機械翻訳について

Oracle Database@Google CloudでのExadata Database ServiceのGoogle Cloud Key Management統合

Oracle Database@Google Cloud上のExadata Database Serviceでは、Google Cloud PlatformのKey Management Service (KMS)との統合がサポートされるようになりました。

この機能拡張により、ユーザーはGCP顧客管理暗号化キー(CMEK)を使用して、Transparent Data Encryption (TDE)マスター暗号化キー(MEK)を管理できます。

以前は、Transparent Data Encryption (TDE)マスター暗号化キー(MEK)は、ファイルベースのOracle Wallet、Oracle Cloud Infrastructure (OCI) VaultまたはOracle Key Vault (OKV)にのみ格納できました。 この更新により、ユーザーはGCP KMSでMEKを直接格納および管理できるようになり、キー・ライフサイクル制御が改善され、組織固有のセキュリティ・ポリシーに準拠できるようになりました。

この統合により、アプリケーション、Google Cloudサービスおよびデータベースは、セキュリティを強化し、キー・ライフサイクル管理を簡素化する一元化されたキー管理ソリューションの恩恵を受けることができます。

• 前提条件
  GCP顧客管理暗号化キー(CMEK)をデータベースのキー管理サービスとして構成する前に、次の前提条件が満たされていることを確認してください。
• コンソールを使用したOracle Database@Google Cloud上のExadata Database ServiceのGCP KMS統合の管理
  Oracle Database@Google Cloud上のExadata Database ServiceのGCP KMS統合を管理する方法について学習します。
• APIを使用したOracle Database@Google Cloud上のExadata Database ServiceのGCP KMS統合の管理
  

前提条件

データベースのキー管理サービスとしてGCP顧客管理暗号化キー(CMEK)を構成する前に、次の前提条件が満たされていることを確認してください。

1. Google Cloudコンソールを介してExadata VMクラスタをプロビジョニングします。 ステップバイステップの手順については、Google Cloud用のExadata VMクラスタのプロビジョニングを参照してください。
2. アイデンティティ・コネクタ接続を確認して、正しく構成され、アクティブであることを確認します。 詳細は、VMクラスタにアタッチされたデフォルト・アイデンティティ・コネクタの検証を参照してください。
3. Exadata VMクラスタ・レベルでのGCP顧客管理暗号化キー(CMEK)の構成の前提条件。

   Oracle Database@Google CloudでExadata Database Serviceとともにデプロイされたデータベースに対してGoogle Cloud Platform (GCP)顧客管理暗号化キー(CMEK)を有効にするには、VMクラスタ・レベルでキー管理オプションとしてCMEKを構成する必要があります。 CMEKを有効にすると、すべてのデータベース暗号化および復号化操作で、指定されたGCP管理キーが使用されます。

   CMEKを有効にする前に、次のことを確認します。

   • 必要なGCPキー・リングおよび暗号化キーは、GCPにすでに作成されています。
   • これらのキーは、Oracle Cloud Infrastructure (OCI)でアンカー・リソースとしてミラー化され、GCPとOCI間の同期が保証されます。
   • データベースのプロビジョニングや、キーのローテーション、失効、監査などの暗号化キー・ライフサイクルの管理のために、アンカー・リソースが配置されています。
4. GCPキー・リソースにアクセスするためのIAMポリシー要件。

   データベースは、クラスタ・リソース・プリンシパルを使用して、GCPキー・リソースを安全に取得します。 この機能を有効にするには、OCIテナンシで適切なIAMポリシーを定義する必要があります。

   Oracle GCPキーへの読取り専用アクセス:

   Allow any-user to read oracle-db-gcp-keys in compartment id <your-compartment-OCID> 
   where all { request.principal.type = 'cloudvmcluster',}

   このポリシーは、VMクラスタ・リソース・プリンシパルのGCPキー・リソースへの読取り専用アクセス権を付与します。

コンソールを使用したOracle Database@Google CloudでのExadata Database ServiceのGCP KMS統合の管理

Oracle Database@Google CloudでExadata Database ServiceのGCP KMS統合を管理する方法について学習します。

• ASMクラウドVMクラスタを作成するには
  ASM VMクラスタを作成するには、インフラストラクチャの構成に必要なフィールドに値を指定する準備をします。
• VMクラスタにアタッチされたデフォルト・アイデンティティ・コネクタの検証
  VMクラスタにアタッチされたアイデンティティ・コネクタの詳細を表示するには、この手順を使用します。
• Google Cloudコンソールでのキー・リングの作成
  キー・リングを作成するには、この手順を使用します。
• Google Cloudコンソールでのキーの作成
  指定されたキー・リングおよび場所にRAW対称暗号化キーを作成するには、この手順を使用します。
• Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与
  Oracle Cloud Infrastructure (OCI)でキーを検出可能にするには、この手順を使用します。
• Oracle Cloud Infrastructure (OCI)へのGCPキー・リングの登録
  VMクラスタでGoogle Cloud顧客管理暗号化キー(CMEK)を有効にするには、まずOCIにGCPキー・リングを登録する必要があります。
• Google Cloudキー管理の有効化または無効化
  Exadata VMクラスタに対してGCP CMEKを有効にするには、この手順を使用します。
• データベースを作成し、キー管理ソリューションとしてGCP顧客管理暗号化キー(CMEK)を使用する
  このトピックでは、データベースを作成し、キー管理ソリューションとしてGCP顧客管理暗号化キー(CMEK)を使用するステップのみについて説明します。
• Oracle WalletからGCP Customer Managed Encryption Key (CMEK)へのKey Managementの変更
  様々な暗号化方法間で暗号化キーを変更するには、この手順を使用します。
• コンテナ・データベース(CDB)のGCP顧客管理暗号化キーのローテーション
  コンテナ・データベース(CDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。
• プラガブル・データベース(PDB)のGCP顧客管理暗号化キーをローテーション
  プラガブル・データベース(PDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。

