機械翻訳について

Azure Key Vault Integration for Exadata Database Service on Oracle Database@Azure

Exadata Database Service on Oracle Database@Azureでは、データベースの透過的データ暗号化(TDE)キー(マスター暗号化キー(MEK)とも呼ばれる)を、ファイルベースのOracleウォレットまたはOCI Vaultに格納できます。

この機能により、Oracle Database@AzureユーザーのExadata Database Serviceで、TDE MEKの管理にAzure Key Vault (AKV)管理対象HSM、AKV PremiumおよびAKV Standardを使用できます。 この統合により、アプリケーション、Azureサービスおよびデータベースは、セキュリティを強化し、キー・ライフサイクル管理を簡素化するための一元化されたキー管理ソリューションを使用できます。

親トピック: How-toガイド

前提条件

Azure Key Vaultをデータベースのキー管理として構成する前に、次のステップを完了する必要があります。

Azure Key VaultをExadata VMクラスタ・レベルでKey Management Serviceとして構成する前に、次のステップを完了する必要があります。

  1. まず、委任サブネットが「Oracle Database@Azureのネットワーク計画」に記載されている高度なネットワーク機能を使用するために必要な登録を完了し、次に、Exadata VMクラスタで使用される委任サブネットが少なくとも1つ含まれている「Azure仮想ネットワークの作成」を完了する必要があります。
  2. Azureインタフェースを介してExadata VMクラスタをプロビジョニングします。 ステップについては、「Azure用のExadata VMクラスタのプロビジョニング」を参照してください。
  3. ネットワーク要件を確認して、VMクラスタがパブリック・ネットワークを介してAzure KMSに接続するか、プライベート接続を介して接続するかを判断します。 詳細は、「接続されたマシン・エージェントのネットワーク要件」または「アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件」を参照してください。
  4. データベースを作成する前に、次のポリシーが作成されていることを確認してください。
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

親トピック: Azure Key Vault Integration for Exadata Database Service on Oracle Database@Azure

アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件

Azure Key Management Service (KMS)リソースは、パブリック接続とプライベート接続の両方をサポートします。 Azure Key Vault管理HSMにはプライベート接続が必要ですが、Azure Key Vault Premium層と標準層ではパブリック接続オプションとプライベート接続オプションの両方がサポートされています。

次のセクションでは、パブリック・ネットワーク・アクセスのネットワーク要件について説明します。

プライベート・ネットワークを使用した構成

  • Arcエージェント・ネットワーク構成

    プライベート・ネットワークを介してアイデンティティ・コネクタを作成するには、Azureアーク・プライベート・リンク・スコープおよびプライベート・エンドポイントをAzureポータルで構成する必要があります。 Azure Arc対応サーバーのプライベート接続の設定ステップの詳細は、「Azureドキュメント」を参照してください。

    重要:

    プライベート・エンドポイントは、Oracle Exadata VMクラスタをホストするAzure仮想ネットワーク(VNet)内の非委任サブネットに作成する必要があります。 プライベート・エンドポイントは、委任サブネットではサポートされていません。 デフォルトでは、Exadata VMクラスタは委任サブネットにプロビジョニングされます。

    マネージドHSMにはプライベート接続が必要で、Advanced Networking機能を提供するAzureリージョンでのみサポートされます。 サポートされているリージョンのリストは、「Oracle Database@Azureのネットワーク計画」を参照してください。

    プライベート・ネットワークを介したプライベート・エージェント・リソースとの通信を許可するには、プライベートDNSゾーンおよび対応するAレコードを、Oracle Cloud Infrastructure (OCI)テナンシのVCNのDNS構成内に作成する必要があります。

    プライベート・リンク・スコープに関連付けられたプライベート・エンドポイントのDNS構成には、必要なプライベート・エージェント・リソース・アドレスが含まれている必要があります。 詳細は、「接続されたマシン・エージェントのネットワーク要件」URLsに関する項を参照してください。

    最初に、Azureポータルから必要なアドレスのリストを取得します。 次に、OCIのDNSゾーン・エントリを更新して構成を完了します。

    必要なIPアドレスのリストを取得するステップ:
    1. Azureポータルにサインインします。
    2. 「Azure Arc Private link scopes」を検索します。
    3. リストから任意のプライベート・リンク・スコープを選択します。
    4. 「構成」メニューで、「プライベート・エンドポイント接続」をクリックします。
    5. 「プライベート・エンドポイント」リンクをクリックします。
    6. 「設定」で「DNS構成」を選択して、必要なアドレスを表示します。

