機械翻訳について

Oracle Database@Google CloudでのExadata Database ServiceのGoogle Cloud Key Management統合

Oracle Database@Google Cloud上のExadata Database Serviceでは、Google Cloud PlatformのKey Management Service (KMS)との統合がサポートされるようになりました。

この機能拡張により、ユーザーはGCP顧客管理暗号化キー(CMEK)を使用して、Transparent Data Encryption (TDE)マスター暗号化キー(MEK)を管理できます。

以前は、Transparent Data Encryption (TDE)マスター暗号化キー(MEK)は、ファイルベースのOracle Wallet、Oracle Cloud Infrastructure (OCI) VaultまたはOracle Key Vault (OKV)にのみ格納できました。 この更新により、ユーザーはGCP KMSでMEKを直接格納および管理できるようになり、キー・ライフサイクル制御が改善され、組織固有のセキュリティ・ポリシーに準拠できるようになりました。

この統合により、アプリケーション、Google Cloudサービスおよびデータベースは、セキュリティを強化し、キー・ライフサイクル管理を簡素化する一元化されたキー管理ソリューションの恩恵を受けることができます。

• 前提条件
  GCP顧客管理暗号化キー(CMEK)をデータベースのキー管理サービスとして構成する前に、次の前提条件が満たされていることを確認してください。
• コンソールを使用したOracle Database@Google Cloud上のExadata Database ServiceのGCP KMS統合の管理
  Oracle Database@Google Cloud上のExadata Database ServiceのGCP KMS統合を管理する方法について学習します。
• APIを使用したOracle Database@Google Cloud上のExadata Database ServiceのGCP KMS統合の管理
  

前提条件

データベースのキー管理サービスとしてGCP顧客管理暗号化キー(CMEK)を構成する前に、次の前提条件が満たされていることを確認してください。

1. Google Cloudコンソールを介してExadata VMクラスタをプロビジョニングします。 ステップバイステップの手順については、Google Cloud用のExadata VMクラスタのプロビジョニングを参照してください。
2. アイデンティティ・コネクタ接続を確認して、正しく構成され、アクティブであることを確認します。 詳細は、VMクラスタにアタッチされたデフォルト・アイデンティティ・コネクタの検証を参照してください。
3. Exadata VMクラスタ・レベルでのGCP顧客管理暗号化キー(CMEK)の構成の前提条件。

   Oracle Database@Google CloudでExadata Database Serviceとともにデプロイされたデータベースに対してGoogle Cloud Platform (GCP)顧客管理暗号化キー(CMEK)を有効にするには、VMクラスタ・レベルでキー管理オプションとしてCMEKを構成する必要があります。 CMEKを有効にすると、すべてのデータベース暗号化および復号化操作で、指定されたGCP管理キーが使用されます。

   CMEKを有効にする前に、次のことを確認します。

   • 必要なGCPキー・リングおよび暗号化キーは、GCPにすでに作成されています。
   • これらのキーは、Oracle Cloud Infrastructure (OCI)でアンカー・リソースとしてミラー化され、GCPとOCI間の同期が保証されます。
   • データベースのプロビジョニングや、キーのローテーション、失効、監査などの暗号化キー・ライフサイクルの管理のために、アンカー・リソースが配置されています。
4. GCPキー・リソースにアクセスするためのIAMポリシー要件。

   データベースは、クラスタ・リソース・プリンシパルを使用して、GCPキー・リソースを安全に取得します。 この機能を有効にするには、OCIテナンシで適切なIAMポリシーを定義する必要があります。

   Oracle GCPキーへの読取り専用アクセス:

   Allow any-user to read oracle-db-gcp-keys in compartment id <your-compartment-OCID> 
   where all { request.principal.type = 'cloudvmcluster',}

   このポリシーは、VMクラスタ・リソース・プリンシパルのGCPキー・リソースへの読取り専用アクセス権を付与します。

コンソールを使用したOracle Database@Google CloudでのExadata Database ServiceのGCP KMS統合の管理

Oracle Database@Google CloudでExadata Database ServiceのGCP KMS統合を管理する方法について学習します。

• クラウドVMクラスタ・リソースを作成するには
  「Exadataクラウド・インフラストラクチャ」インスタンスにVMクラスタを作成します。
• VMクラスタにアタッチされたデフォルト・アイデンティティ・コネクタの検証
  VMクラスタにアタッチされたアイデンティティ・コネクタの詳細を表示するには、この手順を使用します。
• Google Cloudコンソールでのキー・リングの作成
  キー・リングを作成するには、この手順を使用します。
• Google Cloudコンソールでのキーの作成
  指定されたキー・リングおよび場所にRAW対称暗号化キーを作成するには、この手順を使用します。
• Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与
  Oracle Cloud Infrastructure (OCI)でキーを検出可能にするには、この手順を使用します。
• Oracle Cloud Infrastructure (OCI)へのGCPキー・リングの登録
  VMクラスタでGoogle Cloud顧客管理暗号化キー(CMEK)を有効にするには、まずOCIにGCPキー・リングを登録する必要があります。
• Google Cloudキー管理の有効化または無効化
  Exadata VMクラスタに対してGCP CMEKを有効にするには、この手順を使用します。
• 既存のVMクラスタにデータベースを作成するには
  このトピックでは、最初または後続のデータベースの作成について説明します。
• Oracle WalletからGCP Customer Managed Encryption Key (CMEK)へのKey Managementの変更
  様々な暗号化方法間で暗号化キーを変更するには、この手順を使用します。
• コンテナ・データベース(CDB)のGCP顧客管理暗号化キーのローテーション
  コンテナ・データベース(CDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。
• プラガブル・データベース(PDB)のGCP顧客管理暗号化キーをローテーション
  プラガブル・データベース(PDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。

クラウドVMクラスタ・リソースを作成するには

「Exadataクラウド・インフラストラクチャ」インスタンスにVMクラスタを作成します。

ノート:

Exadata Cloud InfrastructureインスタンスにクラウドVMクラスタを作成するには、最初に「クラウドExadataインフラストラクチャ・リソースの作成」が必要です。

ノート:

「マルチVM対応インフラストラクチャ」では、複数のVMクラスタの作成がサポートされます。 機能「Exadataシステム(MultiVM)およびVMクラスタ・ノード・サブセットごとの複数の仮想マシンの作成および管理」がリリースされる前に作成されたインフラストラクチャは、単一のクラウドVMクラスタの作成のみをサポートしています。

ノート:

Oracle Database@Google Cloud上のExadata Database ServiceでExadata VMクラスタをプロビジョニングすると、アイデンティティ・コネクタが自動的に作成され、VMクラスタに関連付けられます。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリック
2. Oracle Exadata Database Service on Dedicated Infrastructureで、「Exadata VMクラスタ」をクリックします。

   ノート:

   複数のVMクラスタは、「マルチVM対応インフラストラクチャ」でのみ作成できます。
3. 「Exadata VMクラスタの作成」をクリックします。

   「Exadata VMクラスタの作成」ページが表示されます。 VMクラスタを構成するために必要な情報を指定します。

4. コンパートメント: VMクラスタ・リソースのコンパートメントを選択します。
5. 表示名: VMクラスタのわかりやすい表示名を入力します。 名前は、一意である必要はありません。 Oracle Cloud Identifier (OCID)は、VMクラスタを一意に識別します。 機密情報の入力は避けてください。
6. Exadataインフラストラクチャの選択: VMクラスタを含むインフラストラクチャ・リソースを選択します。 新しいVMクラスタを作成するための十分なリソースがあるインフラストラクチャ・リソースを選択する必要があります。 「コンパートメントの変更」をクリックし、作業しているコンパートメントとは別のコンパートメントを選択して、他のコンパートメントのインフラストラクチャ・リソースを表示します。