ASMクラウドVMクラスタを作成するには

ASM VMクラスタを作成するには、インフラストラクチャの構成に必要なフィールドに値を指定する準備をします。

ノート:

Exadata Cloud InfrastructureインスタンスにクラウドVMクラスタを作成するには、最初に「クラウドExadataインフラストラクチャ・リソースの作成」が必要です。

ノート:

「マルチVM対応インフラストラクチャ」では、複数のVMクラスタの作成がサポートされます。 機能「Exadataシステム(MultiVM)およびVMクラスタ・ノード・サブセットごとの複数の仮想マシンの作成および管理」がリリースされる前に作成されたインフラストラクチャは、単一のクラウドVMクラスタの作成のみをサポートしています。

ノート:

Oracle Database@Google Cloud上のExadata Database ServiceでExadata VMクラスタをプロビジョニングすると、アイデンティティ・コネクタが自動的に作成され、VMクラスタに関連付けられます。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリック
2. Oracle Exadata Database Service on Dedicated Infrastructureで、「Exadata VMクラスタ」をクリックします。

   ノート:

   複数のVMクラスタは、「マルチVM対応インフラストラクチャ」でのみ作成できます。

3. 「Exadata VMクラスタの作成」をクリックします。

   「Exadata VMクラスタの作成」ページが表示されます。 VMクラスタを構成するために必要な情報を指定します。

4. コンパートメント: VMクラスタ・リソースのコンパートメントを選択します。
5. 表示名: VMクラスタのわかりやすい表示名を入力します。 名前は、一意である必要はありません。 Oracle Cloud Identifier (OCID)は、VMクラスタを一意に識別します。 機密情報の入力は避けてください。
6. Exadataインフラストラクチャの選択: VMクラスタを含むインフラストラクチャ・リソースを選択します。 新しいVMクラスタを作成するための十分なリソースがあるインフラストラクチャ・リソースを選択する必要があります。 「コンパートメントの変更」をクリックし、作業しているコンパートメントとは別のコンパートメントを選択して、他のコンパートメントのインフラストラクチャ・リソースを表示します。

   ノート:

   複数のVMクラスタは、「マルチVM対応インフラストラクチャ」でのみ作成できます。

7. VMクラスタ・タイプ:

   ノート:

   VMクラスタのデプロイ後にVMクラスタ・タイプを変更することはできません。 VMクラスタ・タイプを変更する場合は、新しいVMクラスタを作成し、データベースを新しいクラスタに移行する必要があります。

   • Exadata Database: 制限なく、すべてのワークロードに適した標準データベースVM。
   • Exadata Database開発者: 制限付きの開発者データベースVMで、アプリケーション開発にのみ適しています。
8. VMクラスタを構成します: 新しいVMクラスタに使用するDBサーバーを指定します(デフォルトでは、すべてのDBサーバーが選択されています)。 「DBサーバーの選択」をクリックして、使用可能なDBサーバーから選択し、「保存」をクリックします。

   VMクラスタ・タイプ - Exadata Database: VM配置用のデータベース・サーバーを少なくとも1つ選択します。 メンテナンス中および計画外停止中も使用可能な高可用性データベース・サービスが必要な場合は、少なくとも2つのデータベース・サーバーを選択します。 VMごとの割当てに使用できる最大リソースは、選択したデータベース・サーバーの数に基づきます。

   VMクラスタ・タイプ - Exadata Database開発者: VM配置用のデータベース・サーバーを1つ選択します。 選択できるデータベース・サーバーは1つのみです。

   「VM当たりのリソース割当て」ペインで:

   • 各VMクラスタの仮想マシン・コンピュート・ノードに割り当てるOCPU/ECPUの数を指定します。 X11M Exadataインフラストラクチャで作成されたVMクラスタの場合は、ECPUを指定します。 X10M以前のExadataインフラストラクチャで作成されたVMクラスタの場合は、OCPUを指定します。 最小は、X10Mおよび以前のインフラストラクチャではVM当たり2 OCPU、X11M Exadataインフラストラクチャで作成されたVMクラスタではVM当たり8 ECPUです。 読取り専用「Exadata VMクラスタのリクエストされたOCPU数」フィールドには、割り当てるOCPUまたはECPUコアの合計数が表示されます。
   • 各VMに割り当てる「VM当たりのメモリー」を指定します。 VM当たりの最小値は30 GBです。
   • ローカル・ストレージを各VMに割り当てるには、「VMごとのローカル・ストレージ」を指定します。 VM当たりの最小値は60 GBです。