    例: プライベート・エージェント・リソースの追加(gbl.his.arc.azure.comなど)

    gbl.his.arc.azure.comに関連付けられたIPアドレスと、その他の必要なエージェント・リソースは、プライベートDNSゾーンで定義する必要があります。

    ステップ:

    1. プライベート・ゾーンの作成
      詳細は、「プライベートDNSゾーンの作成」を参照してください。
      • ゾーン・タイプ: プライマリ
      • ゾーン名: <Descriptive name>
      • コンパートメント: <Compartment name or OCID>
    2. DNSレコードの追加
      • ゾーン詳細ページの「レコード」タブにナビゲートします。
      • 「レコードの管理」をクリックし、「レコードの追加」をクリックします:
        • 名前: gbl.his.arc.azure.com
        • タイプ: A (IPv4アドレス)
        • TTL (秒): 3600
        • RDATAモード: 基本
        • 住所: <Private IP address>
    3. ゾーンの公開
    4. 公開後に、そのレコードがゾーンのページに表示されることを確認します。
    5. VMクラスタからのAzureサービスへの接続がプライベート・ネットワークを介してルーティングされていることを確認します。

    プライベート接続を使用する場合でも、次のエンドポイントはAzure NATゲートウェイを介してルーティングする必要があります。

    エージェントのリソース:

    • packages.microsoft.com
    • login.microsoftonline.com
    • pas.windows.net
    • management.azure.com
  • Azure Key Vaultプライベート・エンドポイント構成

    プライベート接続を介してAzureキー・ボールトのエンドポイントにアクセスするには、DNSゾーンを作成する必要があります。 また、リソースの完全修飾ドメイン名(FQDN)を対応するプライベート・エンドポイントのIPアドレスにマッピングするAレコードは、OCIテナンシに追加する必要があります。

    Exadata VMクラスタをホストしている仮想ネットワーク内のプライベート・エンドポイントを介して管理対象HSMサービスにアクセスするには、管理対象HSMへのプライベート・リンク接続を確立し、それをデフォルト・サブネットまたは非委任サブネットに関連付けることができます。 アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件のトピックのプライベート・ネットワークを使用した構成に関する項に記載されているステップに従います。 詳細は、「管理対象HSMとAzureプライベート・リンクの統合」を参照してください。

パブリック・ネットワークを使用した構成

AzureポータルにNATゲートウェイを作成し、Exadata VMクラスタの委任サブネットに関連付けます。 詳細は、「NATゲートウェイを作成し、既存のサブネットに関連付けます」を参照してください。

親トピック: Azure Key Vault Integration for Exadata Database Service on Oracle Database@Azure

コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

Oracle Database@AzureでExadata Database ServiceのAzure Key Vault統合を管理する方法について学習します。

親トピック: Azure Key Vault Integration for Exadata Database Service on Oracle Database@Azure

アイデンティティ・コネクタを作成すると、Exadata VMクラスタ仮想マシンにAzure Arcエージェントがインストールされ、Azure Arc対応仮想マシンとして登録されます。

これにより、Arcエージェントによって生成されたAzureアイデンティティを使用して、Azure Key Management Service (KMS)とのセキュアな通信が可能になります。 Azure Arcエージェントは、パブリック・ネットワークまたはプライベート接続設定のいずれかを介してAzureサービスと通信できます。 「Azure円弧」の詳細を参照してください。

Azureリソースにアクセスするには、各Exadata VMクラスタでアイデンティティ・コネクタが有効になっている必要があります。 アイデンティティ・コネクタは、割り当てられたロールに応じて、Exadata VMクラスタとAzureキー管理リソース間のパブリック接続またはプライベート接続を確立します。

現在のAzureアカウントの「アクセス・トークン」を生成するには、「azアカウントget-access-token」を参照してください。

アイデンティティ・コネクタは、Oracle Exadata Database Service on Dedicated Infrastructureインタフェースまたはデータベース・マルチ・クラウド統合インタフェースを使用する2つの方法のいずれかで作成できます。

Oracle Exadata Database Service on Dedicated Infrastructure

  1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
  2. 左側のメニューから、Oracle Exadata Database Service on Dedicated Infrastructureの下にある「Exadata VMクラスタ」をクリックします。
  3. 「Exadata VMクラスタ」のリストから、使用するクラスタを選択します。
  4. 「VMクラスタ情報」を選択し、「マルチ・クラウド情報」の下にある「アイデンティティ・コネクタ」に移動します。 「作成」リンクをクリックします。

