機械翻訳について

Azure Key Vault Integration for Exadata Database Service on Oracle Database@Azure

Exadata Database Service on Oracle Database@Azureでは、データベースの透過的データ暗号化(TDE)キー(マスター暗号化キー(MEK)とも呼ばれる)を、ファイルベースのOracleウォレットまたはOCI Vaultに格納できます。

この機能により、Oracle Database@AzureユーザーのExadata Database Serviceで、TDE MEKの管理にAzure Key Vault (AKV)管理対象HSM、AKV PremiumおよびAKV Standardを使用できます。 この統合により、アプリケーション、Azureサービスおよびデータベースは、セキュリティを強化し、キー・ライフサイクル管理を簡素化するための一元化されたキー管理ソリューションを使用できます。

• 前提条件
  Azure Key Vaultをデータベースのキー管理として構成する前に、次のステップを完了する必要があります。
• アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件
  Azure Key Management Service (KMS)リソースは、パブリック接続とプライベート接続の両方をサポートします。 Azure Key Vault管理HSMにはプライベート接続が必要ですが、Azure Key Vault Premium層と標準層ではパブリック接続オプションとプライベート接続オプションの両方がサポートされています。
• コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)
  Oracle Database@AzureでExadata Database ServiceのAzure Key Vault統合を管理する方法について学習します。
• APIを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)
  

前提条件

Azure Key Vaultをデータベースのキー管理として構成する前に、次のステップを完了する必要があります。

Azure Key VaultをExadata VMクラスタ・レベルでKey Management Serviceとして構成する前に、次のステップを完了する必要があります。

1. まず、委任サブネットが「Oracle Database@Azureのネットワーク計画」に記載されている高度なネットワーク機能を使用するために必要な登録を完了し、次に、Exadata VMクラスタで使用される委任サブネットが少なくとも1つ含まれている「Azure仮想ネットワークの作成」を完了する必要があります。
2. Azureインタフェースを介してExadata VMクラスタをプロビジョニングします。 ステップについては、「Azure用のExadata VMクラスタのプロビジョニング」を参照してください。
3. ネットワーク要件を確認して、VMクラスタがパブリック・ネットワークを介してAzure KMSに接続するか、プライベート接続を介して接続するかを判断します。 詳細は、「接続されたマシン・エージェントのネットワーク要件」または「アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件」を参照してください。
4. データベースを作成する前に、次のポリシーが作成されていることを確認してください。

   allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件

Azure Key Management Service (KMS)リソースは、パブリック接続とプライベート接続の両方をサポートします。 Azure Key Vault管理HSMにはプライベート接続が必要ですが、Azure Key Vault Premium層と標準層ではパブリック接続オプションとプライベート接続オプションの両方がサポートされています。

次のセクションでは、パブリック・ネットワーク・アクセスのネットワーク要件について説明します。

プライベート・ネットワークを使用した構成

• Arcエージェント・ネットワーク構成

  プライベート・ネットワークを介してアイデンティティ・コネクタを作成するには、Azureアーク・プライベート・リンク・スコープおよびプライベート・エンドポイントをAzureポータルで構成する必要があります。 Azure Arc対応サーバーのプライベート接続の設定ステップの詳細は、「Azureドキュメント」を参照してください。

  重要:

  プライベート・エンドポイントは、Oracle Exadata VMクラスタをホストするVirtual Cloud Network (VCN)内の非委任サブネットに作成する必要があります。 プライベート・エンドポイントは委任サブネットではサポートされていないため、これはAzure要件です。 デフォルトでは、Exadata VMクラスタは委任サブネットにプロビジョニングされます。

  マネージドHSMにはプライベート接続が必要で、Advanced Networking機能を提供するAzureリージョンでのみサポートされます。 サポートされているリージョンのリストは、「Oracle Database@Azureのネットワーク計画」を参照してください。

  プライベート・ネットワークを介したプライベート・エージェント・リソースとの通信を許可するには、プライベートDNSゾーンおよび対応するAレコードを、Oracle Cloud Infrastructure (OCI)テナンシのVCNのDNS構成内に作成する必要があります。

  プライベート・リンク・スコープに関連付けられたプライベート・エンドポイントのDNS構成には、必要なプライベート・エージェント・リソース・アドレスが含まれている必要があります。

  最初に、Azureポータルから必要なアドレスのリストを取得します。 次に、OCIのDNSゾーン・エントリを更新して構成を完了します。

  例: プライベート・エージェント・リソースの追加(gbl.his.arc.azure.comなど)

  gbl.his.arc.azure.comに関連付けられたIPアドレスと、その他の必要なエージェント・リソースは、プライベートDNSゾーンで定義する必要があります。

  ステップ:

  1. プライベート・ゾーンの作成
     詳細は、「プライベートDNSゾーンの作成」を参照してください。

     • ゾーン・タイプ: プライマリ
     • ゾーン名: <Descriptive name>
     • コンパートメント: <Compartment name or OCID>
  2. DNSレコードの追加
     • ゾーン詳細ページの「レコード」タブにナビゲートします。
     • 「レコードの管理」をクリックし、「レコードの追加」をクリックします:
       • 名前: gbl.his.arc.azure.com
       • タイプ: A (IPv4アドレス)
       • TTL (秒): 3600
       • RDATAモード: 基本
       • 住所: <Private IP address>
  3. ゾーンの公開
  4. 公開後に、そのレコードがゾーンのページに表示されることを確認します。
  5. VMクラスタからのAzureサービスへの接続がプライベート・ネットワークを介してルーティングされていることを確認します。

  プライベート接続を使用する場合でも、次のエンドポイントをパブリック・ネットワーク経由でルーティングする必要があります。 「パブリック・ネットワークを使用した構成」の説明に従って、必要なルート・ルールを定義する必要があります。