     新しいVMクラスタを作成するたびに、使用可能な合計領域のうち残りの領域が新しいVMクラスタに使用されます。

     /u02に加えて、追加のローカル・ファイル・システムのサイズを指定できます。

     個々のVMのサイズを指定する方法の詳細は、「スケール・アップまたはスケール・ダウン操作の概要」を参照してください。

     • 「追加のローカル・ファイル・システム構成オプションを表示」をクリックします。
     • 必要に応じて、/, /u01, /tmp, /var, /var/log, /var/log/auditおよび/homeファイル・システムのサイズを指定します。

       ノート:

       • これらのファイル・システムは拡張のみ可能で、拡張後にサイズを減らすことはできません。
       • バックアップ・パーティションおよびミラー化により、/および/varファイル・システムは、割り当てられた領域の2倍を消費します。これは、読取り専用「ミラー化による / (GB)の割当て済ストレージの合計」および「ミラー化による/tmp (GB)の割当て済ストレージの合計」フィールドに示されています。
     • VMクラスタの作成後、「Exadata Infrastructure詳細」ページの「Exadataリソース」セクションをチェックして、ローカル・ストレージ(/u02)およびローカル・ストレージ(追加のファイル・システム)に割り当てられているファイル・サイズを確認します。
9. Exadataストレージ:
   • 「使用可能なExadataストレージTBの指定」。 ストレージは1 TBの倍数で指定します。 最小: 2 TB
   • Exadataスパース・スナップショットのストレージの割当: VMクラスタ内でスナップショット機能を使用する場合は、この構成オプションを選択します。 このオプションを選択すると、PDBスパース・クローニングにVMクラスタ・スナップショット機能を使用できるように、SPARSEディスク・グループが作成されます。 このオプションを選択すると、SPARSEディスク・グループが作成されず、環境に作成されたどのデータベース・デプロイメントでもスナップショット機能を使用できません。

     ノート:

     スパース・スナップショットのストレージ構成オプションは、VMクラスタの作成後に変更できません。

   • ローカル・バックアップ用にストレージを割り当てます: Exadataクラウド・インフラストラクチャインスタンス内のローカルExadataストレージへのデータベース・バックアップを実行する場合は、このオプションを選択します。 このオプションを選択すると、Exadataストレージにバックアップを格納するために使用されるRECOディスク・グループにより多くの領域が割り当てられます。 このオプションを選択しない場合、DATAディスク・グループにより多くの領域が割り当てられるため、データベースにさらに多くの情報を格納できます。

     ノート:

     ローカル・バックアップのストレージ構成オプションは、VMクラスタの作成後に変更できません。

10. バージョン:
    • Oracle Grid Infrastructureバージョン:リストから、VMクラスタにインストールするOracle Grid Infrastructureリリース(19cおよび23ai)を選択します。

      Oracle Grid Infrastructureリリースによって、VMクラスタでサポートできるOracle Databaseリリースが決まります。 Oracle Grid Infrastructureソフトウェア・リリースより後のOracle Databaseリリースは実行できません。

      ノート:

      Grid Infrastructure 23aiでVMクラスタをプロビジョニングするための最小要件:

      • Exadataシステム・ソフトウェアを実行するExadataゲストVM 23.1.8
      • Exadata Infrastructure Exadataシステム・ソフトウェアの実行23.1.x
    • Exadataゲスト・バージョン:
      • Oracle Linux 7およびExadataイメージ・バージョン22.1.10.0.0.230422のExadataインフラストラクチャ:
        • 「イメージを変更」ボタンは有効になっていません。
        • Oracle Grid Infrastructureバージョンのデフォルトは19.0.0.0.0です。
        • Exadataゲストのバージョンは、ホストOSのバージョンと同じです。
      • Oracle Linux 8およびExadataイメージ・バージョン23.1.3.0.0.230613のExadataインフラストラクチャ:
        • Exadataゲスト・バージョンは、デフォルトで最新(23.1.3.0)になります。
        • Oracle Grid Infrastructureバージョンのデフォルトは19.0.0.0.0です
        • 「イメージを変更」ボタンが有効になっています。
        • 「イメージの変更」をクリックします。

          結果の「イメージの変更」パネルには、使用可能なExadataイメージのメジャー・バージョン(23.1.3.0および22.1.3.0)のリストが表示されます。

          各メジャー・バージョンの最新リリースは、"(latest)で示されます。

        • スライド「使用可能なすべてのバージョンの表示」。

          最新バージョンのExadataイメージ23.1.3.0および22.1.3.0を含む6つの過去のバージョンが表示されます。

        • バージョンの選択
        • 「変更の保存」をクリックします。
11. SSHキー: VMクラスタへのSSHアクセスに使用する各キー・ペアの公開キー部分を追加します:
    • 「SSHキー・ペアの生成」 (デフォルト・オプション) SSHキー・ペアを生成するには、このラジオ・ボタンを選択します。 次に、下のダイアログで「秘密キーを保存」をクリックしてキーをダウンロードし、オプションで「公開キーの保存」をクリックしてキーをダウンロードします。
    • SSHキー・ファイルのアップロード: .pubファイルを参照またはドラッグ・アンド・ドロップするには、このラジオ・ボタンを選択します。
    • SSHキーの貼付け: 個々の公開キーに貼り付けるには、このラジオ・ボタンを選択します。 複数のキーを貼り付けるには、「+別のSSHキー」をクリックし、エントリごとに1つのキーを指定します。
12. ネットワーク設定:次を指定します:

    ノート:

    IPアドレス(100.64.0.0/10)は、Exadata Cloud Infrastructure X8Mインターコネクトに使用されます

    .