    ノート:

    アイデンティティ・コネクタが以前に作成されていない場合は、「なし」として表示されます。

  5. 「アイデンティティ・コネクタ名」「Exadata VMクラスタ」「AzureサブスクリプションID」および「Azureリソース・グループ名」は読取り専用フィールドで、値が移入されます。
  6. 「AzureテナントID」「アクセス・トークン」を入力します。
  7. 「詳細オプションの表示」セクションを展開します。

    「プライベート接続情報」および「タグ」セクションが移入されます。

    プライベート・エンドポイント接続を有効にするには、「Azure arcプライベート・リンク・スコープ」名を入力します。

  8. リソースのタグを追加するには、「タグを追加」をクリックし、必要な値を入力します。
  9. 選択内容を確認し、「作成」をクリックしてアイデンティティ・コネクタを作成します。

データベース・マルチクラウド統合

  1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、「データベース・マルチ・クラウド統合」をクリックします。
  2. 左側のナビゲーション・メニューから「アイデンティティ・コネクタ」を選択します。
  3. 「コンパートメント」ドロップダウン・リストから、使用しているコンパートメントを選択します。
  4. コンパートメントを選択すると、「アイデンティティ・コネクタ名」によって自動的に名前が移入されます。

    デフォルトでは、アイデンティティ・コネクタ・タイプはAzureとして選択されています。

  5. アイデンティティ・メカニズムとして「ARCエージェント」を選択します。
  6. 「Exadata VMクラスタ・コンパートメントの選択」リストからコンパートメントを選択し、「Exadata VMクラスタの選択」リストからExadata VMクラスタを選択します。
  7. 「AzureテナントID」を入力します。 「AzureサブスクリプションID」および「Azureリソース・グループ名」フィールドは、Exadata VMクラスタの選択に基づいて値を移入します。
  8. 「アクセス・トークン」を入力します。
  9. 「詳細オプションの表示」セクションを展開します。 「プライベート接続情報」および「タグ」セクションが移入されます。 これらのフィールドはオプションです。
  10. リソースのタグを追加するには、「タグを追加」をクリックし、必要な値を入力します。
  11. 選択内容を確認し、「作成」をクリックします。

親トピック: コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

アイデンティティ・コネクタの詳細を表示するには、この手順を使用します。

  1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
  2. Oracle Exadata Database Service on Dedicated Infrastructureの下で、「Exadata VMクラスタ」をクリックします。
  3. 選択したVMクラスタの名前をクリックします。
  4. 表示される「VMクラスタ詳細」ページの「マルチ・クラウド情報」セクションで、「アイデンティティ・コネクタ」フィールドに、以前に作成したアイデンティティ・コネクタが表示されていることを確認します。
  5. 「アイデンティティ・コネクタ」の名前をクリックして、その詳細を表示します。

親トピック: コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

このステップでは、Azure Key Vault統合をサポートするために、必要なライブラリをVMクラスタにインストールします。 Exadata VMクラスタでAzureキー管理を有効にする前に、アイデンティティ・コネクタが作成されていることを確認してください。

  1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
  2. Oracle Exadata Database Service on Dedicated Infrastructureの下で、「Exadata VMクラスタ」をクリックします。
  3. 選択したVMクラスタの名前をクリックします。
  4. 表示される「VMクラスタ詳細」ページの「マルチ・クラウド情報」セクションで、「Azureキー・ストア」の横にある「有効化」リンクをクリックします。
  5. 表示された「Azureキー管理の有効化」ダイアログで、「有効化」をクリックして操作を確認します。

    アクションを確認すると、Exadata VMクラスタにライブラリがインストールされます。

    Azureキー・ストアのステータスは、「無効」から「有効」に変わります。

  6. Azureキー・ストアを無効にするには、「無効化」リンクをクリックします。
  7. 表示された「Azureキー管理の無効化」ダイアログで、「無効化」をクリックして操作を確認します。

    Azureキー管理を無効にすると、有効化時にインストールされたライブラリが削除され、それを使用するように構成されたデータベースの可用性に影響します。

ノート:

Azureキー管理はVMクラスタ・レベルで構成されるため、クラスタ内のすべてのデータベースで同じキー管理ソリューションを使用する必要があります。 ただし、Oracle Walletを使用するデータベースは、同じクラスタ内でAzure Key Vaultを使用するデータベースと共存できます。