  エージェントのリソース:

  • packages.microsoft.com
  • login.microsoftonline.com
  • pas.windows.net
  • management.azure.com
• Azure Key Vaultプライベート・エンドポイント構成

  プライベート接続を介してAzureキー・ボールトのエンドポイントにアクセスするには、DNSゾーンを作成する必要があります。 また、リソースの完全修飾ドメイン名(FQDN)を対応するプライベート・エンドポイントのIPアドレスにマッピングするAレコードは、OCIテナンシに追加する必要があります。

  Exadata VMクラスタをホストしている仮想ネットワーク内のプライベート・エンドポイントを介して管理対象HSMサービスにアクセスするには、管理対象HSMへのプライベート・リンク接続を確立し、それをデフォルト・サブネットまたは非委任サブネットに関連付けることができます。 アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件のトピックのプライベート・ネットワークを使用した構成に関する項に記載されているステップに従います。 詳細は、「管理対象HSMとAzureプライベート・リンクの統合」を参照してください。

パブリック・ネットワークを使用した構成

パブリック・ネットワークを使用する場合、Azure Arcエージェントをインストールおよび構成するには、特定のAzureサービス・エンドポイントへのアウトバウンド・アクセスが必要です。 これらのエンドポイントは、NATゲートウェイ・ルート・ルールを介して明示的に構成する必要があります。 NATゲートウェイがまだ使用できない場合は、作成する必要があります。

主な考慮事項:

• 特に明記されていないかぎり、すべての接続でTCPプロトコルが使用されます。
• 特に指定のないかぎり、すべての接続がアウトバウンドになります。
• すべてのトラフィックは、正式に署名および検証可能な証明書を使用してHTTPS (SSL/TLS)を使用して暗号化されます。

接続を有効にするには、Exadata VMクラスタに関連付けられたVirtual Cloud Network (VCN)のルート表を構成して、NATゲートウェイを介したトラフィックを許可する必要があります。

ルート・ルール構成の例:

• ターゲット・タイプ: NAT Gateway
• 宛先CIDRブロック: <Azure service address block>
• ターゲットNAT Gatewayコンパートメント: <Compartment Name>
• ターゲットNAT Gateway: <NAT Gateway Name or OCID>
• 説明: management.azure.com

次の表に、ルート表ルールに追加する必要があるAzureエンドポイントを示します。 詳細は、サポートするAzureのドキュメントを参照してください。 詳細は、サポートするAzureのドキュメントを参照してください。

表5-9 Azureエンドポイント - ルート表

エージェント・リソース	用途	必要に応じて	プライベート・リンク対応
packages.microsoft.com	Linuxインストール・パッケージのダウンロードに使用	インストール時または更新時	パブリック
login.microsoftonline.com	Microsoft Entra ID (IAM)にアクセスするには	常時	パブリック
pas.windows.net	Microsoft Entra ID (IAM)にアクセスするには	常時	パブリック
*.login.microsoft.com	Microsoft Entra ID (IAM)にアクセスするには	常時	パブリック
management.azure.com	Azureリソース・マネージャ - Arcサーバー・リソースを作成または削除するには	サーバーの接続または切断時のみ	パブリック(リソース管理のプライベート・リンクも構成されていない場合)
*.his.arc.azure.com (for example, gbl.his.arc.azure.com)	メタデータおよびハイブリッド・アイデンティティ・サービス	常時	Private
*.guestconfiguration.azure.com (for example, eastus-gas.guestconfiguration.azure.com)	拡張管理およびゲスト構成サービス	常時	Private

MicrosoftパブリックIPアドレス・ブロックおよびダウンロード手順の詳細は、「MicrosoftパブリックIP領域」を参照してください。

パブリックAzureのIPアドレス範囲およびダウンロード手順の詳細は、「Azure IP範囲およびサービス・タグ - パブリック・クラウド」を参照してください。

Azure Key Vaultのエンドポイントにアクセスするには、接続が使用できない場合は、前述のようにIPアドレスを使用してルート・ルールを追加します。

コンソールを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

Oracle Database@AzureでExadata Database ServiceのAzure Key Vault統合を管理する方法について学習します。

• OCIコンソールからのアイデンティティ・コネクタの作成
  アイデンティティ・コネクタを作成すると、Exadata VMクラスタ仮想マシンにAzure Arcエージェントがインストールされ、Azure Arc対応仮想マシンとして登録されます。
• アイデンティティ・コネクタの詳細の表示
  アイデンティティ・コネクタの詳細を表示するには、この手順を使用します。
• Azureキー管理の有効化または無効化
  このステップでは、Azure Key Vault統合をサポートするために、必要なライブラリをVMクラスタにインストールします。 Exadata VMクラスタでAzureキー管理を有効にする前に、アイデンティティ・コネクタが作成されていることを確認してください。
• Azure Key Vault(マネージドHSM、プレミアムおよび標準)の作成および必要な権限の割当て
  Azure Key Vault管理HSM、Azure Key Vault PremiumまたはAzure Key Vault Standardを作成し、権限を割り当てます。
• OCIコンソールでのAzureキー・ボールトの登録
  これは、OCIコンソールからAzureキー・ボールトを登録する別の方法です。 既存のExadata VMクラスタでのデータベースの作成中にボールトをすでに登録している場合は、このステップをスキップできます。
• 既存のVMクラスタにデータベースを作成するには
  このトピックでは、最初または後続のデータベースの作成について説明します。
• Key ManagementをOracle WalletからAzure Key Vaultに変更
  異なる暗号化方式間で暗号化キーを変更するメソッドについて学習します。
• コンテナ・データベースに対するAzure Key Vaultによって管理されるキーのローテーション
  コンテナ・データベース(CDB)のAzureキー・ボールト暗号化キーをローテーションするには、この手順を使用します。
• プラガブル・データベースに対するAzure Key Vaultによって管理されるキーのローテーション
  プラガブル・データベース(PDB)のAzureキー・ボールト暗号化キーをローテーションするには、この手順を使用します。