   ノート:

   複数のVMクラスタは、「マルチVM対応インフラストラクチャ」でのみ作成できます
7. Oracle Grid Infrastructureバージョンを選択します: リストから、VMクラスタにインストールするOracle Grid Infrastructureリリース(19cおよび23ai)を選択します。

   Oracle Grid Infrastructureリリースによって、VMクラスタでサポートできるOracle Databaseリリースが決まります。 Oracle Grid Infrastructureソフトウェア・リリースより後のOracle Databaseリリースは実行できません。

   ノート:

   Grid Infrastructure 23aiでVMクラスタをプロビジョニングするための最小要件:

   • Exadataシステム・ソフトウェアを実行するExadataゲストVM 23.1.8
   • Exadata Infrastructure Exadataシステム・ソフトウェアの実行23.1.x
8. Exadataイメージ・バージョンを選択します:
   • Oracle Linux 7およびExadataイメージ・バージョン22.1.10.0.0.230422のExadataインフラストラクチャ:
     • 「イメージを変更」ボタンは有効になっていません。
     • Oracle Grid Infrastructureバージョンのデフォルトは19.0.0.0.0です。
     • Exadataゲストのバージョンは、ホストOSのバージョンと同じです。
   • Oracle Linux 8およびExadataイメージ・バージョン23.1.3.0.0.230613のExadataインフラストラクチャ:
     • Exadataゲスト・バージョンは、デフォルトで最新(23.1.3.0)になります。
     • Oracle Grid Infrastructureバージョンのデフォルトは19.0.0.0.0です
     • 「イメージを変更」ボタンが有効になっています。
     • 「イメージの変更」をクリックします。

       結果の「イメージの変更」パネルには、使用可能なExadataイメージのメジャー・バージョン(23.1.3.0および22.1.3.0)のリストが表示されます。

       各メジャー・バージョンの最新リリースは、"(latest)で示されます。

     • スライド「使用可能なすべてのバージョンの表示」。

       最新バージョンのExadataイメージ23.1.3.0および22.1.3.0を含む6つの過去のバージョンが表示されます。

     • バージョンの選択
     • 「変更の保存」をクリックします。
9. VMクラスタを構成します: 新しいVMクラスタに使用するDBサーバーを指定します(デフォルトでは、すべてのDBサーバーが選択されています)。 「DBサーバーの選択」をクリックして、使用可能なDBサーバーから選択し、「保存」をクリックします。

   「VM当たりのリソース割当て」ペインで:

   • 各VMクラスタの仮想マシン・コンピュート・ノードに割り当てるOCPU/ECPUの数を指定します。 X11M Exadataインフラストラクチャで作成されたVMクラスタの場合は、ECPUを指定します。 X10M以前のExadataインフラストラクチャで作成されたVMクラスタの場合は、OCPUを指定します。 最小は、X10Mおよび以前のインフラストラクチャではVM当たり2 OCPU、X11M Exadataインフラストラクチャで作成されたVMクラスタではVM当たり8 ECPUです。 読取り専用「Exadata VMクラスタのリクエストされたOCPU数」フィールドには、割り当てるOCPUまたはECPUコアの合計数が表示されます。
   • 各VMに割り当てる「VM当たりのメモリー」を指定します。 VM当たりの最小値は30 GBです。
   • ローカル・ストレージを各VMに割り当てるには、「VMごとのローカル・ストレージ」を指定します。 VM当たりの最小値は60 GBです。

     新しいVMクラスタを作成するたびに、使用可能な合計領域のうち残りの領域が新しいVMクラスタに使用されます。

     /u02に加えて、追加のローカル・ファイル・システムのサイズを指定できます。

     個々のVMのサイズを指定する方法の詳細は、「スケール・アップまたはスケール・ダウン操作の概要」を参照してください。

     • 「追加のローカル・ファイル・システム構成オプションを表示」をクリックします。
     • 必要に応じて、/, /u01, /tmp, /var, /var/log, /var/log/auditおよび/homeファイル・システムのサイズを指定します。

       ノート:

       • これらのファイル・システムは拡張のみ可能で、拡張後にサイズを減らすことはできません。
       • バックアップ・パーティションおよびミラー化により、/および/varファイル・システムは、割り当てられた領域の2倍を消費します。これは、読取り専用「ミラー化による / (GB)の割当て済ストレージの合計」および「ミラー化による/tmp (GB)の割当て済ストレージの合計」フィールドに示されています。
     • VMクラスタの作成後、「Exadata Infrastructure詳細」ページの「Exadataリソース」セクションをチェックして、ローカル・ストレージ(/u02)およびローカル・ストレージ(追加のファイル・システム)に割り当てられているファイル・サイズを確認します。
10. Exadataストレージの構成: 次のように指定します:

    • 「使用可能なExadataストレージTBの指定」。 ストレージは1 TBの倍数で指定します。 最小: 2 TB
    • Exadataスパース・スナップショットのストレージの割当: VMクラスタ内でスナップショット機能を使用する場合は、この構成オプションを選択します。 このオプションを選択すると、PDBスパース・クローニングにVMクラスタ・スナップショット機能を使用できるように、SPARSEディスク・グループが作成されます。 このオプションを選択すると、SPARSEディスク・グループが作成されず、環境に作成されたどのデータベース・デプロイメントでもスナップショット機能を使用できません。

      ノート:

      スパース・スナップショットのストレージ構成オプションは、VMクラスタの作成後に変更できません。
    • ローカル・バックアップ用にストレージを割り当てます: Exadataクラウド・インフラストラクチャインスタンス内のローカルExadataストレージへのデータベース・バックアップを実行する場合は、このオプションを選択します。 このオプションを選択すると、Exadataストレージにバックアップを格納するために使用されるRECOディスク・グループにより多くの領域が割り当てられます。 このオプションを選択しない場合、DATAディスク・グループにより多くの領域が割り当てられるため、データベースにさらに多くの情報を格納できます。

      ノート:

      ローカル・バックアップのストレージ構成オプションは、VMクラスタの作成後に変更できません。
11. SSHキーの追加: SSHアクセスに使用する各キー・ペアの公開キー部分をVMクラスタに追加します:
    • 「SSHキー・ペアの生成」 (デフォルト・オプション) SSHキー・ペアを生成するには、このラジオ・ボタンを選択します。 次に、下のダイアログで「秘密キーを保存」をクリックしてキーをダウンロードし、オプションで「公開キーの保存」をクリックしてキーをダウンロードします。
    • SSHキー・ファイルのアップロード: .pubファイルを参照またはドラッグ・アンド・ドロップするには、このラジオ・ボタンを選択します。
    • SSHキーの貼付け: 個々の公開キーに貼り付けるには、このラジオ・ボタンを選択します。 複数のキーを貼り付けるには、「+別のSSHキー」をクリックし、エントリごとに1つのキーを指定します。
12. ネットワーク設定の構成: 次のように指定します:

    ノート:

    IPアドレス(100.64.0.0/10)は、Exadata Cloud Infrastructure X8Mインターコネクトに使用されます。

    両方の構成が存在する場合、IPv4 (シングル・スタック)とIPv4/IPv6 (デュアル・スタック)から選択するオプションはありません。 詳細は、「VCNおよびサブネットの管理」を参照してください。