    両方の構成が存在する場合、IPv4 (シングル・スタック)とIPv4/IPv6 (デュアル・スタック)から選択するオプションはありません。 詳細は、「VCNおよびサブネットの管理」を参照してください。

    • 仮想クラウド・ネットワーク: VMクラスタを作成するVCN。 「コンパートメントの変更」をクリックして、別のコンパートメントのVCNを選択します。
    • クライアント・サブネット: VMクラスタがアタッチする必要のあるサブネット。 「コンパートメントの変更」をクリックして、別のコンパートメントのサブネットを選択します。

      192.168.16.16/28と重複するサブネットは使用しないでください。これはデータベース・インスタンス上のOracle Clusterwareプライベート・インターコネクトによって使用されています。 重複しているサブネットを指定すると、プライベート・インターコネクトが正しく動作しません。

    • バックアップ・サブネット: バックアップ・ネットワークに使用するサブネット。通常は、バックアップの保存先との間のバックアップ情報の転送、およびData Guardレプリケーションに使用されます。 「コンパートメントの変更」をクリックして、別のコンパートメントのサブネットを選択します(該当する場合)。

      192.168.128.0/20とオーバーラップするサブネットは使用しないでください。 この制限は、クライアント・サブネットとバックアップ・サブネットの両方に適用されます。

      データベースをObject StorageまたはAutonomous Recoveryサービスにバックアップする場合は、「Exadataデータベースのバックアップの管理」のネットワークの前提条件を参照してください。

      ノート:

      自律型リカバリ・サービスを使用する場合は、新しい専用サブネットを強くお薦めします。 Oracle Cloudデータベースをリカバリ・サービスにバックアップするために必要なネットワーク要件および構成を確認します。 「リカバリ・サービスのネットワーク・リソースの構成」を参照してください。

    • ネットワーク・セキュリティ・グループ: オプションで、クライアント・ネットワークとバックアップ・ネットワークの両方に1つ以上のネットワーク・セキュリティ・グループ(NSG)を指定できます。 NSGは仮想ファイアウォールとして機能し、イングレスおよびエグレス「セキュリティ・ルール」のセットを「Exadataクラウド・インフラストラクチャ」 VMクラスタに適用できます。 NSGは5つまで指定できます。 詳細は、「ネットワーク・セキュリティ・グループ」および「Exadataクラウド・インフラストラクチャ」インスタンスのネットワーク設定を参照してください。

      「セキュリティ・リスト」を持つサブネットを選択すると、VMクラスタのセキュリティ・ルールは、セキュリティ・リストおよびNSG内のルールの結合になります。

      ネットワーク・セキュリティ・グループを使用するには:

      • 「ネットワーク・セキュリティ・グループを使用してトラフィックを制御」チェック・ボックスを選択します。 このボックスは、クライアント・サブネットとバックアップ・サブネットの両方のセレクタの下に表示されます。 NSGは、クライアントまたはバックアップ・ネットワーク、あるいは両方のネットワークに適用できます。 NSGをネットワークに割り当てるには、仮想クラウド・ネットワークを選択する必要があります。
      • ネットワークで使用するNSGを指定します。 複数のNSGを使用する必要がある場合があります。 不明な場合は、ネットワーク管理者に問い合わせてください。
      • ネットワークで追加のNSGを使用するには、「+;別のネットワーク・セキュリティ・グループ」をクリックします。

      ノート:

      クラウドVMクラスタ・リソースに追加のセキュリティを提供するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用して、セキュリティ属性で識別されたリソースのみがリソースにアクセスするためのネットワーク権限を持っていることを確認できます。 Oracleには、一般的なデータベース・セキュリティ・ユース・ケースのポリシーの作成に役立つデータベース・ポリシー・テンプレートが用意されています。 今すぐ構成するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用してセキュリティ属性をすでに作成している必要があります。 このプロシージャの最後にある「高度なオプションを表示」をクリックします。

      クラスタのセキュリティ属性を指定する場合、クラスタが適用されるとすぐに、すべてのリソースがクラスタにアクセスするためにゼロ・トラスト・パケット・ポリシーを必要とすることに注意してください。 エンドポイントにセキュリティ属性がある場合は、ネットワーク・セキュリティ・グループ(NSG)とOracle Cloud Infrastructure Zero Trust Packet Routingポリシー(OCI ZPR)の両方のルールを満たす必要があります。

    • プライベートDNSサービスを使用するには

      ノート:

      プライベートDNSは、選択する前に構成する必要があります。 プライベートDNSの構成を参照してください

      • 「プライベートDNSサービスの使用」チェック・ボックスを選択します。
      • プライベート・ビューの選択 別のコンパートメントのプライベート・ビューを選択するには、「コンパートメントの変更」をクリックします。
      • プライベート・ゾーンを選択します。 別のコンパートメントのプライベート・ゾーンを選択するには、「コンパートメントの変更」をクリックします。
    • ホスト名接頭辞: Exadata VMクラスタのホスト名を選択します。 ホスト名は英字で始める必要があり、英数字とハイフン(-)のみを使用できます。 Exadata VMクラスタに許可される最大文字数は12です。

      注意:

      ホスト名はサブネット内で一意である必要があります。 一意でない場合、VMクラスタはプロビジョニングに失敗します。

    • ホスト・ドメイン名: VMクラスタのドメイン名。 選択したサブネットで、DNS名解決にOracle-供給インターネットおよびVCNリゾルバを使用している場合、このフィールドにはサブネットのドメイン名が表示され、変更できません。 それ以外の場合は、ドメイン名を選択できます。 ハイフン(-)は使用できません。

      データベース・バックアップをObject StorageまたはAutonomous Recoveryサービスに格納する場合、Oracleでは、バックアップに使用されるSwiftエンドポイントが自動的に解決されるため、クライアント・サブネットのDNS名前解決にVCN Resolverを使用することをお薦めします。

    • ホストおよびドメインURL: この読取り専用フィールドには、ホスト名とドメイン名が結合され、データベースの完全修飾ドメイン名(FQDN)が表示されます。 最大の長さは、63文字です。
13. ライセンス・タイプの選択: VMクラスタに使用するライセンスのタイプ。 選択は請求の測定に影響します。
    • 「含まれるライセンス」は、cloud serviceのコストにデータベース・サービスのライセンスが含まれていることを意味します。
    • ライセンス持込み (BYOL)は、ユーザーが無制限ライセンス契約または無制限ライセンス契約を持つOracle Databaseの顧客で、Oracle Cloud Infrastructureでライセンスを使用することを意味します。 これにより、個別のオンプレミス・ライセンスおよびクラウド・ライセンスの必要性が削除されます。
14. 診断収集: 診断収集および通知を有効にすることで、Oracle Cloud操作により、ゲストVMの問題を迅速かつ効果的に識別、調査、追跡および解決できます。 イベントをサブスクライブして、リソース状態の変更に関する通知を取得します。

    ノート:

    前述のイベント(またはメトリック、ログ・ファイル)のリストが将来変更される可能性があることを理解することに反対しています。 この機能はいつでもオプト・アウトできます

    .
    • 診断イベントの有効化: Oracleがクリティカル・イベント、警告イベント、エラー・イベントおよび情報イベントを収集して公開することを許可します。
    • ヘルス・モニタリングの有効化: Oracleがヘルス・メトリック/イベント(Oracle Database up/down、ディスク領域使用量など)を収集し、それらをOracle Cloud操作と共有できるようにします。 一部のイベントの通知も受信します。
    • インシデント・ログおよびトレース収集の有効化: Oracleがインシデント・ログおよびトレースを収集して障害診断および問題解決を可能にします。

    ノート:

    前述のイベント(またはメトリック、ログ・ファイル)のリストが将来変更される可能性があることを理解することに反対しています。 この機能はいつでもオプトアウトできます。

    デフォルトでは、3つのチェック・ボックスがすべて選択されています。 デフォルトの設定はそのままにすることも、必要に応じてチェック・ボックスをクリアすることもできます。 診断収集の設定は、「VMクラスタ詳細」ページの「一般情報>>診断収集」の下に表示されます。

    • 有効: 診断、ヘルス・メトリック、インシデント・ログおよびトレース・ファイルの収集を選択した場合(3つのオプションすべて)。
    • 無効: 診断、ヘルス・メトリック、インシデント・ログおよびトレース・ファイルを収集しないことを選択した場合(3つすべてのオプション)。
    • 一部使用可能: 診断、ヘルス・メトリック、インシデント・ログおよびトレース・ファイル(1つまたは2つのオプション)を収集することを選択した場合。
15. 「高度なオプションを表示」をクリックして、VMクラスタの詳細オプションを指定します:

    • タイムゾーン: このオプションは、管理タブにあります。 VMクラスタのデフォルト・タイム・ゾーンはUTCですが、別のタイム・ゾーンを指定できます。 タイムゾーン・オプションは、Java.util.TimeZoneクラスとOracle Linuxオペレーティング・システムの両方でサポートされているオプションです。

      ノート:

      UTCまたはブラウザが検出したタイム・ゾーン以外のタイム・ゾーンを設定する場合、必要なタイム・ゾーンが表示されない場合は、「別のタイムゾーンの選択」オプションを選択し、「リージョンまたは国」リストで「その他」を選択して追加の「タイムゾーン」選択を検索してみてください。

    • SCANリスナー・ポート: このオプションは、ネットワークタブにあります。 SCANリスナー・ポート(TCP/IP)は、1024から8999の範囲で割り当てることができます。 デフォルトは1521です。

      ノート:

      バックエンド・ソフトウェアを使用したプロビジョニング後のVMクラスタのSCANリスナー・ポートの手動変更はサポートされていません。 この変更により、Data Guardのプロビジョニングが失敗する可能性があります。
    • Zero Trust Packet Routing (ZPR): このオプションは、セキュリティ属性タブにあります。 ネームスペースを選択し、セキュリティ属性のキーと値を指定します。 構成中にこのステップを完了するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用してセキュリティ属性をすでに設定しておく必要があります。 構成後にセキュリティ属性を追加し、後で追加することもできます。 Oracle Exadata Database Service on Dedicated Infrastructure固有のポリシーの追加の詳細は、「ポリシーTemplate Builder」を参照してください。
    • クラウド自動化の更新: Oracleは、クラウドのツールと自動化に必要なデータベース・ツールとエージェント・ソフトウェアに定期的に更新を適用します。 VMクラスタに適用するこれらの更新の優先時間ウィンドウを構成できます。

      クラウド自動化の更新の開始時間を設定します。

      ノート:

      Oracleは、構成された時間枠の間に毎日最新のVM Cloud Automationの更新をチェックし、該当する場合は更新を適用します。 基礎となる長時間実行プロセスのために、構成された時間枠内で自動化による更新の適用を開始できない場合、Oracleは、構成された時間枠の翌日を自動的にチェックして、VMクラスタへのクラウド自動化更新の適用を開始します。

      クラウド・ツール更新への早期アクセスの有効化: 早期アクセス用に指定されたVMクラスタは、他のシステムで使用可能になる1-2週間前に更新を受け取ります。 このVMクラスタを早期に導入する場合は、このチェック・ボックスを選択します。

      クラウド自動化更新凍結期間: Oracleは、クラウドのツールと自動化に必要なデータベース・ツールとエージェント・ソフトウェアに定期的に更新を適用します。 凍結期間を有効にして、Oracle自動化がクラウド更新を適用しない期間を定義します。

      スライダを移動してフリーズ期間を設定します。

      ノート:

      • 凍結期間は、開始日から最大45日間延長できます。
      • Oracle自動化は、構成された凍結期間中でも、重要なセキュリティ修正(CVSS >= 9)を使用して更新を自動的に適用します。
    • タグ: リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限もあります。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、「リソース・タグ」を参照してください。 タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
16. 「作成」をクリックします。

次は?

VMクラスタが正常に作成され、「使用可能」状態になります。

• 「VMクラスタ詳細」ページを表示するには、クラスタのリストでVMクラスタの名前をクリックします。 「VMクラスタ詳細」ページから、「データベースの作成」をクリックしてクラスタ内の「最初のデータベースの作成」を実行できます
• 「VMクラスタ詳細」ページの「ネットワーク」セクションにある「SCAN IPアドレス(IPv4)」および「SCAN IPアドレス(IPv6)」フィールドには、デュアル・スタックIPアドレスの詳細が表示されます。
• 「VMクラスタ詳細」ページの「バージョン」セクションの「クラウド自動化の更新」フィールドには、設定した凍結期間が表示されます。

VMクラスタにアタッチされたデフォルトのアイデンティティ・コネクタの検証

VMクラスタにアタッチされたアイデンティティ・コネクタの詳細を表示するには、この手順を使用します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. Oracle Exadata Database Service on Dedicated Infrastructureの下で、「Exadata VMクラスタ」をクリックします。
3. 選択したVMクラスタの名前をクリックします。
4. 表示される「VMクラスタの詳細」ページの「マルチクラウド情報」セクションで、「アイデンティティ・コネクタ」フィールドに、このVMクラスタにアタッチされたアイデンティティ・コネクタが表示されることを確認します。
5. 「アイデンティティ・コネクタ」の名前をクリックして、その詳細を表示します。

   データベース・マルチクラウド統合ポータルにリダイレクトされます。

Google Cloudコンソールでのキー・リングの作成

キー・リングを作成するには、この手順を使用します。

1. Google Cloudコンソールを開き、「キー管理」ページに移動します。
2. キー・リングの作成をクリックします。
3. 次の詳細を指定します。
   • 名前: キー・リングのわかりやすい名前を入力します。
   • 場所: キー・リングの場所を選択します。

     重要:

     • 同じ名前のキーリングは異なる場所に存在できるため、常に場所を指定する必要があります。
     • 保護するリソースに近い場所を選択します。
     • 顧客管理暗号化キーの場合は、キー・リングが使用されるリソースと同じ場所にあることを確認してください。

     キー・リングの場所の選択:

     Google Cloud Key Management Service(KMS)でキー・リングを作成する場合は、適切な場所を選択することが重要です。 選択内容は、暗号化キーが格納される場所およびレプリケートされる方法に影響します。 詳細は、クラウドKMSの場所を参照してください。

     • Region:
       • データは特定の地域に格納されます。
       • キーは、この単一リージョンの境界内に残ります。
       • 次の場合に最適です。
         • 低レイテンシのアプリケーション
         • データ・レジデンシー要件への準拠
         • リージョン固有のワークロード
     • Multi-reagion:
       • データは、より大きな地理的領域内の複数のリージョンにレプリケートされます。
       • Googleは、配信とレプリケーションを自動的に管理します。
       • 個々のデータ・センターまたはリージョンは選択できません。
       • 次の場合に最適です。
         • 高可用性
         • 耐障害性に優れたアプリケーション
         • 幅広い地域にサービスを提供するサービス
     • Global:
       • 特別なタイプのマルチリージョン。
       • キーは、世界中のGoogleデータセンターに配布されています。
       • ロケーションの選択および管理は使用できません。
       • 次の場合に最適です。
         • グローバル・ユーザーを含むアプリケーション
         • 最大限の冗長性とリーチが必要なユースケース
4. 「作成」をクリックします。

