを使用したOracle Key Vaultへの接続に適したプロファイルの使用方法を示します。これは、同じホストに分離されたPDBエンドポイントを構成した環境で役立ちます。このokvrestcli.ini
ファイルには、PDBエンドポイントごとの名前付きプロファイルがあり、それぞれのokvclient.ora
ファイルを指し示しています。
[DEFAULT]
log_property=/usr/local/okv/logging.property
server = 192.0.2.191
[HR_PDB]
okv_client_config=/usr/local/okv/hr_ep/okvclient.ora
[FIN_PDB]
okv_client_config=/usr/local/okv/finance_ep/okvclient.ora
[SALES_PDB]
okv_client_config=/usr/local/okv/sales_ep/okvclient.ora
HR_DB
エンドポイントを使用してキーを作成する場合は、[HR_DB]
プロファイルを使用します。
okv managed-object key create --profile HR_DB --algorithm AES --length 256 --mask "ENCRYPT,DECRYPT" --wallet hr_wallet
このコマンドでは、[HR_DB]
プロファイルから得られるokv_client_config
パラメータを使用します。その他の構成パラメータ(log_property
やserver
など)は、[DEFAULT]
プロファイルから適用されます。
この例では、マルチマスター・クラスタ環境でプロファイルを使用するユースケースを示します。ここでは、それぞれのノードで固有の設定を使用するクラスタ内のノードごとにプロファイルを作成します。次の例には、クラスタ内の3つのノードに対応するプロファイルが含まれます。
[DEFAULT]
log_property=/usr/local/okv/logging.property
user=okvadmin
server=192.0.2.191
[NODE1]
server=192.0.2.191
[NODE2]
server=192.0.2.192
[NODE3]
server=192.0.2.193
NODE2
に対するコマンドを実行する場合は、[NODE2]
プロファイルを使用します。
okv server status get --profile NODE2
このコマンドでは、[NODE2]
プロファイルから得られるサーバー・エントリを使用します。その他の構成パラメータ設定は、[DEFAULT]
プロファイルから得られる設定が使用されます。
[DEFAULT]
の設定とプロファイルを使用する前に、okvrestcli.ini
のパラメータの優先順位を理解しておいてください。
親トピック: okvrestcli.ini構成ファイル
2.2.1.4 okvrestcli.iniのパラメータの優先順位
Oracle Key Vault RESTfulサービス・コマンドを実行するときに、構成パラメータの値は優先順位に基づいて決定されます。
パラメータの優先順位
okvrestcli.ini
構成ファイルのパラメータ(server
エントリ以外)の優先順位は次のとおりです。
- ユーザーがコマンドラインで指定したパラメータ値。
- プロファイル・セクションで指定されたパラメータ値。ユーザーは、コマンドラインに
--profile
パラメータを含めます。 [DEFAULT]
プロファイルで指定されたパラメータ値。ユーザーはコマンドラインで何も参照しません。
パラメータの優先順位の動作例
この例では、次のokvrestcli.ini
ファイルでパラメータの優先順位がどのように動作するかを示します。このファイルには、[DEFAULT]
と[HR]
プロファイルに異なるuser
パラメータの設定が含まれています。
[DEFAULT]
user= psmith
[HR]
user=jgreenberg
- 例1: デフォルト・ユーザー
psmith
を指定する場合は、このユーザーに対する参照をコマンドラインに含めないようにします。okv manage-access endpoint-group add-endpoint --endpoint-group epg_1 --endpoint ep_1
- 例2: デフォルト・ユーザーを上書きして、
HR
プロファイル内のユーザーjgreenberg
を指定する場合は、コマンドラインでHR
プロファイルを指定します。okv manage-access endpoint-group add-endpoint --profile HR --endpoint-group epg_1 --endpoint ep_1
- 例3:
okvrestcli.ini
のすべてのuser
設定を上書きする場合は、コマンドラインに--user