    • 仮想クラウド・ネットワーク: VMクラスタを作成するVCN。 「コンパートメントの変更」をクリックして、別のコンパートメントのVCNを選択します。
    • クライアント・サブネット: VMクラスタがアタッチする必要のあるサブネット。 「コンパートメントの変更」をクリックして、別のコンパートメントのサブネットを選択します。

      192.168.16.16/28と重複するサブネットは使用しないでください。これはデータベース・インスタンス上のOracle Clusterwareプライベート・インターコネクトによって使用されています。 重複しているサブネットを指定すると、プライベート・インターコネクトが正しく動作しません。

    • バックアップ・サブネット: バックアップ・ネットワークに使用するサブネット。通常は、バックアップの保存先との間のバックアップ情報の転送、およびData Guardレプリケーションに使用されます。 「コンパートメントの変更」をクリックして、別のコンパートメントのサブネットを選択します(該当する場合)。

      192.168.128.0/20とオーバーラップするサブネットは使用しないでください。 この制限は、クライアント・サブネットとバックアップ・サブネットの両方に適用されます。

      データベースをObject StorageまたはAutonomous Recoveryサービスにバックアップする場合は、「Exadataデータベースのバックアップの管理」のネットワークの前提条件を参照してください。

      ノート:

      自律型リカバリ・サービスを使用する場合は、新しい専用サブネットを強くお薦めします。 Oracle Cloudデータベースをリカバリ・サービスにバックアップするために必要なネットワーク要件および構成を確認します。 「リカバリ・サービスのネットワーク・リソースの構成」を参照してください。
    • ネットワーク・セキュリティ・グループ: オプションで、クライアント・ネットワークとバックアップ・ネットワークの両方に1つ以上のネットワーク・セキュリティ・グループ(NSG)を指定できます。 NSGは仮想ファイアウォールとして機能し、イングレスおよびエグレス「セキュリティ・ルール」のセットを「Exadataクラウド・インフラストラクチャ」 VMクラスタに適用できます。 NSGは5つまで指定できます。 詳細は、「ネットワーク・セキュリティ・グループ」および「Exadataクラウド・インフラストラクチャ」インスタンスのネットワーク設定を参照してください。

      「セキュリティ・リスト」を持つサブネットを選択すると、VMクラスタのセキュリティ・ルールは、セキュリティ・リストおよびNSG内のルールの結合になります。

      ネットワーク・セキュリティ・グループを使用するには:

      • 「ネットワーク・セキュリティ・グループを使用してトラフィックを制御」チェック・ボックスを選択します。 このボックスは、クライアント・サブネットとバックアップ・サブネットの両方のセレクタの下に表示されます。 NSGは、クライアントまたはバックアップ・ネットワーク、あるいは両方のネットワークに適用できます。 NSGをネットワークに割り当てるには、仮想クラウド・ネットワークを選択する必要があります。
      • ネットワークで使用するNSGを指定します。 複数のNSGを使用する必要がある場合があります。 不明な場合は、ネットワーク管理者に問い合わせてください。
      • ネットワークで追加のNSGを使用するには、「+;別のネットワーク・セキュリティ・グループ」をクリックします。

      ノート:

      クラウドVMクラスタ・リソースに追加のセキュリティを提供するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用して、セキュリティ属性で識別されたリソースのみがリソースにアクセスするためのネットワーク権限を持っていることを確認できます。 Oracleには、一般的なデータベース・セキュリティ・ユース・ケースのポリシーの作成に役立つデータベース・ポリシー・テンプレートが用意されています。 今すぐ構成するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用してセキュリティ属性をすでに作成している必要があります。 このプロシージャの最後にある「高度なオプションを表示」をクリックします。

      クラスタのセキュリティ属性を指定する場合、クラスタが適用されるとすぐに、すべてのリソースがクラスタにアクセスするためにゼロ・トラスト・パケット・ポリシーを必要とすることに注意してください。 エンドポイントにセキュリティ属性がある場合は、ネットワーク・セキュリティ・グループ(NSG)とOracle Cloud Infrastructure Zero Trust Packet Routingポリシー(OCI ZPR)の両方のルールを満たす必要があります。

    • プライベートDNSサービスを使用するには

      ノート:

      プライベートDNSは、選択する前に構成する必要があります。 「プライベートDNSの構成」を参照してください
      • 「プライベートDNSサービスの使用」チェック・ボックスを選択します。
      • プライベート・ビューの選択 別のコンパートメントのプライベート・ビューを選択するには、「コンパートメントの変更」をクリックします。
      • プライベート・ゾーンを選択します。 別のコンパートメントのプライベート・ゾーンを選択するには、「コンパートメントの変更」をクリックします。
    • ホスト名接頭辞: Exadata VMクラスタのホスト名を選択します。 ホスト名は英字で始める必要があり、英数字とハイフン(-)のみを使用できます。 Exadata VMクラスタに許可される最大文字数は12です。

      注意:

      ホスト名はサブネット内で一意である必要があります。 一意でない場合、VMクラスタはプロビジョニングに失敗します。
    • ホスト・ドメイン名: VMクラスタのドメイン名。 選択したサブネットで、DNS名解決にOracle-供給インターネットおよびVCNリゾルバを使用している場合、このフィールドにはサブネットのドメイン名が表示され、変更できません。 それ以外の場合は、ドメイン名を選択できます。 ハイフン(-)は使用できません。

      データベース・バックアップをObject StorageまたはAutonomous Recoveryサービスに格納する場合、Oracleでは、バックアップに使用されるSwiftエンドポイントが自動的に解決されるため、クライアント・サブネットのDNS名前解決にVCN Resolverを使用することをお薦めします。

    • ホストおよびドメインURL: この読取り専用フィールドには、ホスト名とドメイン名が結合され、データベースの完全修飾ドメイン名(FQDN)が表示されます。 最大の長さは、63文字です。
13. ライセンス・タイプの選択: VMクラスタに使用するライセンスのタイプ。 選択は請求の測定に影響します。
    • 「含まれるライセンス」は、cloud serviceのコストにデータベース・サービスのライセンスが含まれていることを意味します。
    • ライセンス持込み (BYOL)は、ユーザーが無制限ライセンス契約または無制限ライセンス契約を持つOracle Databaseの顧客で、Oracle Cloud Infrastructureでライセンスを使用することを意味します。 これにより、個別のオンプレミス・ライセンスおよびクラウド・ライセンスの必要性が削除されます。
14. 診断収集: 診断収集および通知を有効にすることで、Oracle Cloud操作により、ゲストVMの問題を迅速かつ効果的に識別、調査、追跡および解決できます。 イベントをサブスクライブして、リソース状態の変更に関する通知を取得します。

    ノート:

    前述のイベント(またはメトリック、ログ・ファイル)のリストが将来変更される可能性があることを理解することに反対しています。 この機能はいつでもオプトアウトできます。
    • 診断イベントの有効化: Oracleがクリティカル・イベント、警告イベント、エラー・イベントおよび情報イベントを収集して公開することを許可します。
    • ヘルス・モニタリングの有効化: Oracleがヘルス・メトリック/イベント(Oracle Database up/down、ディスク領域使用量など)を収集し、それらをOracle Cloud操作と共有できるようにします。 一部のイベントの通知も受信します。
    • インシデント・ログおよびトレース収集の有効化: Oracleがインシデント・ログおよびトレースを収集して障害診断および問題解決を可能にします。