OCIコンソールからのアイデンティティ・コネクタの作成

アイデンティティ・コネクタを作成すると、Exadata VMクラスタ仮想マシンにAzure Arcエージェントがインストールされ、Azure Arc対応仮想マシンとして登録されます。

これにより、Arcエージェントによって生成されたAzureアイデンティティを使用して、Azure Key Management Service (KMS)とのセキュアな通信が可能になります。 Azure Arcエージェントは、パブリック・ネットワークまたはプライベート接続設定のいずれかを介してAzureサービスと通信できます。 「Azure円弧」の詳細を参照してください。

Azureリソースにアクセスするには、各Exadata VMクラスタでアイデンティティ・コネクタが有効になっている必要があります。 アイデンティティ・コネクタは、割り当てられたロールに応じて、Exadata VMクラスタとAzureキー管理リソース間のパブリック接続またはプライベート接続を確立します。

現在のAzureアカウントの「アクセス・トークン」を生成するには、「azアカウントget-access-token」を参照してください。

アイデンティティ・コネクタは、Oracle Exadata Database Service on Dedicated Infrastructureインタフェースまたはデータベース・マルチ・クラウド統合インタフェースを使用する2つの方法のいずれかで作成できます。

Oracle Exadata Database Service on Dedicated Infrastructure

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. 左側のメニューから、Oracle Exadata Database Service on Dedicated Infrastructureの下にある「Exadata VMクラスタ」をクリックします。
3. 「Exadata VMクラスタ」のリストから、使用するクラスタを選択します。
4. 「VMクラスタ情報」を選択し、「マルチ・クラウド情報」の下にある「アイデンティティ・コネクタ」に移動します。 「作成」リンクをクリックします。

   ノート:

   アイデンティティ・コネクタが以前に作成されていない場合は、「なし」として表示されます。

5. 「アイデンティティ・コネクタ名」、「Exadata VMクラスタ」、「AzureサブスクリプションID」および「Azureリソース・グループ名」は読取り専用フィールドで、値が移入されます。
6. 「AzureテナントID」と「アクセス・トークン」を入力します。
7. 「詳細オプションの表示」セクションを展開します。

   「プライベート接続情報」および「タグ」セクションが移入されます。

   プライベート・エンドポイント接続を有効にするには、「Azure arcプライベート・リンク・スコープ」名を入力します。

8. リソースのタグを追加するには、「タグを追加」をクリックし、必要な値を入力します。
9. 選択内容を確認し、「作成」をクリックしてアイデンティティ・コネクタを作成します。

データベース・マルチクラウド統合

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、「データベース・マルチ・クラウド統合」をクリックします。
2. 左側のナビゲーション・メニューから「アイデンティティ・コネクタ」を選択します。
3. 「コンパートメント」ドロップダウン・リストから、使用しているコンパートメントを選択します。
4. コンパートメントを選択すると、「アイデンティティ・コネクタ名」によって自動的に名前が移入されます。

   デフォルトでは、アイデンティティ・コネクタ・タイプはAzureとして選択されています。

5. アイデンティティ・メカニズムとして「ARCエージェント」を選択します。
6. 「Exadata VMクラスタ・コンパートメントの選択」リストからコンパートメントを選択し、「Exadata VMクラスタの選択」リストからExadata VMクラスタを選択します。
7. 「AzureテナントID」を入力します。 「AzureサブスクリプションID」および「Azureリソース・グループ名」フィールドは、Exadata VMクラスタの選択に基づいて値を移入します。
8. 「アクセス・トークン」を入力します。
9. 「詳細オプションの表示」セクションを展開します。 「プライベート接続情報」および「タグ」セクションが移入されます。 これらのフィールドはオプションです。
10. リソースのタグを追加するには、「タグを追加」をクリックし、必要な値を入力します。
11. 選択内容を確認し、「作成」をクリックします。

アイデンティティ・コネクタの詳細の表示

アイデンティティ・コネクタの詳細を表示するには、この手順を使用します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. Oracle Exadata Database Service on Dedicated Infrastructureの下で、「Exadata VMクラスタ」をクリックします。
3. 選択したVMクラスタの名前をクリックします。
4. 表示される「VMクラスタ詳細」ページの「マルチ・クラウド情報」セクションで、「アイデンティティ・コネクタ」フィールドに、以前に作成したアイデンティティ・コネクタが表示されていることを確認します。
5. 「アイデンティティ・コネクタ」の名前をクリックして、その詳細を表示します。

Azureキー管理の有効化または無効化

このステップでは、Azure Key Vault統合をサポートするために、必要なライブラリをVMクラスタにインストールします。 Exadata VMクラスタでAzureキー管理を有効にする前に、アイデンティティ・コネクタが作成されていることを確認してください。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. Oracle Exadata Database Service on Dedicated Infrastructureの下で、「Exadata VMクラスタ」をクリックします。
3. 選択したVMクラスタの名前をクリックします。
4. 表示される「VMクラスタ詳細」ページの「マルチ・クラウド情報」セクションで、「Azureキー・ストア」の横にある「有効化」リンクをクリックします。
5. 表示された「Azureキー管理の有効化」ダイアログで、「有効化」をクリックして操作を確認します。