設定を含めます。okv manage-access endpoint-group add-endpoint --user kjones --endpoint-group epg_1 --endpoint ep_1
serverパラメータの優先順位
server
パラメータの優先順位動作は、その他のokvrestcli.ini
のパラメータ設定とはわずかに異なります。この設定は、okvrestcli.ini
ファイルに加えて、okvclient.ora
ファイルからも得られるためです。okvclient.ora
ファイルの場所は、okvrestcli.ini
のokv_client_config
パラメータで指定します。直接指定したserver
エントリは、okv_client_config
パラメータのserver
エントリよりも優先されます。
server
エントリの優先度は次のとおりです。
- ユーザーがコマンドラインで指定した
server
パラメータ値。 - サーバー情報は、
okvclient.ora
ファイルから取得されます。このファイルをユーザーが指定する場合は、コマンドラインにokv_client_config
パラメータを含めます。 - プロファイル・セクションで指定された
server
パラメータ値。ユーザーは、コマンドラインに--profile
パラメータを含めます。 - サーバー情報は、プロファイル・セクションの
okv_client_config
パラメータで設定したokvclient.ora
ファイルから取得されます。このプロファイルは、ユーザーがコマンドラインで--profile
パラメータを使用して指定します。 [DEFAULT]
プロファイルで指定されたserver
パラメータ値。ユーザーはコマンドラインで何も参照しません。- サーバー情報は、
[DEFAULT]
セクションのokv_client_config
パラメータで指定したokvclient.ora
ファイルから取得されます。ユーザーはコマンドラインで何も参照しません。
serverパラメータの優先順位の動作例
次の例は、このパラメータの様々な設定方法に基づいて、どのようにserver
パラメータの優先順位が機能するかを示しています。
- 例1:
okvrestcli.ini
構成ファイルには、次に示す設定があると仮定します。[DEFAULT] server=192.0.2.190
このデフォルト設定を使用するには(IPアドレス192.0.2.190を使用するには)、このデフォルト設定への参照をコマンドラインに含めないようにします。
okv manage-access endpoint-group add-endpoint --endpoint-group epg_1 --endpoint ep_1
- 例2:
okvrestcli.ini
構成ファイルには、次に示す設定があると仮定します。[DEFAULT] okv_client_config=/usr/local/okv/okvclient/okvclient.ora
okv_client_config
パラメータは、使用するserver
設定が含まれているokvclient.ora
ファイルを指し示しています。okv_client_config
は[DEFAULT]
セクションにあるため、このokvclient.ora
を使用するには、その参照がコマンドラインに含まれないようにします。okv manage-access endpoint-group add-endpoint --endpoint-group epg_1 --endpoint ep_1
- 例3:
okvrestcli.ini
構成ファイルには、デフォルトおよび[NODE_1]
というプロファイルがあり、次のように設定されていると仮定します。[DEFAULT] okv_client_config=/usr/local/okv/okvclient/okvclient.ora [NODE_1] server=192.0.2.191
okv_client_config
のデフォルト・サーバー設定を192.0.2.191の[NODE_1]
プロファイル設定で上書きするには、コマンドラインに--profile
パラメータを含めます。okv manage-access endpoint-group add-endpoint --profile node_1 --endpoint-group epg_1 --endpoint ep_1
- 例4:
okvrestcli.ini
構成ファイルには、次に示す設定があると仮定します。[DEFAULT] server = 192.0.2.191 [HR] okv_client_config=/usr/local/okv/hr_ep/okvclient.ora
デフォルトを上書きして例3のように
okvclient.ora
ファイルのserver設定を使用するには、コマンドに--profile