    ノート:

    前述のイベント(またはメトリック、ログ・ファイル)のリストが将来変更される可能性があることを理解することに反対しています。 この機能はいつでもオプトアウトできます。
    デフォルトでは、3つのチェック・ボックスがすべて選択されています。 デフォルト設定をそのままにすることも、必要に応じてチェックボックスをクリアすることもできます。 診断収集の設定は、「VMクラスタ詳細」ページの「一般情報>>診断収集」の下に表示されます。

    • 有効: 診断、ヘルス・メトリック、インシデント・ログおよびトレース・ファイルの収集を選択した場合(3つのオプションすべて)。
    • 無効: 診断、ヘルス・メトリック、インシデント・ログおよびトレース・ファイルを収集しないことを選択した場合(3つすべてのオプション)。
    • 一部使用可能: 診断、ヘルス・メトリック、インシデント・ログおよびトレース・ファイル(1つまたは2つのオプション)を収集することを選択した場合。
15. 「高度なオプションを表示」をクリックして、VMクラスタの詳細オプションを指定します:

    • タイムゾーン: このオプションは、管理タブにあります。 VMクラスタのデフォルト・タイム・ゾーンはUTCですが、別のタイム・ゾーンを指定できます。 タイムゾーン・オプションは、Java.util.TimeZoneクラスとOracle Linuxオペレーティング・システムの両方でサポートされているオプションです。

      ノート:

      UTCまたはブラウザが検出したタイム・ゾーン以外のタイム・ゾーンを設定する場合、必要なタイム・ゾーンが表示されない場合は、「別のタイムゾーンの選択」オプションを選択し、「リージョンまたは国」リストで「その他」を選択して追加の「タイムゾーン」選択を検索してみてください。

    • SCANリスナー・ポート: このオプションは、ネットワークタブにあります。 SCANリスナー・ポート(TCP/IP)は、1024から8999の範囲で割り当てることができます。 デフォルトは1521です。

      ノート:

      バックエンド・ソフトウェアを使用したプロビジョニング後のVMクラスタのSCANリスナー・ポートの手動変更はサポートされていません。 この変更により、Data Guardのプロビジョニングが失敗する可能性があります。
    • Zero Trust Packet Routing (ZPR): このオプションは、セキュリティ属性タブにあります。 ネームスペースを選択し、セキュリティ属性のキーと値を指定します。 構成中にこのステップを完了するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用してセキュリティ属性をすでに設定しておく必要があります。 構成後にセキュリティ属性を追加し、後で追加することもできます。 Oracle Exadata Database Service on Dedicated Infrastructure固有のポリシーの追加の詳細は、「ポリシーTemplate Builder」を参照してください。
    • クラウド自動化の更新: Oracleは、クラウドのツールと自動化に必要なデータベース・ツールとエージェント・ソフトウェアに定期的に更新を適用します。 VMクラスタに適用するこれらの更新の優先時間ウィンドウを構成できます。

      クラウド自動化の更新の開始時間を設定します。

      ノート:

      Oracleは、構成された時間枠の間に毎日最新のVM Cloud Automationの更新をチェックし、該当する場合は更新を適用します。 基礎となる長時間実行プロセスのために、構成された時間枠内で自動化による更新の適用を開始できない場合、Oracleは、構成された時間枠の翌日を自動的にチェックして、VMクラスタへのクラウド自動化更新の適用を開始します。

      クラウド・ツール更新への早期アクセスの有効化: 早期アクセス用に指定されたVMクラスタは、他のシステムで使用可能になる1-2週間前に更新を受け取ります。 このVMクラスタを早期に導入する場合は、このチェック・ボックスを選択します。

      クラウド自動化更新凍結期間: Oracleは、クラウドのツールと自動化に必要なデータベース・ツールとエージェント・ソフトウェアに定期的に更新を適用します。 凍結期間を有効にして、Oracle自動化がクラウド更新を適用しない期間を定義します。

      スライダを移動してフリーズ期間を設定します。

      ノート:

      • 凍結期間は、開始日から最大45日間延長できます。
      • Oracle自動化は、構成された凍結期間中でも、重要なセキュリティ修正(CVSS >= 9)を使用して更新を自動的に適用します。
    • タグ: リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限もあります。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、「リソース・タグ」を参照してください。 タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
16. 「作成」をクリックします。

次は?

VMクラスタが正常に作成され、「使用可能」状態になったら、。

• 「VMクラスタ詳細」ページを表示するには、クラスタのリストでVMクラスタの名前をクリックします。 「VMクラスタ詳細」ページから、「データベースの作成」をクリックしてクラスタ内の「最初のデータベースの作成」を実行できます
• 「VMクラスタ詳細」ページの「ネットワーク」セクションにある「SCAN IPアドレス(IPv4)」および「SCAN IPアドレス(IPv6)」フィールドには、デュアル・スタックIPアドレスの詳細が表示されます。
• 「VMクラスタ詳細」ページの「バージョン」セクションの「クラウド自動化の更新」フィールドには、設定した凍結期間が表示されます。

VMクラスタにアタッチされたデフォルトのアイデンティティ・コネクタの検証

VMクラスタにアタッチされたアイデンティティ・コネクタの詳細を表示するには、この手順を使用します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. Oracle Exadata Database Service on Dedicated Infrastructureの下で、「Exadata VMクラスタ」をクリックします。
3. 選択したVMクラスタの名前をクリックします。
4. 表示される「VMクラスタの詳細」ページの「マルチクラウド情報」セクションで、「アイデンティティ・コネクタ」フィールドに、このVMクラスタにアタッチされたアイデンティティ・コネクタが表示されることを確認します。
5. 「アイデンティティ・コネクタ」の名前をクリックして、その詳細を表示します。

   データベース・マルチクラウド統合ポータルにリダイレクトされます。

Google Cloudコンソールでのキー・リングの作成

キー・リングを作成するには、この手順を使用します。

1. Google Cloudコンソールを開き、「キー管理」ページに移動します。
2. キー・リングの作成をクリックします。
3. 次の詳細を指定します。
   • 名前: キー・リングのわかりやすい名前を入力します。
   • 場所: キー・リングの場所を選択します。

     重要:

     • 同じ名前のキーリングは異なる場所に存在できるため、常に場所を指定する必要があります。
     • 保護するリソースに近い場所を選択します。
     • 顧客管理暗号化キーの場合は、キー・リングが使用されるリソースと同じ場所にあることを確認してください。

     キー・リングの場所の選択:

     Google Cloud Key Management Service(KMS)でキー・リングを作成する場合は、適切な場所を選択することが重要です。 選択内容は、暗号化キーが格納される場所およびレプリケートされる方法に影響します。 詳細は、クラウドKMSの場所を参照してください。

     • Region:
       • データは特定の地域に格納されます。
       • キーは、この単一リージョンの境界内に残ります。
       • 次の場合に最適です。
         • 低レイテンシのアプリケーション
         • データ・レジデンシー要件への準拠
         • リージョン固有のワークロード
     • Multi-reagion:
       • データは、より大きな地理的領域内の複数のリージョンにレプリケートされます。
       • Googleは、配信とレプリケーションを自動的に管理します。
       • 個々のデータ・センターまたはリージョンは選択できません。
       • 次の場合に最適です。
         • 高可用性
         • 耐障害性に優れたアプリケーション
         • 幅広い地域にサービスを提供するサービス
     • Global:
       • 特別なタイプのマルチリージョン。
       • キーは、世界中のGoogleデータセンターに配布されています。
       • ロケーションの選択および管理は使用できません。
       • 次の場合に最適です。
         • グローバル・ユーザーを含むアプリケーション
         • 最大限の冗長性とリーチが必要なユースケース
4. 「作成」をクリックします。