親トピック: コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

Azure Key Vault管理HSM、Azure Key Vault PremiumまたはAzure Key Vault Standardを作成し、権限を割り当てます。

詳細は、「Azureポータルを使用したキー・ボールトの作成」を参照してください。

ノート:

「Azure Key Vault管理HSM」Azure Key Vault PremiumおよびAzure Key Vault 「標準」リソースへのアクセスおよび管理に必要な権限を付与するために、グループに割り当てる必要がある特定のロールがあります。
  1. グループを作成し、メンバーを追加します。

    Azureグループを使用すると、リソースに同じアクセスおよび権限を割り当てることによって、ユーザーを管理できます。

  2. Azure Key Vaultのタイプに基づいて、次のロールを割り当てます:
    • 管理対象HSMの場合:
      • IAM: リーダー
      • ローカルRBAC: マネージドHSM暗号責任者+マネージドHSM暗号ユーザー
    • Key Vault PremiumおよびStandard向け
      • IAM : リーダー+ Key Vault Crypto Officer

詳細なステップは、「Azureポータルを使用したAzureロールの割当て」を参照してください。

親トピック: コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

これは、OCIコンソールからAzureキー・ボールトを登録する別の方法です。 既存のExadata VMクラスタでのデータベースの作成中にボールトをすでに登録している場合は、このステップをスキップできます。

  1. OCIコンソールから、「データベース・マルチ・クラウド統合」に移動し、「Microsoft Azure統合」を選択します。 「Microsoft Azure統合」セクションで、Azureキー・ボールトを選択します。

    ノート:

    登録を成功させるには、Azureポータルのボールトに少なくとも1つのキーを作成する必要があります。
  2. 「Azureキー・ボールトの登録」ボタンを選択します。
  3. ドロップダウン・リストから、「コンパートメント」を選択します。
  4. Azureテナンシ(アイデンティティ・コネクタとAzure Key Vaultまたは管理対象HSMが同じサブスクリプション)の同じサブスクリプション内でAzure Key Vaultまたは管理対象HSMを検出し、キーを登録するには:
    1. 「Azureキー・ボールト」セクションで、「コネクタを使用したAzureキー・ボールトの検出」リストから「アイデンティティ・コネクタ」を選択します。
    2. 「検出」をクリックします。

      「Vault名」のリストが表示されます。

    3. 「Vault名」の横にあるチェック・ボックスを選択します。
  5. Azureテナンシの同じサブスクリプション内で単一のAzure Key Vaultまたは管理対象HSMを検出するには、次のいずれかの形式で完全なリソースIDを指定します:

    Azure Key Vaultの場合:

    /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/vaults/<key-vault-name>

    Azure Managed HSMの場合:

    /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/managedHSMs/<hsm-name>
  6. Azureテナンシのサブスクリプション(異なるサブスクリプション内のIdentity ConnectorおよびAzure Key VaultまたはManaged HSM)でAzure Key VaultまたはManaged HSMを検出し、キーを登録するには:
    1. 「Azureキー・ボールト」セクションで、「コネクタを使用したAzureキー・ボールトの検出」リストから「アイデンティティ・コネクタ」を選択します。
    2. Azure Key Vaultの完全なリソースIDを次の形式で指定します。
      /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/vaults/<key-vault-name>
    3. 「検出」をクリックします。
  7. リソースのタグを追加する場合は、「拡張オプション」セクションを展開し、「タグを追加」をクリックします。
  8. 「登録」をクリックして、ボールトをOCIにローカルに登録します。
  9. ボールトを登録すると、リスト内のボールトの「表示名」「状態」「タイプ」「Azureリソース・グループ」および「作成日」情報を表示できます。
  10. 使用しているボールトを選択し、「アイデンティティ・コネクタ関連付け」タブをクリックします。このタブには、現在のコンパートメント内のアイデンティティ・コネクタ関連付けがリストされます。

    ノート:

    デフォルトの関連付けは、ボールト登録プロセス中に使用されるボールトとアイデンティティ・コネクタの間に自動的に作成されます。 これにより、その特定のアイデンティティ・コネクタに関連付けられているExadata VMクラスタでボールトを使用できます。