パラメータを含めます。okv manage-access endpoint-group add-endpoint --profile hr --endpoint-group epg_1 --endpoint ep_1
- 例5: 次の
okvrestcli.ini
構成ファイルがあると仮定します。[DEFAULT] server = 192.0.2.191 [HR] okv_client_config=/usr/local/okv/hr_ep/okvclient.ora
この設定のすべてを上書きするには、コマンドラインで適切なサーバーIPアドレス設定を直接指定します。
okv manage-access endpoint-group add-endpoint --server 192.0.2.192 --endpoint-group epg_1 --endpoint ep_1
これは、
okv_client_config
パラメータ設定についても機能します。okv manage-access endpoint-group add-endpoint --okv_client_config /usr/local/okv/okvclient/okvclient.ora --endpoint-group epg_1 --endpoint ep_1
次の例では、名前付きプロファイル(
HR
)と--server
パラメータの両方を使用しています。この--server
パラメータは、[HR]
プロファイルで指定されているokvclient.ora
ファイルのserver
情報を上書きします。okv managed-object key create --profile HR --server 192.0.2.192 --algorithm AES --length 256 --mask "ENCRYPT,DECRYPT" --wallet hr_wallet
親トピック: okvrestcli.ini構成ファイル
2.2.2 okvrestcli_logging.propertiesログ・ファイルのパラメータ設定
okvrestcli_logging.properties
ログ・ファイルでは、Oracle Key Vault RESTfulサービスのアクティビティについてのロギングの処理方法を決定します。
okvrestcli_logging.properties
の変更はオプションです。これを構成しない場合、RESTfulサービス・ユーティリティ・コマンドを実行すると、Oracle Key Vaultによってデフォルトのロギング・ファイルが作成されて更新されます。
デフォルトでは、okvrestcli_logging.properties
ファイルの場所は、Oracle Key Vault RESTfulサービス・ユーティリティをダウンロードした場所になります。これは、エンドポイントのOKV_HOME/conf
ディレクトリ内にあります。
okvrestcli_logging.properties
のパラメータ設定は次のとおりです。
java.util.logging.FileHandler.pattern
では、出力ファイル名を生成するための次のいずれかのパターンを指定します。デフォルトは%h/java%u.log
です。/
: ローカル・パス名のセパレータです。%h
:user.home
システム・プロパティの値です。%g
: ローテーションされたログを区別するための世代番号です。%u
は、競合を解決するための一意の番号です。%%
: 単一のパーセント記号%
に変換されます。
java.util.logging.FileHandler.limit
では、1つのファイルに書き込むおおよその最大量(バイト)を指定します。ゼロの場合は、無制限になります。デフォルトは200000です。java.util.logging.FileHandler.count
では、循環させる出力ファイルの数を指定します。デフォルトは5です。java.util.logging.FileHandler.formatter
では、使用するFormatter
クラスの名前を指定します。デフォルトはjava.util.logging.XMLFormatter
です。java.util.logging.ConsoleHandler.level
では、ハンドラのデフォルト・レベルを指定します。デフォルトはINFO
です。指定可能なロギング・レベルは、
ALL
、TRACE
、FINEST
、FINER
、FINE
、CONFIG
、INFO
、WARNING
、SEVERE
およびOFF
です。INFO
以上のロギングでは完全な詳細が示されます。ロギング・レベルをSEVERE
に設定すると、一般に重大な問題に相当するSEVERE
ロギング・レベルのメッセージのみが表示されます。問題を診断するには、より多くの詳細が必要になることがあります。この情報は、重大な問題の発生によって得られるだけでなく、より多くの情報を生成するレベルによっても取得できます。