キー・リングが作成されると、キー・リング内の暗号化キーの作成と管理を開始できます。

Google Cloudコンソールでのキーの作成

指定されたキー・リングおよび場所にRAW対称暗号化キーを作成するには、この手順を使用します。

1. Google Cloudコンソールを開き、「キー管理」ページに移動します。
2. キーを作成するキー・リングの名前をクリックします。
3. 「キーの作成」をクリックします。
4. 次の詳細を指定します。
   • キー名: キーのわかりやすい名前を入力します。
   • 保護レベル: 「ソフトウェア」または「HSM」(ハードウェア・セキュリティ・モジュール)を選択します。

     鍵の作成後に鍵の保護レベルを変更することはできません。 詳細は、保護レベルを参照してください。

   • キー・マテリアル: 「キーの生成」または「キーのインポート」を選択します。

     Cloud KMSでキー・マテリアルを生成するか、Google Cloudの外部でメンテナンスされるキー・マテリアルをインポートします。 詳細は、顧客管理暗号化キー(CMEK)を参照してください。

   • 目的とアルゴリズム:

     詳細は、主要な目的とアルゴリズムを参照してください。

     • 「目的」を「RAW暗号化/復号化」に設定します。
     • 「アルゴリズム」で、「AES-256-CBC」を選択します。
5. 「作成」をクリックします。

作成後、このキーを使用して、AES-CBC暗号化および復号化を必要とする暗号化操作を実行できます。

Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与

Oracle Cloud Infrastructure (OCI)でキーを検出できるようにするには、この手順を使用します。

1. Google Cloud KMSで、検出可能にするキーを選択します。
2. 「権限」タブに移動し、「プリンシパルの追加」をクリックします。
3. 「新規プリンシパル」フィールドに、ワークロード・リソース・サービス・エージェントに関連付けられたサービス・アカウントを入力します。

   ノート:

   このサービス・アカウントは、「アイデンティティ・コネクタの詳細」ページの「GCP情報」セクションにあります。 ワークロード・リソース・サービス・エージェントを探して、そのIDを確認します。これは必須のサービス・アカウントです。

4. 「ロールの割当て」で、選択したロールを追加します。

   ノート:

   次の最小権限を持つカスタム・ロールを作成し、選択したキー・リングに割り当てます。

   これらの権限を一緒に使用すると、OCIは次のことを実行できます。

   • キー・リングやキーなどのKMSリソースを検出します。
   • キーとそのバージョンに関するメタデータにアクセスします。
   • 暗号化操作(暗号化/復号化)にキーを使用します。
   • キー・バージョンを作成します。

   必要な最小権限:

   • cloudkms.cryptoKeyVersions.get

     特定のキー・バージョンのメタデータの取得を許可します。

   • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys

     生のAES-CBCキー材料(輸入、回転等)の管理を可能にします。

   • cloudkms.cryptoKeyVersions.create

     キー内に新しいキー・バージョンを作成できます。

   • cloudkms.cryptoKeyVersions.list

     指定されたキーのすべてのバージョンをリストします。

   • cloudkms.cryptoKeyVersions.useToDecrypt

     データの復号化にキー・バージョンを使用する権限を付与します。

   • cloudkms.cryptoKeyVersions.useToEncrypt

     データの暗号化にキー・バージョンを使用する権限を付与します。

   • cloudkms.cryptoKeys.get

     キーのメタデータの取得を許可します。

   • cloudkms.cryptoKeys.list

     キー・リング内のすべてのキーをリストします。

   • cloudkms.keyRings.get

     キー・リングのメタデータの取得を許可します。

   • cloudkms.locations.get

     サポートされているキーの場所に関する情報を取得します。

5. 「保存」をクリックして変更を適用します。
6. 「リフレッシュ」をクリックして、更新された権限が有効であることを確認します。

Oracle Cloud Infrastructure (OCI)でのGCPキー・リングの登録

VMクラスタでGoogle Cloud顧客管理暗号化キー(CMEK)を有効にするには、まずOCIでGCPキー・リングを登録する必要があります。

ノート:

続行する前に、Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与で概説されている権限が付与されていることを確認します。

1. 「データベース・マルチクラウド統合」ポータルで、「Google Cloud統合」→「GCPキー・リング」にナビゲートします。
2. 「GCP Key Ring」をクリックします。
3. 「GCPキー・リングの登録」をクリックします
4. 結果の「GCPキー・リングの登録」ページで、次の詳細を指定します:
   • コンパートメント: VMクラスタが存在するコンパートメントを選択します。
   • アイデンティティ・コネクタ: VMクラスタにアタッチされているアイデンティティ・コネクタを選択します。
   • キー・リング: 登録するGCPキー・リングの名前を入力します。

     単一のアイデンティティ・コネクタを介して使用可能なすべてのキー・リングを検出するには、そのアイデンティティ・コネクタに次の権限を付与する必要があります。 これらの権限は、コネクタが目的のスコープ全体のすべてのキー・リングにアクセスできるように、適切なプロジェクトまたはフォルダ・レベルで割り当てる必要があります。

     • cloudkms.keyRings.list

       プロジェクト内のすべてのキー・リングのリストを許可します。

     • cloudkms.locations.get

       特定のキー・リングのメタデータの取得を許可します。

5. 「検出」をクリックして、キー・リングがGCPに存在するかどうかを確認します。

   成功すると、キー・リングの詳細が表示されます。

   ノート:

   個々のキーではなく、キーリングのみ登録できます。 必要な権限が設定されている場合、登録済キー・リングに関連付けられたサポートされているすべてのキーを使用できます。

6. 「登録」をクリックします。

Google Cloudキー管理の有効化または無効化

Exadata VMクラスタに対してGCP CMEKを有効にするには、この手順を使用します。

ノート:

Exadata VMクラスタをプロビジョニングする場合、GCP CMEKはデフォルトで無効になっています。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. Oracle Exadata Database Service on Dedicated Infrastructureの下で、「Exadata VMクラスタ」をクリックします。
3. 構成するVMクラスタの名前を選択します。
4. 「VMクラスタの詳細」ページで、「マルチクラウド情報」セクションまでスクロールし、GCP CMEKの横にある「有効化」をクリックします。
5. GCP CMEKを無効にするには、「無効化」をクリックします。

既存のVMクラスタにデータベースを作成するには

このトピックでは、最初または後続のデータベースの作成について説明します。

ノート:

Exadata Cloud InfrastructureインスタンスでIORMが有効になっている場合、デフォルトのディレクティブが新しいデータベースに適用され、システムのパフォーマンスに影響する可能性があります。 Oracleでは、IORM設定を確認し、新しいデータベースのプロビジョニング後に構成に適用可能な調整を行うことをお薦めします。

ノート:

最初のデータベースを作成し、キー管理用にAzure Key Vaultを選択する前に、次の前提条件が満たされていることを確認してください:

• 「アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件」セクションで説明されているすべてのネットワーク前提条件を満たしています
• アイデンティティ・コネクタが作成され、使用できます
• Azureキー管理は、VMクラスタ・レベルで有効化されます
• VMクラスタには、ボールトにアクセスするために必要な権限があります
• ボールトはOCIリソースとして登録されます

ノート:

• 仮想マシンの制限: VMクラスタをスケール・アウトしても、Azure Key Vaultを使用するデータベースは、新しく追加された仮想マシンに自動的に拡張されません。 拡張を完了するには、Azureアクセス・トークンを指定して、Exadata VMクラスタの既存のアイデンティティ・コネクタを更新する必要があります。 アイデンティティ・コネクタを更新した後、「dbaascliデータベースaddInstance」コマンドを実行して、新しいVMにデータベース・インスタンスを追加します。
• Data Guardの制限事項:
  • Azure Key Vaultを使用するプライマリのスタンバイ・データベースを作成する場合は、ターゲットVMクラスタにアクティブなアイデンティティ・コネクタがあり、Azureキー管理が有効になっており、アイデンティティ・コネクタとKey Vaultの間の必要な関連付けが適切に構成されていることを確認してください。
  • クロス・リージョンData Guardおよびデータベースのリストア操作は、キー管理にAzure Key Vaultを使用するデータベースではサポートされていません。
• PDB操作の制限: リモートPDB操作(クローン、リフレッシュ、再配置など)は、ソース・データベースと宛先データベースの両方が同じTransparent Data Encryption (TDE)キーを使用している場合にのみサポートされます。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリック
2. コンパートメントを選択します。
3. データベースを作成するクラウドVMクラスタに移動します:

   クラウドVMクラスタ(新しいExadata Cloud Infrastructureリソース・モデル): Oracle Exadata Database Service on Dedicated Infrastructureで、Exadata VMクラスタをクリックします。 VMクラスタのリストで、アクセスするVMクラスタを検索し、そのハイライト表示されている名前をクリックしてクラスタの詳細ページを表示します。

4. 「データベースの作成」をクリックします。
5. 「データベースの作成」ダイアログで、次のように入力します:

   ノート:

   データベースの作成後にdb_name、db_unique_nameおよびSIDプレフィクスを変更することはできません。
   • データベース名: データベースの名前。 データベース名は要件を満たす必要があります:
     • 最大8文字
     • 英数字のみを含みます
     • 先頭はアルファベット
     • VMクラスタ上のDB_UNIQUE_NAMEの最初の8文字の一部にすることはできません
     • 次の予約名は使用しないでください: grid, ASM
   • 一意のデータベース名の接尾辞:

     オプションで、DB_UNIQUE_NAMEデータベース・パラメータの値を指定します。 値の大/小文字は区別されません。

     一意の名前は次の要件を満たす必要があります:

     • 最大30文字であること
     • 英数字またはアンダースコア(_)文字のみを含みます
     • 先頭はアルファベット
     • VMクラスタ全体で一意。 テナンシ全体で一意になるようにすることをお薦めします。
     指定しない場合、次のように一意の氏名値が自動的に生成されます:

     <db_name>_<3_chars_unique_string>_<region-name>

   • データベースのバージョン: データベースのバージョン。 Exadata VMクラスタでデータベース・バージョンを混在させることができます。
   • PDB名: (オプション) Oracle Database 12c (12.1.0.2)以降では、プラガブル・データベースの名前を指定できます。 PDB名の先頭にはアルファベット文字を使用し、最大8文字の英数字を使用できます。 アンダースコア(_)のみが許可されます。

     Oracle Net Servicesを使用してPDBに接続する際に発生する可能性のあるサービス名の競合を回避するには、PDB名がVMクラスタ全体で一意であることを確認します。 最初のPDBの名前を指定しない場合は、システム生成の名前が使用されます。

   • データベース・ホーム: データベースのOracle Databaseホーム。 該当するオプションを選択します:
     • 既存のデータベース・ホームの選択: データベース・ホームの表示名フィールドでは、指定したデータベース・バージョンの既存のホームからデータベース・ホームを選択できます。 そのバージョンのデータベース・ホームが存在しない場合は、新しいデータベース・ホームを作成する必要があります。
     • 新規データベース・ホームの作成: Data Guardピア・データベースの新しいデータベース・ホームをプロビジョニングするには、このオプションを使用します。

       データベース・イメージの変更をクリックして、目的のOracle公開イメージまたは事前に作成したカスタムデータベース・ソフトウェア・イメージを使用し、イメージ・タイプを選択します:

       • Oracle提供のデータベース・ソフトウェア・イメージ:

         「使用可能なすべてのバージョンを表示」スイッチを使用して、使用可能なすべてのPSUおよびRUから選択できます。 各メジャー・バージョンの最新リリースは、latestラベルで示されます。

         ノート:

         Oracle Cloud Infrastructureで使用可能なOracle Databaseメジャー・バージョン・リリースでは、現在のバージョンと3つの最新バージョン(NからN)のイメージが提供されます - 3). たとえば、インスタンスがOracle Database 19cを使用し、提供されている最新バージョンの19cが19.8.0.0.0の場合、プロビジョニングに使用可能なイメージはバージョン19.8.0.0.0, 19.7.0.0, 19.6.0.0および19.5.0.0用です。
       • カスタム・データベース・ソフトウェア・イメージ: これらのイメージは組織によって作成されたで、ソフトウェア更新およびパッチのカスタマイズされた構成が含まれています。 「コンパートメントの選択」、「リージョンの選択」および「データベース・バージョンの選択」セレクタを使用して、カスタム・データベース・ソフトウェア・イメージのリストを特定のコンパートメント、リージョンまたはOracle Databaseソフトウェアのメジャー・リリース・バージョンに制限します。

         リージョン・フィルタは、デフォルトで現在接続されているリージョンに設定され、そのリージョンで作成されたすべてのソフトウェア・イメージがリストされます。 別のリージョンを選択すると、選択したリージョンで作成されたソフトウェア・イメージが表示されるように、ソフトウェア・イメージ・リストがリフレッシュされます。

   • 管理者資格証明を作成します: (読取り専用)データベース管理者のSYSユーザーは、指定したパスワードを使用して作成されます。
     • ユーザー名: SYS
     • パスワード: このユーザーのパスワードを指定します。 パスワードは、次の基準を満たす必要があります:

       SYS、SYSTEM、TDEウォレットおよびPDB管理の強力なパスワード。 パスワードは9から30文字で、少なくとも2つの大文字、2つの小文字、2つの数値、および2つの特殊文字を含める必要があります。 特殊文字は、_、#、または -にする必要があります。 パスワードには、ユーザー名(SYS、SYSTEMなど)または単語" oracle "を、前方または逆順、および大文字と小文字の区別に関係なく含めることはできません。

     • パスワードの確認: 指定したSYSパスワードを再入力します。
     • 「TDEウォレット・パスワード」の使用はオプションです。 テナンシのボールトに格納されている顧客管理暗号化キーを使用している場合、TDEウォレット・パスワードはVMクラスタに適用できません。 「データベースの作成」ダイアログの最後にある「高度なオプションを表示」を使用して、顧客管理キーを構成します。

       顧客管理キーを使用している場合、または別のTDEウォレット・パスワードを指定する場合は、「TDEウォレット・ボックスの管理者パスワードの使用」の選択を解除します。 顧客管理キーを使用している場合は、TDEパスワード・フィールドを空白のままにします。 TDEウォレットのパスワードを手動で設定するには、「TDEウォレット・パスワードの入力」フィールドにパスワードを入力し、「TDEウォレット・パスワードの確認」フィールドにパスワードを入力して確認します。