    異なるアイデンティティ・コネクタに登録されている他のクラスタ(つまり、ボールト検出時に使用されるものではない)で同じボールトを使用する場合は、ボールトとそれらの追加のアイデンティティ・コネクタとの間に関連付けを明示的に作成する必要があります。

  11. 「関連付けの作成」をクリックします。
  12. ドロップダウン・リストから、「コンパートメント」「Azureキー・ボールト関連付け名」および「アイデンティティ・コネクタ」を選択します。
  13. 「拡張オプション」セクションを展開すると、リソースを編成するための「タグ」を追加できます。
  14. 選択内容を確認し、「作成」をクリックします。

親トピック: コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

データベースの作成およびキー管理ソリューションとしてのAzure Key Vaultの使用

このトピックでは、データベースを作成し、キー管理ソリューションとしてAzure Key Vaultを使用するステップのみについて説明します。

汎用データベース作成手順については、既存のVMクラスタにデータベースを作成するにはを参照してください。

前提条件

最初のデータベースを作成し、キー管理用にAzure Key Vaultを選択する前に、次の前提条件が満たされていることを確認してください:

制限事項

  • 仮想マシンの制限: VMクラスタをスケール・アウトしても、Azure Key Vaultを使用するデータベースは、新しく追加された仮想マシンに自動的に拡張されません。 拡張を完了するには、Azureアクセス・トークンを指定して、Exadata VMクラスタの既存のアイデンティティ・コネクタを更新する必要があります。 アイデンティティ・コネクタを更新した後、「dbaascliデータベースaddInstance」コマンドを実行して、新しいVMにデータベース・インスタンスを追加します。
  • Data Guardの制限事項:
    • Azure Key Vaultを使用するプライマリのスタンバイ・データベースを作成する場合は、ターゲットVMクラスタにアクティブなアイデンティティ・コネクタがあり、Azureキー管理が有効になっており、アイデンティティ・コネクタとKey Vaultの間の必要な関連付けが適切に構成されていることを確認してください。
    • クロス・リージョンData Guardおよびデータベースのリストア操作は、キー管理にAzure Key Vaultを使用するデータベースではサポートされていません。
  • PDB操作の制限: リモートPDB操作(クローン、リフレッシュ、再配置など)は、ソース・データベースと宛先データベースの両方が同じTransparent Data Encryption (TDE)キーを使用している場合にのみサポートされます。

ステップ

ノート:

VMクラスタ・レベルでAzureキー管理が有効になっている場合、2つのキー管理オプションがあります: Oracle WalletおよびAzure Key Vault

  1. 「暗号化」セクションで、「Azure Key Vault」を選択します。
  2. コンパートメントで使用可能な登録済Vaultを選択します。

    ノート:

    • Vaultリストには、登録済みのボールトのみが表示されます。

      「新規ボールトの登録」リンクをクリックして、ボールトを登録します。 Azureキー・ボールトの登録ページでボールトを選択し、「登録」をクリックします。

    • ボールトに少なくとも1つのキーを登録する必要があります。
  3. コンパートメントで使用可能なキーを選択します。

親トピック: コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

異なる暗号化方式間で暗号化キーを変更するメソッドについて学習します。

  1. OCIコンソールで既存のExadata VMクラスタに移動します。 「データベース」タブを選択します。 次に、使用するデータベース・リソースを選択します。
  2. 「データベース情報」タブを選択し、「キー管理」セクションまで下にスクロールします。
  3. 「暗号化」セクションで、「キー管理」Oracle Walletに設定されていることを確認します。次に、「変更」リンクを選択します。
  4. 「キー管理の変更」ページに次の情報を入力します。
    1. ドロップダウン・リストから「キー管理」「Azureキー・ボールト」として選択します。
    2. 使用しているVaultコンパートメントを選択し、コンパートメントで使用可能なVaultを選択します。
    3. 使用している「キー」コンパートメントを選択し、ドロップダウン・リストから「キー」を選択します。
    4. 「変更の保存」をクリックします。

ノート:

Azure Key VaultからOracle Walletへのキー管理の変更は、APIまたはOCIコンソールを使用して実行できません。dbaascli tde fileToHsmコマンドでのみサポートされます。 また、Azure Key VaultとOCI VaultまたはOracle Key Vault (OKV)の切替えはサポートされていません。

親トピック: コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

コンテナ・データベース(CDB)のAzureキー・ボールト暗号化キーをローテーションするには、この手順を使用します。

  1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、暗号化キーをローテーションするデータベースを含むVMクラスタの名前をクリックします。
  4. 「データベース」をクリックします。
  5. 暗号化キーをローテーションするデータベースの名前をクリックします。