キー・リングが作成されると、キー・リング内の暗号化キーの作成と管理を開始できます。

Google Cloudコンソールでのキーの作成

指定されたキー・リングおよび場所にRAW対称暗号化キーを作成するには、この手順を使用します。

1. Google Cloudコンソールを開き、「キー管理」ページに移動します。
2. キーを作成するキー・リングの名前をクリックします。
3. 「キーの作成」をクリックします。
4. 次の詳細を指定します。
   • キー名: キーのわかりやすい名前を入力します。
   • 保護レベル: 「ソフトウェア」または「HSM」(ハードウェア・セキュリティ・モジュール)を選択します。

     鍵の作成後に鍵の保護レベルを変更することはできません。 詳細は、保護レベルを参照してください。

   • キー・マテリアル: 「キーの生成」または「キーのインポート」を選択します。

     Cloud KMSでキー・マテリアルを生成するか、Google Cloudの外部でメンテナンスされるキー・マテリアルをインポートします。 詳細は、顧客管理暗号化キー(CMEK)を参照してください。

   • 目的とアルゴリズム:

     詳細は、主要な目的とアルゴリズムを参照してください。

     • 「目的」を「RAW暗号化/復号化」に設定します。
     • 「アルゴリズム」で、「AES-256-CBC」を選択します。
5. 「作成」をクリックします。

作成後、このキーを使用して、AES-CBC暗号化および復号化を必要とする暗号化操作を実行できます。

Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与

Oracle Cloud Infrastructure (OCI)でキーを検出できるようにするには、この手順を使用します。

1. Google Cloud KMSで、検出可能にするキーを選択します。
2. 「権限」タブに移動し、「プリンシパルの追加」をクリックします。
3. 「新規プリンシパル」フィールドに、ワークロード・リソース・サービス・エージェントに関連付けられたサービス・アカウントを入力します。

   ノート:

   このサービス・アカウントは、「アイデンティティ・コネクタの詳細」ページの「GCP情報」セクションにあります。 ワークロード・リソース・サービス・エージェントを探して、そのIDを確認します。これは必須のサービス・アカウントです。

4. 「ロールの割当て」で、選択したロールを追加します。

   ノート:

   次の最小権限を持つカスタム・ロールを作成し、選択したキー・リングに割り当てます。

   これらの権限を一緒に使用すると、OCIは次のことを実行できます。

   • キー・リングやキーなどのKMSリソースを検出します。
   • キーとそのバージョンに関するメタデータにアクセスします。
   • 暗号化操作(暗号化/復号化)にキーを使用します。
   • キー・バージョンを作成します。

   必要な最小権限:

   • cloudkms.cryptoKeyVersions.get

     特定のキー・バージョンのメタデータの取得を許可します。

   • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys

     生のAES-CBCキー材料(輸入、回転等)の管理を可能にします。

   • cloudkms.cryptoKeyVersions.create

     キー内に新しいキー・バージョンを作成できます。

   • cloudkms.cryptoKeyVersions.list

     指定されたキーのすべてのバージョンをリストします。

   • cloudkms.cryptoKeyVersions.useToDecrypt

     データの復号化にキー・バージョンを使用する権限を付与します。

   • cloudkms.cryptoKeyVersions.useToEncrypt

     データの暗号化にキー・バージョンを使用する権限を付与します。

   • cloudkms.cryptoKeys.get

     キーのメタデータの取得を許可します。

   • cloudkms.cryptoKeys.list

     キー・リング内のすべてのキーをリストします。

   • cloudkms.keyRings.get

     キー・リングのメタデータの取得を許可します。

   • cloudkms.locations.get

     サポートされているキーの場所に関する情報を取得します。

5. 「保存」をクリックして変更を適用します。
6. 「リフレッシュ」をクリックして、更新された権限が有効であることを確認します。

Oracle Cloud Infrastructure (OCI)でのGCPキー・リングの登録

VMクラスタでGoogle Cloud顧客管理暗号化キー(CMEK)を有効にするには、まずOCIでGCPキー・リングを登録する必要があります。

ノート:

続行する前に、Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与で概説されている権限が付与されていることを確認します。

1. 「データベース・マルチクラウド統合」ポータルで、「Google Cloud統合」→「GCPキー・リング」にナビゲートします。
2. 「GCP Key Ring」をクリックします。
3. 「GCPキー・リングの登録」をクリックします
4. 結果の「GCPキー・リングの登録」ページで、次の詳細を指定します:
   • コンパートメント: VMクラスタが存在するコンパートメントを選択します。
   • アイデンティティ・コネクタ: VMクラスタにアタッチされているアイデンティティ・コネクタを選択します。
   • キー・リング: 登録するGCPキー・リングの名前を入力します。

     単一のアイデンティティ・コネクタを介して使用可能なすべてのキー・リングを検出するには、そのアイデンティティ・コネクタに次の権限を付与する必要があります。 これらの権限は、コネクタが目的のスコープ全体のすべてのキー・リングにアクセスできるように、適切なプロジェクトまたはフォルダ・レベルで割り当てる必要があります。