   アクションを確認すると、Exadata VMクラスタにライブラリがインストールされます。

   Azureキー・ストアのステータスは、「無効」から「有効」に変わります。

6. Azureキー・ストアを無効にするには、「無効化」リンクをクリックします。
7. 表示された「Azureキー管理の無効化」ダイアログで、「無効化」をクリックして操作を確認します。

   Azureキー管理を無効にすると、有効化時にインストールされたライブラリが削除され、それを使用するように構成されたデータベースの可用性に影響します。

ノート:

Azureキー管理はVMクラスタ・レベルで構成されるため、クラスタ内のすべてのデータベースで同じキー管理ソリューションを使用する必要があります。 ただし、Oracle Walletを使用するデータベースは、同じクラスタ内でAzure Key Vaultを使用するデータベースと共存できます。

Azure Key Vault(マネージドHSM、プレミアムおよび標準)の作成および必要な権限の割当て

Azure Key Vault管理HSM、Azure Key Vault PremiumまたはAzure Key Vault Standardを作成し、権限を割り当てます。

詳細は、「Azureポータルを使用したキー・ボールトの作成」を参照してください。

ノート:

「Azure Key Vault管理HSM」、Azure Key Vault PremiumおよびAzure Key Vault 「標準」リソースへのアクセスおよび管理に必要な権限を付与するために、グループに割り当てる必要がある特定のロールがあります。

1. グループを作成し、メンバーを追加します。

   Azureグループを使用すると、リソースに同じアクセスおよび権限を割り当てることによって、ユーザーを管理できます。

   • Azureでグループを管理するには、「ユーザー管理者」または「グループ管理者」ロールが必要です。 詳細は、「Microsoft Entraグループおよびグループ・メンバーシップの管理」を参照してください。
   • セキュリティ・グループを作成し、Microsoft Azureポータルからメンバーを追加する必要があります。 「グループ・タイプ」として「セキュリティ」オプションを選択する必要があります。 詳細は、「基本グループの作成とメンバーの追加」を参照してください
2. Azure Key Vaultのタイプに基づいて、次のロールを割り当てます:
   • 管理対象HSMの場合:
     • IAM: リーダー
     • ローカルRBAC: マネージドHSM暗号責任者+マネージドHSM暗号ユーザー
   • Key Vault PremiumおよびStandard向け
     • IAM : リーダー+ Key Vault Crypto Officer

詳細なステップは、「Azureポータルを使用したAzureロールの割当て」を参照してください。

OCIコンソールでのAzureキー・ボールトの登録

これは、OCIコンソールからAzureキー・ボールトを登録する別の方法です。 既存のExadata VMクラスタでのデータベースの作成中にボールトをすでに登録している場合は、このステップをスキップできます。

1. OCIコンソールから、「データベース・マルチ・クラウド統合」に移動し、「Microsoft Azure統合」を選択します。 「Microsoft Azure統合」セクションで、Azureキー・ボールトを選択します。

   ノート:

   登録を成功させるには、Azureポータルのボールトに少なくとも1つのキーを作成する必要があります。
2. 「Azureキー・ボールトの登録」ボタンを選択します。
3. ドロップダウン・リストから、「コンパートメント」を選択します。
4. 「Azureキー・ボールト」セクションで、「コネクタを使用したAzureキー・ボールトの検出」リストから「アイデンティティ・コネクタ」を選択します。
5. 「検出」をクリックします。

   「Vault名」のリストが表示されます。

6. 「Vault名」の横にあるチェック・ボックスを選択します。
7. リソースのタグを追加する場合は、「拡張オプション」セクションを展開し、「タグを追加」をクリックします。
8. 「登録」をクリックして、ボールトをOCIにローカルに登録します。
9. ボールトを登録すると、リスト内のボールトの「表示名」、「状態」、「タイプ」、「Azureリソース・グループ」および「作成日」情報を表示できます。
10. 使用しているボールトを選択し、「アイデンティティ・コネクタ関連付け」タブをクリックします。このタブには、現在のコンパートメント内のアイデンティティ・コネクタ関連付けがリストされます。

    ノート:

    デフォルトの関連付けは、ボールト登録プロセス中に使用されるボールトとアイデンティティ・コネクタの間に自動的に作成されます。 これにより、その特定のアイデンティティ・コネクタに関連付けられているExadata VMクラスタでボールトを使用できます。

    異なるアイデンティティ・コネクタに登録されている他のクラスタ(つまり、ボールト検出時に使用されるものではない)で同じボールトを使用する場合は、ボールトとそれらの追加のアイデンティティ・コネクタとの間に関連付けを明示的に作成する必要があります。

11. 「関連付けの作成」をクリックします。
12. ドロップダウン・リストから、「コンパートメント」、「Azureキー・ボールト関連付け名」および「アイデンティティ・コネクタ」を選択します。
13. 「拡張オプション」セクションを展開すると、リソースを編成するための「タグ」を追加できます。
14. 選択内容を確認し、「作成」をクリックします。

既存のVMクラスタにデータベースを作成するには

このトピックでは、最初または後続のデータベースの作成について説明します。

ノート:

Exadata Cloud InfrastructureインスタンスでIORMが有効になっている場合、デフォルトのディレクティブが新しいデータベースに適用され、システムのパフォーマンスに影響する可能性があります。 Oracleでは、IORM設定を確認し、新しいデータベースのプロビジョニング後に構成に適用可能な調整を行うことをお薦めします。

ノート:

最初のデータベースを作成し、キー管理用にAzure Key Vaultを選択する前に、次の前提条件が満たされていることを確認してください:

• 「アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件」セクションで説明されているすべてのネットワーク前提条件を満たしています
• アイデンティティ・コネクタが作成され、使用できます
• Azureキー管理は、VMクラスタ・レベルで有効化されます
• VMクラスタには、ボールトにアクセスするために必要な権限があります
• ボールトはOCIリソースとして登録されます