次に、この設定の例を示します。
handlers= java.util.logging.FileHandler
# default file output is in user's home directory.
java.util.logging.FileHandler.pattern = /usr/local/okv/okvrest.log
java.util.logging.FileHandler.limit = 200000
java.util.logging.FileHandler.count = 1
#java.util.logging.FileHandler.formatter = java.util.logging.XMLFormatter
java.util.logging.FileHandler.formatter = com.oracle.okv.rest.log.OkvFormatter
# Limit the message that are printed on the console to INFO and above.
java.util.logging.ConsoleHandler.level = FINER
#java.util.logging.ConsoleHandler.formatter = java.util.logging.XMLFormatter
java.util.logging.ConsoleHandler.formatter = com.oracle.okv.rest.log.OkvFormatter
2.3 Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドの実行
Oracle Key Vaultには、RESTfulサービス・ユーティリティ・コマンドを実行するための様々な方法があります。
- RESTfulサービス・ユーティリティ・コマンドの構文
RESTfulサービス・ユーティリティ・コマンドの構文は、okv
コマンドを使用することで動作します。 - RESTfulサービス・ユーティリティ・コマンドの実行方法
Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドは、コマンド固有のパラメータをコマンドラインで直接指定して実行することも、JSON構文を使用して実行することもできます。 - エンドポイントとしてOracle Databasesを自動的にエンロールするスクリプトの作成
データベース管理者がOracle Key VaultにOracle Databaseエンドポイントを自動的にエンロールするために実行できるスクリプトを作成できます。
2.3.1 RESTfulサービス・ユーティリティ・コマンド構文
RESTfulサービス・ユーティリティ・コマンドの構文は、okv
コマンドを使用することで動作します。
RESTfulサービス・ユーティリティ・コマンドに使用する構文は、次のとおりです。
okv category resource action rest-cli-configuration-parameters command-parameters
この指定内容についての説明は次のとおりです。
category
は、実行するコマンドのタイプを表します。managed-object
、admin
、cluster
、backup
などのコマンドのタイプがあります。resource
は、コマンドを実行するリソースのタイプです。endpoint
、wallet
、certificate
などのリソースのタイプがあります。action
は、リソースに対して実行する処理です。create
、add
、locate
、delete
などの処理があります。rest-cli-configuration-parameters
には、REST CLI構成ファイルで指定するパラメータを含めます。--user
や--client_wallet
などのパラメータがあります。これに該当するパラメータは、すべてのコマンドに適用されます。command-parameters
は、エンドポイントの作成時にコマンドに必要なパラメータです。--description
や--email
などのパラメータがあります。
このガイドでは、コマンドはokv
の後にcategory
、resource
、action
を使用することで識別します。コマンドで必要な場合は、rest-cli-configuration-parameters command-parameters
も使用します。たとえば、エンドポイントを作成する場合は、okv admin endpoint create
コマンドを使用します。このコマンドの完全な構文は次のとおりです。
okv admin endpoint create --endpoint endpoint_name --description "description" --email email_address --platform platform --type type --unique TRUE|FALSE
Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドの構文は、次のルールに従います。
- コマンドの指定は、
okv category resource action rest-cli-configuration-parameters command-parameters
の順序にする必要があります。category
、resource
およびaction
は、次に示す順序で指定する必要があります。REST CLI構成パラメータは、コマンド固有のパラメータよりも前に指定する必要があります。 - 構成ファイル(
okvrestcli.ini
)の識別は、OKV_RESTCLI_CONFIG
環境変数を使用することで可能になります。この変数は、RESTfulサービス・コマンドライン・ユーティリティ・スクリプトokv
自体で設定します。これにより、この構成ファイルをコマンドの実行ごとに指定する必要がなくなります。
ノート:
下位互換性の確保のために、Oracle Key Vaultリリース21.1より前から存在していたRESTfulサービス・ユーティリティ・コマンドライン・インタフェースも引き続きサポートされています。そのインタフェースは、okvrestclipackage.zip