   • データベース・バックアップを構成します: Autonomous Recovery ServiceまたはObject Storageにデータベースをバックアップするための設定を指定します:

     • 自動バックアップの有効化: このデータベースの自動増分バックアップを有効にするには、チェック・ボックスを選択します。 セキュリティ・ゾーン・コンパートメントにデータベースを作成する場合は、自動バックアップを有効にする必要があります。
     • バックアップの保存先: 選択肢は、Autonomous リカバリ・サービスまたはオブジェクト・ストレージです。
     • バックアップ・スケジューリング:
       • オブジェクト・ストレージ(L0):
         • 完全バックアップ・スケジュール日: 初期および将来のL0バックアップを開始する曜日を選択します。
         • フル・バックアップ・スケジューリング時間(UTC): 自動バックアップ機能が選択されたときに完全バックアップが開始される時間枠を指定します。

         • 最初のバックアップをすぐに取得: 全体バックアップは、すべてのデータファイルおよびOracle Databaseを構成する制御ファイルのオペレーティング・システム・バックアップです。 全体バックアップには、データベースに関連付けられたパラメータ・ファイルも含める必要があります。 データベースの停止時またはデータベースのオープン中に、データベースの全体バックアップを取得できます。 通常、インスタンス障害やその他の異常な状況の後は、完全バックアップを使用しないでください。

           最初の完全バックアップを遅延するように選択した場合、データベースの障害発生時にデータベースをリカバリできなくなる可能性があります。

       • オブジェクト・ストレージ(L1):
         • 増分バックアップ・スケジュール時間(UTC): 自動バックアップ機能が選択されたときに増分バックアップが開始される時間ウィンドウを指定します。
       • Autonomous Recovery Service (L0):
         • 初期バックアップのスケジュール日: 最初のバックアップの曜日を選択します。
         • 初期バックアップのスケジュール時間(UTC): 初期バックアップの時間ウィンドウを選択します。

         • 最初のバックアップをすぐに取得: 全体バックアップは、すべてのデータファイルおよびOracle Databaseを構成する制御ファイルのオペレーティング・システム・バックアップです。 全体バックアップには、データベースに関連付けられたパラメータ・ファイルも含める必要があります。 データベースの停止時またはデータベースのオープン中に、データベースの全体バックアップを取得できます。 通常、インスタンス障害やその他の異常な状況の後は、完全バックアップを使用しないでください。

           最初の完全バックアップを遅延するように選択した場合、データベースの障害発生時にデータベースをリカバリできなくなる可能性があります。

       • Autonomous Recovery Service (L1):
         • 日次バックアップのスケジュール時間(UTC): 自動バックアップ機能が選択されたときに増分バックアップが開始される時間ウィンドウを指定します。
     • データベース終了後の削除オプション: データベースの終了後に保護されたデータベース・バックアップを保持するために使用できるオプション。 これらのオプションは、データベースに偶発的または悪意のある障害が発生した場合にバックアップからデータベースをリストアする場合にも役立ちます。
       • 保護ポリシーまたはバックアップ保存期間に指定された期間のバックアップを保持: このオプションは、データベースの終了後に、Object Storageバックアップ保存期間またはAutonomous Recovery Service保護ポリシーに定義されている期間全体にわたってデータベース・バックアップを保持する場合に選択します。
       • バックアップを72時間保持してから削除: データベースの終了後72時間の間バックアップを保持するには、このオプションを選択します。

     • バックアップ保存期間/保護ポリシー: 自動バックアップを有効にする場合は、次の事前設定された保持期間またはカスタム・ポリシーのいずれかを含むポリシーを選択できます。

       オブジェクト・ストレージ・バックアップの保存期間: 7、15、30、45、60。 デフォルト: 30日。 増分バックアップは、選択した保持期間の最後に自動的に削除されます。

       Autonomous Recovery Serviceの保護ポリシー:

       • ブロンズ: 14日
       • シルバー: 35日
       • ゴールド: 65日
       • プラチナ: 95日
       • ユーザーによって定義されたカスタム
       • デフォルト: シルバー - 35日
     • リアルタイム・データ保護の有効化: リアルタイム保護は、保護されたデータベースから自律型リカバリ・サービスへのREDO変更の継続的な転送です。 これにより、データ損失が減少し、リカバリ・ポイント目標(RPO)が0近くになります。 これは追加料金オプションです。
6. 「高度なオプションを表示」をクリックして、データベースの拡張オプションを指定します:
   • 管理:

     Oracle SIDプレフィクス: Oracle Databaseインスタンス番号は、INSTANCE_NAMEデータベース・パラメータを作成するために、SIDプレフィクスに自動的に追加されます。 INSTANCE_NAMEパラメータは、SIDとも呼ばれます。 SIDは、クラウドVMクラスタ全体で一意です。 指定しない場合、SIDプレフィクスはデフォルトでdb_nameに設定されます。

     ノート:

     SIDプレフィクスの入力は、Oracle 12.1以上のデータベースでのみ使用できます。

     SIDプレフィクスは要件を満たす必要があります:

     • 最大12文字
     • 英数字のみを含みます ただし、この命名規則によって制限されない唯一の特殊文字であるアンダースコア(_)を使用できます。
     • 先頭はアルファベット
     • VMクラスタ内で一意
     • 次の予約名は使用しないでください: grid, ASM
   • 文字セット: データベースの文字セット。 デフォルトはAL32UTF8です。
   • 各国語文字セット: データベースの各国文字セット。 デフォルトはAL16UTF16です。
   • 暗号化:

     Exadata Cloud Service VMクラスタにデータベースを作成する場合は、管理する暗号化キーに基づいて暗号化を使用することを選択できます。 デフォルトでは、データベースはOracle管理の暗号化キーを使用して構成されます。

     • 管理する暗号化キーに基づいて暗号化を使用してデータベースを構成するには:

       ノート:

       Azureキー管理またはGCP顧客管理暗号化キーがVMクラスタ・レベルで無効になっている場合、Oracle Wallet、OCI VaultおよびOracle Key Vaultの3つのキー管理オプションがあります。
       • OCI Vault:
         1. Oracle Cloud Infrastructure Vaultサービスに有効な暗号化キーが必要です。 「セキュリティ管理者がボールト、キーおよびシークレットを管理できるようにします」を参照してください。

            ノート:

            データベースにはAES-256暗号化キーを使用する必要があります。
         2. 「ボールト」を選択します。
         3. 「マスター暗号化キー」を選択します。
         4. 選択したキーの最新バージョン以外のキー・バージョンを指定するには、「キー・バージョンの選択」をチェックし、使用するキーのOCIDを「キー・バージョンOCID」フィールドに入力します。

            ノート:

            キー・バージョンは、そのプラガブル・データベース(PDB)ではなく、コンテナ・データベース(CDB)にのみ割り当てられます。 PDBには、自動的に生成された新しいキー・バージョンが割り当てられます。
       • Oracle Key Vault: コンパートメントを選択し、選択したコンパートメントからキー・ストアを選択します。
     • Azure key Vaultをキー管理として使用してデータベースを作成するには:

       ノート:

       VMクラスタ・レベルでAzureキー管理が有効になっている場合、2つのキー管理オプションがあります: Oracle WalletおよびAzure Key Vault。
       1. 「キー管理」タイプをAzure Key Vaultとして選択します。
       2. コンパートメントで使用可能なVaultを選択します。