ノート:

• 仮想マシンの制限: VMクラスタをスケール・アウトしても、Azure Key Vaultを使用するデータベースは、新しく追加された仮想マシンに自動的に拡張されません。 拡張を完了するには、Azureアクセス・トークンを指定して、Exadata VMクラスタの既存のアイデンティティ・コネクタを更新する必要があります。 アイデンティティ・コネクタを更新した後、「dbaascliデータベースaddInstance」コマンドを実行して、新しいVMにデータベース・インスタンスを追加します。
• Data Guardの制限事項:
  • Azure Key Vaultを使用するプライマリのスタンバイ・データベースを作成する場合は、ターゲットVMクラスタにアクティブなアイデンティティ・コネクタがあり、Azureキー管理が有効になっており、アイデンティティ・コネクタとKey Vaultの間の必要な関連付けが適切に構成されていることを確認してください。
  • クロス・リージョンData Guardおよびデータベースのリストア操作は、キー管理にAzure Key Vaultを使用するデータベースではサポートされていません。
• PDB操作の制限: リモートPDB操作(クローン、リフレッシュ、再配置など)は、ソース・データベースと宛先データベースの両方が同じTransparent Data Encryption (TDE)キーを使用している場合にのみサポートされます。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリック
2. コンパートメントを選択します。
3. データベースを作成するクラウドVMクラスタまたはDBシステムにナビゲートします:

   クラウドVMクラスタ(新しいExadata Cloud Infrastructureリソース・モデル): Oracle Exadata Database Service on Dedicated Infrastructureで、Exadata VMクラスタをクリックします。 VMクラスタのリストで、アクセスするVMクラスタを検索し、そのハイライト表示されている名前をクリックしてクラスタの詳細ページを表示します。

   DBシステム: Oracleベース・データベースで、DBシステムをクリックします。 DBシステムのリストで、アクセスするExadata DBシステムを探し、名前をクリックすると詳細が表示されます。

4. 「データベースの作成」をクリックします。
5. 「データベースの作成」ダイアログで、次のように入力します:

   ノート:

   データベースの作成後にdb_name、db_unique_nameおよびSIDプレフィクスを変更することはできません。
   • データベース名: データベースの名前。 データベース名は要件を満たす必要があります:
     • 最大8文字
     • 英数字のみを含みます
     • 先頭はアルファベット
     • VMクラスタ上のDB_UNIQUE_NAMEの最初の8文字の一部にすることはできません
     • 次の予約名は使用しないでください: grid, ASM
   • 一意のデータベース名の接尾辞:

     オプションで、DB_UNIQUE_NAMEデータベース・パラメータの値を指定します。 値の大/小文字は区別されません。

     一意の名前は次の要件を満たす必要があります:

     • 最大30文字であること
     • 英数字またはアンダースコア(_)文字のみを含みます
     • 先頭はアルファベット
     • VMクラスタ全体で一意。 テナンシ全体で一意になるようにすることをお薦めします。
     指定しない場合、次のように一意の氏名値が自動的に生成されます:

     <db_name>_<3_chars_unique_string>_<region-name>

   • データベースのバージョン: データベースのバージョン。 Exadata DBシステム上でデータベースのバージョンを混在できます。
   • PDB名: (オプション) Oracle Database 12c (12.1.0.2)以降では、プラガブル・データベースの名前を指定できます。 PDB名の先頭にはアルファベット文字を使用し、最大8文字の英数字を使用できます。 アンダースコア(_)のみが許可されます。

     Oracle Net Servicesを使用してPDBに接続する際に発生する可能性のあるサービス名の競合を回避するには、PDB名がVMクラスタ全体で一意であることを確認します。 最初のPDBの名前を指定しない場合は、システム生成の名前が使用されます。

   • データベース・ホーム: データベースのOracle Databaseホーム。 該当するオプションを選択します:
     • 既存のデータベース・ホームの選択: データベース・ホームの表示名フィールドでは、指定したデータベース・バージョンの既存のホームからデータベース・ホームを選択できます。 そのバージョンのデータベース・ホームが存在しない場合は、新しいデータベース・ホームを作成する必要があります。
     • 新規データベース・ホームの作成: Data Guardピア・データベースの新しいデータベース・ホームをプロビジョニングするには、このオプションを使用します。

       データベース・イメージの変更をクリックして、目的のOracle公開イメージまたは事前に作成したカスタムデータベース・ソフトウェア・イメージを使用し、イメージ・タイプを選択します:

       • Oracle提供のデータベース・ソフトウェア・イメージ:

         「使用可能なすべてのバージョンを表示」スイッチを使用して、使用可能なすべてのPSUおよびRUから選択できます。 各メジャー・バージョンの最新リリースは、latestラベルで示されます。

         ノート:

         Oracle Cloud Infrastructureで使用可能なOracle Databaseメジャー・バージョン・リリースでは、現在のバージョンと3つの最新バージョン(NからN)のイメージが提供されます - 3). たとえば、インスタンスがOracle Database 19cを使用し、提供されている最新バージョンの19cが19.8.0.0.0の場合、プロビジョニングに使用可能なイメージはバージョン19.8.0.0.0, 19.7.0.0, 19.6.0.0および19.5.0.0用です。
       • カスタム・データベース・ソフトウェア・イメージ: これらのイメージは組織によって作成されたで、ソフトウェア更新およびパッチのカスタマイズされた構成が含まれています。 「コンパートメントの選択」、「リージョンの選択」および「データベース・バージョンの選択」セレクタを使用して、カスタム・データベース・ソフトウェア・イメージのリストを特定のコンパートメント、リージョンまたはOracle Databaseソフトウェアのメジャー・リリース・バージョンに制限します。