をダウンロードすることで使用できます。
ほとんどのRESTfulサービス・ユーティリティ・コマンドは、JSON入力をサポートしています。このガイドでは、JSONをサポートするコマンドにはJSONの使用例を示します。
2.3.2 RESTfulサービス・ユーティリティ・コマンドの実行方法
Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドは、コマンド固有のパラメータをコマンドラインで直接指定して実行することも、JSON構文を使用して実行することもできます。
- コマンドラインを使用したRESTfulサービス・ユーティリティ・コマンドの実行
コマンドラインからRESTfulサービス・ユーティリティ・コマンドを実行する場合は、コマンド固有のすべてのパラメータをコマンドラインで指定します。 - JSON構文を使用したRESTfulサービス・ユーティリティ・コマンドの実行
RESTfulサービス・ユーティリティ・コマンドでは、JSON構文がサポートされています。JSON出力の生成後に、その出力をコマンドのコマンドライン実行と組み合せて使用できます。 - コマンドラインおよびJSONファイルで実行されるパラメータのネーミング規則
コマンドラインで指定するコマンド・パラメータに使用されるネーミング規則は、JSON構文で使用されるネーミング規則とは異なります。
2.3.2.1 コマンドラインを使用したRESTfulサービス・ユーティリティ・コマンドの実行
コマンドラインからRESTfulサービス・ユーティリティ・コマンドを実行する場合は、コマンド固有のすべてのパラメータをコマンドラインで指定します。
たとえば、okv manage-access endpoint-group add-endpoint
には、endpoint-groupとendpointのパラメータがあります。
okv manage-access endpoint-group add-endpoint --endpoint-group endpoint_group_name --endpoint endpoint_member
コマンドラインでREST CLI構成パラメータを指定するときには、コマンド固有のパラメータの前にREST CLI構成パラメータを指定する必要があります。次の例では、--profile hr
はrest_cli_configuration_parameters
の1つです。その後に、okv managed-object key create
コマンドのcommand_parameters
が続きます。
okv managed-object key create --profile hr --algorithm AES --length 128 --mask "ENCRYPT,DECRYPT,EXPORT"
2.3.2.2 JSON構文を使用したRESTfulサービス・ユーティリティ・コマンドの実行
RESTfulサービス・ユーティリティ・コマンドでは、JSON構文がサポートされています。JSON出力の生成後に、その出力をコマンドのコマンドライン実行と組み合せて使用できます。
JSON入力を使用してRESTfulサービスのコマンドを実行するには、まずコマンド固有のパラメータ値を使用してJSON入力ファイルを準備しておく必要があります。その後で、パラメータ--from-json json-input-file.json
を使用してコマンドを実行します。
JSON入力を使用してRESTfulサービス・ユーティリティ・コマンドを実行する際の推奨プロセスは、次のとおりです。
-
コマンド専用に設計されたJSON入力を生成します。この入力を生成するには、
--generate-json-input
パラメータを指定してコマンドを実行します。次に例を示します。okv managed-object key create --generate-json-input
このコマンドに応じて生成されるJSON入力は次のとおりです。
{ "service" : { "category" : "managed-object", "resource" : "key", "action" : "create", "options" : { "algorithm" : "#3DES|AES", "length" : "#112,168(3DES)|128,192,256(AES)", "mask" : "#ENCRYPT,DECRYPT,WRAP_KEY,UNWRAP_KEY|EXPORT,DERIVE_KEY,GENERATE_CRYPTOGRAM,VALIDATE_CRYPTOGRAM,TRANSLATE_ENCRYPT,TRANSLATE_DECRYPT,TRANSLATE_WRAP,TRANSLATE_UNWRAP", "wallet" : "#VALUE" } } }
- 生成された入力をファイルに保存して、タスクを実行できるように編集します。先頭が
#
の値は変更する必要があります。この例では、ファイルcreate_key.json
をコールして、次の値を使用するように編集します。{ "service" : { "category" : "managed-object", "resource" : "key", "action" : "create", "options" : { "algorithm" : "AES", "length" : "256", "mask" : "ENCRYPT,DECRYPT", "wallet" : "hr_wallet" } } }
-
処理を実行するには、
okv managed-object key create
コマンドの実行時に、前の手順で編集したJSON入力ファイルの名前を指定するための--from-json
パラメータを指定します。たとえば、デフォルトの構成設定を使用してokv managed-object key create
コマンドを実行するには、次のようにします。okv managed-object key create --from-json create_key.json
JSON入力を使用する場合は、コマンドラインでコマンドのパラメータを指定することもできます。コマンドラインで指定したコマンド・パラメータは、JSON入力ファイルで指定した同じパラメータよりも優先されます。
- 例1: JSONファイル
create_key.json