          ノート:

          Vaultリストには、登録済みのボールトのみが表示されます。 「新規ボールトの登録」リンクをクリックして、ボールトを登録します。 Azureキー・ボールトの登録ページでボールトを選択し、「登録」をクリックします。

          ノート:

          ボールトに少なくとも1つのキーを登録する必要があります。
       3. コンパートメントで使用可能なキーを選択します。
     • GCP顧客管理暗号化キーをキー管理として使用してデータベースを作成するには:

       ノート:

       GCP顧客管理暗号化キーが有効になっている場合は、Oracle WalletとGCP顧客管理暗号化キーの2つのキー管理オプションがあります。
       1. 「キー管理」オプションとして「GCP顧客管理暗号化キー」を選択します。
       2. コンパートメントで使用可能なキー・リングを選択します。

          ノート:

          登録済みの鍵リングのみが一覧表示されます。

          目的のキー・リングが表示されない場合は、まだ登録されていない可能性があります。 「キー・リングの登録」をクリックして検出し、登録します。

          詳細な手順は、Oracle Cloud Infrastructure (OCI)へのGCPキー・リングの登録を参照してください。

       3. 選択したキー・リングおよびコンパートメント内の暗号化キーを選択します。
   • タグ: リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限もあります。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、リソース・タグを参照してください。 タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
7. 「データベースの作成」をクリックします。

ノート:

現在、次のことが可能です:

• Data Guard設定が同じOracleホーム内の別のデータベースで実行されている間、CDBを作成または削除します。その逆も同様です。
• 同じOracleホーム内でData Guardアクション(スイッチオーバー、フェイルオーバーおよび回復)を同時に実行しながら、CDBを作成または削除します(またはその逆)。
• 同じOracleホーム内でPDBを同時に作成または削除しながら、CDBを作成または削除します。その逆も同様です。
• 同じOracleホーム内でCDBを同時に作成または削除します。
• VMクラスタ・タグを同時に更新しながら、CDBを作成または削除します。

データベースの作成が完了すると、ステータスが「プロビジョニング」から「使用可能」に変わり、新しいデータベースのデータベースの詳細ページに、「暗号化」セクションに暗号化キー名と暗号化キーのOCIDが表示されます。

警告:

ボールトから暗号化キーを削除しないでください。 これにより、キーで保護されているデータベースが使用できなくなります。

Oracle WalletからGCP Customer Managed Encryption Key (CMEK)へのKey Managementの変更

異なる暗号化方式間で暗号化鍵を変更するには、この手順を使用します。

ノート:

• GCP顧客管理暗号化キーからOracle Walletに移行できません。
• キー管理構成の更新中は、データベースの停止時間が短くなります。

1. OCIコンソールでデータベースの詳細ページに移動します。
2. 「暗号化」セクションで、「キー管理」が「Oracle Wallet」に設定されていることを確認します。次に、「変更」リンクをクリックします。
3. 「キー管理の変更」ページに次の情報を入力します。
   1. ドロップダウン・リストから、「キー管理」として「GCP顧客管理暗号化キー」を選択します。
   2. 使用しているコンパートメントを選択し、そのコンパートメントで使用可能なキー・リングを選択します。
   3. 次に、使用するキー・コンパートメントを選択し、ドロップダウン・リストから目的のキーを選択します。
   4. 「変更の保存」をクリックします。

コンテナ・データベース(CDB)の顧客管理暗号化キーのローテーション

コンテナ・データベース(CDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. コンパートメントを選択します。

   選択したコンパートメントのVMクラスタのリストが表示されます。

3. VMクラスタのリストで、暗号化キーをローテーションするデータベースを含むVMクラスタの名前をクリックします。
4. 「データベース」をクリックします。
5. 暗号化キーをローテーションするデータベースの名前をクリックします。

   「データベースの詳細」ページには、選択したデータベースに関する情報が表示されます。

6. 「暗号化」セクションで、「キー管理」が「GCP顧客管理暗号化キー」に設定されていることを確認します。次に、「ローテーション」リンクをクリックします。
7. 表示された「キーのローテーション」ダイアログで、「回転」をクリックしてアクションを確認します。

プラガブル・データベース(PDB)の顧客管理暗号化キーのGCPローテーション

プラガブル・データベース(PDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. コンパートメントを選択します。

   選択したコンパートメントのVMクラスタのリストが表示されます。

3. VMクラスタのリストで、起動するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
4. 「データベース」で、暗号化キーをローテーションするPDBを含むデータベースを検索します。
5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

   このデータベース内の既存のPDBのリストが表示されます。

7. 暗号化キーをローテーションするPDBの名前をクリックします。

   プラガブルの詳細ページが表示されます。

8. 「暗号化」セクションに、キー管理がGCP顧客管理暗号化キーとして設定されていることが表示されます。
9. 「回転」リンクをクリックします。
10. 表示された「キーのローテーション」ダイアログで、「回転」をクリックしてアクションを確認します。

APIを使用したOracle Database@Google CloudでのExadata Database ServiceのGCP KMS統合の管理

APIの使用およびリクエストの署名の詳細は、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次のリソースは、OCI SDK、CLIおよびTerraformを介してお客様に提供されます。 これらのAPIは、Oracle Database on ExadataをGoogle Cloud Servicesと統合したいお客様によって使用されます。

表5-10 OracleDbGcpIdentityConnectors

API	説明
ListOracleDbGcpIdentityConnectors	指定されたフィルタに基づいて、すべてのGCPアイデンティティ・コネクタ・リソースをリストします。
GetOracleDbGcpIdentityConnector	特定のGCPアイデンティティ・コネクタ・リソースに関する詳細情報を取得します。
CreateOracleDbGcpIdentityConnector	指定されたExaDB-D VMクラスタに新しいGCPアイデンティティ・コネクタ・リソースを作成します。
UpdateOracleDbGcpIdentityConnector	既存のGCPアイデンティティ・コネクタ・リソースの構成詳細を更新します。
ChangeOracleDbGcpIdentityConnectorCompartment	GCPアイデンティティ・コネクタ・リソースを別のコンパートメントに移動します。
DeleteOracleDbGcpIdentityConnector	指定されたGCPアイデンティティ・コネクタ・リソースを削除します。

表5-11 OracleDbGcpKeyRings

API	説明
ListOracleDbGcpKeyRings	指定されたフィルタに基づいてすべてのGCPキー・リング・リソースをリストします。
CreateOracleDbGcpKeyRing	新しいGCPキーリングリソースを作成します。
ChangeOracleDbGcpKeyRingCompartment	GCPキー・リング・リソースを別のコンパートメントに移動します。
RefreshOracleDbGcpKeyRing	GCPキーリングリソースの詳細をリフレッシュします。
GetOracleDbGcpKeyRing	特定のGCPキー・リング・リソースに関する詳細情報を取得します。
UpdateOracleDbGcpKeyRing	既存のGCPキー・リング・リソースの構成詳細を更新します。
DeleteOracleDbGcpKeyRing	指定されたGCPキー・リング・リソースを削除します。

表5-12 OracleDbGcpKeyKeys

API	説明
ListOracleDbGcpKeys	指定されたフィルタに基づいてすべてのGCPキー・リング・リソースをリストします。
GetOracleDbGcpKey	特定のGCPキー・リソースに関する詳細情報を取得します。