         リージョン・フィルタは、デフォルトで現在接続されているリージョンに設定され、そのリージョンで作成されたすべてのソフトウェア・イメージがリストされます。 別のリージョンを選択すると、選択したリージョンで作成されたソフトウェア・イメージが表示されるように、ソフトウェア・イメージ・リストがリフレッシュされます。

   • 管理者資格証明を作成します: (読取り専用)データベース管理者のSYSユーザーは、指定したパスワードを使用して作成されます。
     • ユーザー名: SYS
     • パスワード: このユーザーのパスワードを指定します。 パスワードは、次の基準を満たす必要があります:

       SYS、SYSTEM、TDEウォレットおよびPDB管理の強力なパスワード。 パスワードは9から30文字で、少なくとも2つの大文字、2つの小文字、2つの数値、および2つの特殊文字を含める必要があります。 特殊文字は、_、#、または -にする必要があります。 パスワードには、ユーザー名(SYS、SYSTEMなど)または単語" oracle "を、前方または逆順、および大文字と小文字の区別に関係なく含めることはできません。

     • パスワードの確認: 指定したSYSパスワードを再入力します。
     • 「TDEウォレット・パスワード」の使用はオプションです。 テナンシの「金庫」に格納されている顧客管理暗号化キーを使用している場合、TDEウォレット・パスワードはDBシステムに適用できません。 「データベースの作成」ダイアログの最後にある「高度なオプションを表示」を使用して、顧客管理キーを構成します。

       顧客管理キーを使用している場合、または別のTDEウォレット・パスワードを指定する場合は、「TDEウォレット・ボックスの管理者パスワードの使用」の選択を解除します。 顧客管理キーを使用している場合は、TDEパスワード・フィールドを空白のままにします。 TDEウォレットのパスワードを手動で設定するには、「TDEウォレット・パスワードの入力」フィールドにパスワードを入力し、「TDEウォレット・パスワードの確認」フィールドにパスワードを入力して確認します。

   • データベース・バックアップを構成します: Autonomous Recovery ServiceまたはObject Storageにデータベースをバックアップするための設定を指定します:

     • 自動バックアップの有効化: このデータベースの自動増分バックアップを有効にするには、チェック・ボックスを選択します。 セキュリティ・ゾーン・コンパートメントにデータベースを作成する場合は、自動バックアップを有効にする必要があります。
     • バックアップの保存先: 選択肢は、Autonomous リカバリ・サービスまたはオブジェクト・ストレージです。
     • バックアップ・スケジューリング:
       • オブジェクト・ストレージ(L0):
         • 完全バックアップ・スケジュール日: 初期および将来のL0バックアップを開始する曜日を選択します。
         • フル・バックアップ・スケジューリング時間(UTC): 自動バックアップ機能が選択されたときに完全バックアップが開始される時間枠を指定します。

         • 最初のバックアップをすぐに取得: 全体バックアップは、すべてのデータファイルおよびOracle Databaseを構成する制御ファイルのオペレーティング・システム・バックアップです。 全体バックアップには、データベースに関連付けられたパラメータ・ファイルも含める必要があります。 データベースの停止時またはデータベースのオープン中に、データベースの全体バックアップを取得できます。 通常、インスタンス障害やその他の異常な状況の後は、完全バックアップを使用しないでください。

           最初の完全バックアップを遅延するように選択した場合、データベースの障害発生時にデータベースをリカバリできなくなる可能性があります。

       • オブジェクト・ストレージ(L1):
         • 増分バックアップ・スケジュール時間(UTC): 自動バックアップ機能が選択されたときに増分バックアップが開始される時間ウィンドウを指定します。
       • Autonomous Recovery Service (L0):
         • 初期バックアップのスケジュール日: 最初のバックアップの曜日を選択します。
         • 初期バックアップのスケジュール時間(UTC): 初期バックアップの時間ウィンドウを選択します。

         • 最初のバックアップをすぐに取得: 全体バックアップは、すべてのデータファイルおよびOracle Databaseを構成する制御ファイルのオペレーティング・システム・バックアップです。 全体バックアップには、データベースに関連付けられたパラメータ・ファイルも含める必要があります。 データベースの停止時またはデータベースのオープン中に、データベースの全体バックアップを取得できます。 通常、インスタンス障害やその他の異常な状況の後は、完全バックアップを使用しないでください。

           最初の完全バックアップを遅延するように選択した場合、データベースの障害発生時にデータベースをリカバリできなくなる可能性があります。

       • Autonomous Recovery Service (L1):
         • 日次バックアップのスケジュール時間(UTC): 自動バックアップ機能が選択されたときに増分バックアップが開始される時間ウィンドウを指定します。
     • データベース終了後の削除オプション: データベースの終了後に保護されたデータベース・バックアップを保持するために使用できるオプション。 これらのオプションは、データベースに偶発的または悪意のある障害が発生した場合にバックアップからデータベースをリストアする場合にも役立ちます。
       • 保護ポリシーまたはバックアップ保存期間に指定された期間のバックアップを保持: このオプションは、データベースの終了後に、Object Storageバックアップ保存期間またはAutonomous Recovery Service保護ポリシーに定義されている期間全体にわたってデータベース・バックアップを保持する場合に選択します。
       • バックアップを72時間保持してから削除: データベースの終了後72時間の間バックアップを保持するには、このオプションを選択します。

     • バックアップ保存期間/保護ポリシー: 自動バックアップを有効にする場合は、次の事前設定された保持期間またはカスタム・ポリシーのいずれかを含むポリシーを選択できます。

       オブジェクト・ストレージ・バックアップの保存期間: 7、15、30、45、60。 デフォルト: 30日。 増分バックアップは、選択した保持期間の最後に自動的に削除されます。

       Autonomous Recovery Serviceの保護ポリシー:

       • ブロンズ: 14日
       • シルバー: 35日
       • ゴールド: 65日
       • プラチナ: 95日
       • ユーザーによって定義されたカスタム
       • デフォルト: シルバー - 35日
     • リアルタイム・データ保護の有効化: リアルタイム保護は、保護されたデータベースから自律型リカバリ・サービスへのREDO変更の継続的な転送です。 これにより、データ損失が減少し、リカバリ・ポイント目標(RPO)が0近くになります。 これは追加料金オプションです。

6. 「高度なオプションを表示」をクリックして、データベースの拡張オプションを指定します:

   • 管理:

     Oracle SIDプレフィクス: Oracle Databaseインスタンス番号は、INSTANCE_NAMEデータベース・パラメータを作成するために、SIDプレフィクスに自動的に追加されます。 INSTANCE_NAMEパラメータは、SIDとも呼ばれます。 SIDは、クラウドVMクラスタ全体で一意です。 指定しない場合、SIDプレフィクスはデフォルトでdb_nameに設定されます。

     ノート:

     SIDプレフィクスの入力は、Oracle 12.1以上のデータベースでのみ使用できます。

     SIDプレフィクスは要件を満たす必要があります:

     • 最大12文字
     • 英数字のみを含みます ただし、この命名規則によって制限されない唯一の特殊文字であるアンダースコア(_)を使用できます。
     • 先頭はアルファベット
     • VMクラスタ内で一意
     • 次の予約名は使用しないでください: grid, ASM
   • 文字セット: データベースの文字セット。 デフォルトはAL32UTF8です。
   • 各国語文字セット: データベースの各国文字セット。 デフォルトはAL16UTF16です。

   • 暗号化:

     Exadata Cloud Service VMクラスタにデータベースを作成する場合は、管理する暗号化キーに基づいて暗号化を使用することを選択できます。 デフォルトでは、データベースはOracle管理の暗号化キーを使用して構成されます。

     • 管理する暗号化キーに基づいて暗号化を使用してデータベースを構成するには:

       ノート:

       VMクラスタ・レベルでAzureキー管理が無効になっている場合、3つのキー管理オプションがあります: Oracle Wallet、OCI Vault、およびOracle Key Vaultです。
       • OCI Vault:
         1. Oracle Cloud Infrastructure Vaultサービスに有効な暗号化キーが必要です。 「セキュリティ管理者がボールト、キーおよびシークレットを管理できるようにします」を参照してください。

            ノート:

            データベースにはAES-256暗号化キーを使用する必要があります。
         2. 「ボールト」を選択します。
         3. 「マスター暗号化キー」を選択します。
         4. 選択したキーの最新バージョン以外のキー・バージョンを指定するには、「キー・バージョンの選択」をチェックし、使用するキーのOCIDを「キー・バージョンOCID」フィールドに入力します。

            ノート:

            キー・バージョンは、そのプラガブル・データベース(PDB)ではなく、コンテナ・データベース(CDB)にのみ割り当てられます。 PDBには、自動的に生成された新しいキー・バージョンが割り当てられます。
       • Oracle Key Vault: コンパートメントを選択し、選択したコンパートメントからキー・ストアを選択します。
     • Azure key Vaultをキー管理ソリューションとして使用してデータベースを作成するには:

       ノート:

       VMクラスタ・レベルでAzureキー管理が有効になっている場合、2つのキー管理オプションがあります: Oracle WalletおよびAzure Key Vault。
       1. 「キー管理」タイプをAzure Key Vaultとして選択します。
       2. コンパートメントで使用可能なVaultを選択します。

          ノート:

          Vaultリストには、登録済みのボールトのみが表示されます。 「新規ボールトの登録」リンクをクリックして、ボールトを登録します。 Azureキー・ボールトの登録ページでボールトを選択し、「登録」をクリックします。

          ノート:

          ボールトに少なくとも1つのキーを登録する必要があります。
       3. コンパートメントで使用可能なキーを選択します。
   • タグ: リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限もあります。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、リソース・タグを参照してください。 タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
7. 「データベースの作成」をクリックします。

ノート:

現在、次のことが可能です:

• Data Guard設定が同じOracleホーム内の別のデータベースで実行されている間、CDBを作成または削除します。その逆も同様です。
• 同じOracleホーム内でData Guardアクション(スイッチオーバー、フェイルオーバーおよび回復)を同時に実行しながら、CDBを作成または削除します(またはその逆)。
• 同じOracleホーム内でPDBを同時に作成または削除しながら、CDBを作成または削除します。その逆も同様です。
• 同じOracleホーム内でCDBを同時に作成または削除します。
• VMクラスタ・タグを同時に更新しながら、CDBを作成または削除します。

データベースの作成が完了すると、ステータスが「プロビジョニング」から「使用可能」に変わり、新しいデータベースのデータベースの詳細ページに、「暗号化」セクションに暗号化キー名と暗号化キーのOCIDが表示されます。

警告:

ボールトから暗号化キーを削除しないでください。 これにより、キーで保護されているデータベースが使用できなくなります。

Key ManagementをOracle WalletからAzure Key Vaultに変更

異なる暗号化方式間で暗号化キーを変更するメソッドについて学習します。

1. OCIコンソールで既存のExadata VMクラスタに移動します。 「データベース」タブを選択します。 次に、使用するデータベース・リソースを選択します。
2. 「データベース情報」タブを選択し、「キー管理」セクションまで下にスクロールします。
3. 「暗号化」セクションで、「キー管理」がOracle Walletに設定されていることを確認します。次に、「変更」リンクを選択します。
4. 「キー管理の変更」ページに次の情報を入力します。
   1. ドロップダウン・リストから「キー管理」を「Azureキー・ボールト」として選択します。
   2. 使用しているVaultコンパートメントを選択し、コンパートメントで使用可能なVaultを選択します。
   3. 使用している「キー」コンパートメントを選択し、ドロップダウン・リストから「キー」を選択します。
   4. 「変更の保存」をクリックします。