で指定した長さとは異なる長さのキーを作成するために、コマンドラインでlength
パラメータを指定します。okv managed-object key create --from-json key_create.json --length 128
コマンドラインでコマンド・パラメータを上書きすると、JSON入力ファイルを変更することなく、同じJSONファイルを使用してパラメータの異なる同じコマンドを実行できます。
- 例2: 複数の管理対象オブジェクトに同じ属性値を適用するために、入力JSONファイルで属性の設定を指定して、コマンドラインでオブジェクトのUUIDを指定します。次に示すJSON入力ファイル
add_attributes.json
について考えてみます。{ "service" : { "category" : "managed-object", "resource" : "attribute", "action" : "add", "options" : { "attributes" : { "contactInfo" : "pfitch@example.com", "deactivationDate" : "2024-12-31 09:00:00", "name" : "PROD-HRDB-MKEY", "protectStopDate" : "2024-09-30 09:00:00" } } } }
この属性をUUIDが
2359E04F-DA61-4F7C-BF9F-913D3369A93A
のオブジェクトに適用するには、次を実行します。okv managed-object attribute add --from-json add_attributes.json --uuid 2359E04F-DA61-4F7C-BF9F-913D3369A93A
- 例1: JSONファイル
2.3.2.3 コマンドラインおよびJSONファイルで実行されるパラメータのネーミング規則
コマンドラインで指定するコマンド・パラメータに使用されるネーミング規則は、JSON構文で使用されるネーミング規則とは異なります。
JSON構文のパラメータには、camelCaseネーミング規則(walletUser
やclientWallet
など)を使用します。コマンドラインで使用するパラメータのネーミング規則は、一般に次のルールに従います。
- パラメータ名には先頭に2つのハイフンを付けます(例:
--user
) - 各単語はハイフンで区切ります(例:
--endpoint-group
) - すべての単語は小文字にします(例:
--endpoint
)
コマンドラインのパラメータ名walletUser
とclientWallet
に相当するJSON構文のパラメータは、それぞれ--wallet-user
と--client-wallet
です。
2.3.3 エンドポイントとしてOracle Databasesを自動的にエンロールするスクリプトの作成
データベース管理者がOracle Key VaultにOracle Databaseエンドポイントを自動的にエンロールするために実行できるスクリプトを作成できます。
- Oracle Key Vault RESTfulサービス・パッケージ
ewallet.p12
およびcwallet.sso
ウォレット・ファイルrun-me.sh
スクリプト
次の手順では、これらのコンポーネントを作成する方法を説明します。
2.4 オブジェクトのネーミング・ガイドライン
このネーミング・ガイドラインは、ユーザー、ユーザー・グループ、エンドポイント、エンドポイント・グループおよび仮想ウォレットのOracle Key Vaultオブジェクトに影響します。
該当するオブジェクトのネーミング規則は次のとおりです。
- エンドポイント、エンドポイント・グループ、ユーザー・グループおよび仮想ウォレットの名前に使用できる文字は、文字(
a
–z
、A
–Z
)、数字(0
-9
)、アンダースコア(_
)、ピリオド(.
)およびハイフン(-
)です。 - ユーザー名に使用できる文字は、文字(
a
–z
、A
–Z
)、数字(0
-9
)およびアンダースコア(_
)です。 - ほとんどの環境で、許容されている名前の長さの最大バイト数は120バイトです。Oracle Key Vaultリリース18.5以降にアップグレードしていないノードがあるマルチマスター・クラスタ環境では、最大24バイトのオブジェクト名を使用してください。
- ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループの名前は、大/小文字が区別されません。たとえば、
pfitch
とPFITCH
は、Oracle Key Vaultでは同じユーザーと見なされます。 - 仮想ウォレットの名前は、大文字と小文字が区別されます。たとえば、
wallet_hr
とWALLET_HR
は、Oracle Key Vaultでは異なる2つのウォレットと見なされます。
2.5 LDAPユーザーによるRESTfulサービスの使用方法
通常のOracle Key Vault管理者と適切に認可されたLDAPユーザーは、どちらもサーバーにログインしてOracle Key Vault RESTfulサービス・ユーティリティ・コマンドを実行できます。
- RESTfulサービス・コマンドの実行時には、次の方法を使用して、
--user
パラメータでユーザーのユーザー名とドメイン名を指定します。- サポートされているいずれかの形式(次を参照)のLDAPユーザー名と、縦線(
|
)で区切られたドメイン名。sAMAccountName
|
LDAP_domain_name
例:
psmith|hr.example.com
NetBiosDomainName
\\
sAMAccountName
|LDAP_domain_name
.例:
hr\\psmith|hr.example.com
二重バックスラッシュ(
\\
)は、hr\\psmith
がhr\psmith
として解釈されます。userPrincipalName
|
LDAP_domain_name
例:
psmith@hr.example.com|hr.example.com
- LDAPユーザーのユーザー・プリンシパル名。
例:
psmith@hr.example.com
- サポートされているいずれかの形式(次を参照)のLDAPユーザー名と、縦線(