    「データベースの詳細」ページには、選択したデータベースに関する情報が表示されます。

  6. 「暗号化」セクションで、「キー管理」Azure Key Vaultに設定されていることを確認します。次に、「回転」リンクをクリックします。
  7. 表示された「キーのローテーション」ダイアログで、「回転」をクリックしてアクションを確認します。

ノート:

キー・ローテーションは、OCIインタフェースを介して実行する必要があります。 Azureインタフェースからキーを直接ローテーションしても、データベースには影響しません。

親トピック: コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

プラガブル・データベース(PDB)のAzureキー・ボールト暗号化キーをローテーションするには、この手順を使用します。

  1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、起動するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、暗号化キーをローテーションするPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
  6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 暗号化キーをローテーションするPDBの名前をクリックします。

    プラガブルの詳細ページが表示されます。

  8. 「暗号化」セクションには、キー管理がAzure Key Vaultとして設定されていることが表示されます。
  9. 「回転」リンクをクリックします。
  10. 表示された「キーのローテーション」ダイアログで、「回転」をクリックしてアクションを確認します。

親トピック: コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

APIの使用およびリクエストの署名の詳細は、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

これらのAPI操作を使用して、Oracle Database@Azure上のExadata Database ServiceのAzure Key Vault統合を管理します。

表5-10 Oracle Database@Azure上のExadata Database ServiceのAzure Key Vault統合を管理するAPI操作

API 説明
createOracleDbAzureConnector Azure固有の詳細を顧客から取得し、ExaDB-D VMクラスタへのARCエージェントのインストールを自動化します。
deleteOracleDbAzureConnector Azureコネクタ・リソースを削除し、ExaDB-D VMクラスタからArcエージェントをアンインストールします。
getOracleDbAzureConnector 特定のAzureコネクタ・リソースの詳細をフェッチします。
listOracleDbAzureConnectors 指定されたフィルタに基づいて、Azureコネクタ・リソースをリストします。
CreateMultiCloudResourceDiscovery 新しいマルチ・クラウド・リソース検出リソースを作成します。
GetMultiCloudResourceDiscovery 特定のマルチ・クラウド・リソース検出リソースの詳細を取得します。
ListMultiCloudResourceDiscoveries すべてのマルチ・クラウド・リソース検出リソースのリストを取得します。
CreateOracleDbAzureVaultAssociation Oracle DBボールトとAzureボールトの間に新しい関連付けを作成します。
GetOracleDbAzureVaultAssociation 特定のOracle DB Azureボールト関連付けの詳細を取得します。
ListOracleDbAzureVaultAssociations すべてのOracle DB Azureボールト関連付けのリストを取得します。
CreateCloudVMCluster クラウドVMクラスタを作成します。
GetCloudVmCluster 指定されたクラウドVMクラスタに関する情報を取得します。 専用Exadataインフラストラクチャ上のExadata Cloud ServiceインスタンスおよびAutonomous Databaseにのみ適用されます。
ListCloudVmClusters 指定されたコンパートメント内のクラウドVMクラスタのリストを取得します。 専用Exadataインフラストラクチャ上のExadata Cloud ServiceインスタンスおよびAutonomous Databaseにのみ適用されます。
DeleteCloudVMCluster 指定されたクラウドVMクラスタを削除します。 専用Exadataインフラストラクチャ上のExadata Cloud ServiceインスタンスおよびAutonomous Databaseにのみ適用されます。
CreateDatabase 指定されたデータベース・ホームに新しいデータベースを作成します。 データベース・バージョンを指定する場合は、データベース・ホームのバージョンと一致する必要があります。 ExadataおよびExadata Cloud@Customerシステムに適用されます。
CreateDatabaseFromBackup

データベース・バックアップからリストアしてデータベースを作成するための詳細。

警告: Oracleでは、APIを使用して文字列値を指定するときに機密情報を使用しないことをお薦めします。

MigrateVaultKey 「Vaultサービス」を使用して、暗号化キー管理を顧客管理からOracle管理に変更します。
RotateVaultKey 既存の「Vaultサービス」キーの新しいバージョンを作成します。
RestoreDatabase 指定したリクエスト・パラメータに基づいてデータベースをリストアします。

親トピック: Azure Key Vault Integration for Exadata Database Service on Oracle Database@Azure