ノート:

Azure Key VaultからOracle Walletへのキー管理の変更は、APIまたはOCIコンソールを使用して実行できません。dbaascli tde fileToHsmコマンドでのみサポートされます。 また、Azure Key VaultとOCI VaultまたはOracle Key Vault (OKV)の切替えはサポートされていません。

コンテナ・データベースに対するAzure Key Vaultによって管理されるキーのローテーション

コンテナ・データベース(CDB)のAzureキー・ボールト暗号化キーをローテーションするには、この手順を使用します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. コンパートメントを選択します。

   選択したコンパートメントのVMクラスタのリストが表示されます。

3. VMクラスタのリストで、暗号化キーをローテーションするデータベースを含むVMクラスタの名前をクリックします。
4. 「データベース」をクリックします。
5. 暗号化キーをローテーションするデータベースの名前をクリックします。

   「データベースの詳細」ページには、選択したデータベースに関する情報が表示されます。

6. 「暗号化」セクションで、「キー管理」がAzure Key Vaultに設定されていることを確認します。次に、「回転」リンクをクリックします。
7. 表示された「キーのローテーション」ダイアログで、「回転」をクリックしてアクションを確認します。

ノート:

キー・ローテーションは、OCIインタフェースを介して実行する必要があります。 Azureインタフェースからキーを直接ローテーションしても、データベースには影響しません。

プラガブル・データベースに対するAzure Key Vaultによって管理されるキーのローテーション

プラガブル・データベース(PDB)のAzureキー・ボールト暗号化キーをローテーションするには、この手順を使用します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. コンパートメントを選択します。

   選択したコンパートメントのVMクラスタのリストが表示されます。

3. VMクラスタのリストで、起動するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
4. 「データベース」で、暗号化キーをローテーションするPDBを含むデータベースを検索します。
5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

   このデータベース内の既存のPDBのリストが表示されます。

7. 暗号化キーをローテーションするPDBの名前をクリックします。

   プラガブルの詳細ページが表示されます。

8. 「暗号化」セクションには、キー管理がAzure Key Vaultとして設定されていることが表示されます。
9. 「回転」リンクをクリックします。
10. 表示された「キーのローテーション」ダイアログで、「回転」をクリックしてアクションを確認します。

APIを使用したExadata Database ServiceのAzure Key Vault統合の管理(Oracle Database@Azure)

APIの使用およびリクエストの署名の詳細は、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

これらのAPI操作を使用して、Oracle Database@Azure上のExadata Database ServiceのAzure Key Vault統合を管理します。

表5-10 Oracle Database@Azure上のExadata Database ServiceのAzure Key Vault統合を管理するAPI操作

API	説明
createOracleDbAzureConnector	Azure固有の詳細を顧客から取得し、ExaDB-D VMクラスタへのARCエージェントのインストールを自動化します。
deleteOracleDbAzureConnector	Azureコネクタ・リソースを削除し、ExaDB-D VMクラスタからArcエージェントをアンインストールします。
getOracleDbAzureConnector	特定のAzureコネクタ・リソースの詳細をフェッチします。
listOracleDbAzureConnectors	指定されたフィルタに基づいて、Azureコネクタ・リソースをリストします。
CreateMultiCloudResourceDiscovery	新しいマルチ・クラウド・リソース検出リソースを作成します。
GetMultiCloudResourceDiscovery	特定のマルチ・クラウド・リソース検出リソースの詳細を取得します。
ListMultiCloudResourceDiscoveries	すべてのマルチ・クラウド・リソース検出リソースのリストを取得します。
CreateOracleDbAzureVaultAssociation	Oracle DBボールトとAzureボールトの間に新しい関連付けを作成します。
GetOracleDbAzureVaultAssociation	特定のOracle DB Azureボールト関連付けの詳細を取得します。
ListOracleDbAzureVaultAssociations	すべてのOracle DB Azureボールト関連付けのリストを取得します。
CreateCloudVMCluster	クラウドVMクラスタを作成します。
GetCloudVmCluster	指定されたクラウドVMクラスタに関する情報を取得します。 専用Exadataインフラストラクチャ上のExadata Cloud ServiceインスタンスおよびAutonomous Databaseにのみ適用されます。
ListCloudVmClusters	指定されたコンパートメント内のクラウドVMクラスタのリストを取得します。 専用Exadataインフラストラクチャ上のExadata Cloud ServiceインスタンスおよびAutonomous Databaseにのみ適用されます。
DeleteCloudVMCluster	指定されたクラウドVMクラスタを削除します。 専用Exadataインフラストラクチャ上のExadata Cloud ServiceインスタンスおよびAutonomous Databaseにのみ適用されます。
CreateDatabase	指定されたデータベース・ホームに新しいデータベースを作成します。 データベース・バージョンを指定する場合は、データベース・ホームのバージョンと一致する必要があります。 ExadataおよびExadata Cloud@Customerシステムに適用されます。
CreateDatabaseFromBackup	データベース・バックアップからリストアしてデータベースを作成するための詳細。 警告: Oracleでは、APIを使用して文字列値を指定するときに機密情報を使用しないことをお薦めします。
MigrateVaultKey	「Vaultサービス」を使用して、暗号化キー管理を顧客管理からOracle管理に変更します。
RotateVaultKey	既存の「Vaultサービス」キーの新しいバージョンを作成します。
RestoreDatabase	指定したリクエスト・パラメータに基づいてデータベースをリストアします。