     • cloudkms.keyRings.list

       プロジェクト内のすべてのキー・リングのリストを許可します。

     • cloudkms.locations.get

       特定のキー・リングのメタデータの取得を許可します。

5. 「検出」をクリックして、キー・リングがGCPに存在するかどうかを確認します。

   成功すると、キー・リングの詳細が表示されます。

   ノート:

   個々のキーではなく、キーリングのみ登録できます。 必要な権限が設定されている場合、登録済キー・リングに関連付けられたサポートされているすべてのキーを使用できます。

6. 「登録」をクリックします。

Google Cloudキー管理の有効化または無効化

Exadata VMクラスタに対してGCP CMEKを有効にするには、この手順を使用します。

ノート:

Exadata VMクラスタをプロビジョニングする場合、GCP CMEKはデフォルトで無効になっています。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. Oracle Exadata Database Service on Dedicated Infrastructureの下で、「Exadata VMクラスタ」をクリックします。
3. 構成するVMクラスタの名前を選択します。
4. 「VMクラスタの詳細」ページで、「マルチクラウド情報」セクションまでスクロールし、GCP CMEKの横にある「有効化」をクリックします。
5. GCP CMEKを無効にするには、「無効化」をクリックします。

データベースの作成およびキー管理ソリューションとしてのGCP顧客管理暗号化キー(CMEK)の使用

このトピックでは、データベースを作成し、キー管理ソリューションとしてGCP顧客管理暗号化キー(CMEK)を使用するステップのみについて説明します。

汎用データベース作成手順については、既存のVMクラスタにデータベースを作成するにはを参照してください。

前提条件

• VMクラスタ・レベルでGoogle Cloud Key Managementを有効にします。
• OCIでGCPキー・リングを登録します。

ステップ

VMクラスタでGoogle Cloud Key Managementが有効になっている場合は、Oracle WalletとGCP顧客管理暗号化キーの2つのキー管理オプションがあります。

1. 「暗号化」セクションで、「GCP顧客管理暗号化キー」を選択します。
2. コンパートメントで使用可能な登録済キー・リングを選択します。 ノート
   • 登録済みの鍵リングのみが一覧表示されます。
   • 目的のキー・リングが表示されない場合は、まだ登録されていない可能性があります。 「キー・リングの登録」をクリックして検出し、登録します。

     詳細な手順は、Oracle Cloud Infrastructure (OCI)へのGCPキー・リングの登録を参照してください。

3. コンパートメントで選択したキー・リング内のキーを選択します。

Oracle WalletからGCP Customer Managed Encryption Key (CMEK)へのKey Managementの変更

異なる暗号化方式間で暗号化鍵を変更するには、この手順を使用します。

ノート:

• GCP顧客管理暗号化キーからOracle Walletに移行できません。
• キー管理構成の更新中は、データベースの停止時間が短くなります。

1. OCIコンソールでデータベースの詳細ページに移動します。
2. 「暗号化」セクションで、「キー管理」が「Oracle Wallet」に設定されていることを確認します。次に、「変更」リンクをクリックします。
3. 「キー管理の変更」ページに次の情報を入力します。
   1. ドロップダウン・リストから、「キー管理」として「GCP顧客管理暗号化キー」を選択します。
   2. 使用しているコンパートメントを選択し、そのコンパートメントで使用可能なキー・リングを選択します。
   3. 次に、使用するキー・コンパートメントを選択し、ドロップダウン・リストから目的のキーを選択します。
   4. 「変更の保存」をクリックします。

コンテナ・データベース(CDB)の顧客管理暗号化キーのローテーション

コンテナ・データベース(CDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. コンパートメントを選択します。

   選択したコンパートメントのVMクラスタのリストが表示されます。

3. VMクラスタのリストで、暗号化キーをローテーションするデータベースを含むVMクラスタの名前をクリックします。
4. 「データベース」をクリックします。
5. 暗号化キーをローテーションするデータベースの名前をクリックします。

   「データベースの詳細」ページには、選択したデータベースに関する情報が表示されます。

6. 「暗号化」セクションで、「キー管理」が「GCP顧客管理暗号化キー」に設定されていることを確認します。次に、「ローテーション」リンクをクリックします。
7. 表示された「キーのローテーション」ダイアログで、「回転」をクリックしてアクションを確認します。

プラガブル・データベース(PDB)の顧客管理暗号化キーのGCPローテーション

プラガブル・データベース(PDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。

1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Oracle Exadata Database Service on Dedicated Infrastructureをクリックします。
2. コンパートメントを選択します。

   選択したコンパートメントのVMクラスタのリストが表示されます。

3. VMクラスタのリストで、起動するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
4. 「データベース」で、暗号化キーをローテーションするPDBを含むデータベースを検索します。
5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

   このデータベース内の既存のPDBのリストが表示されます。

7. 暗号化キーをローテーションするPDBの名前をクリックします。

   プラガブルの詳細ページが表示されます。

8. 「暗号化」セクションに、キー管理がGCP顧客管理暗号化キーとして設定されていることが表示されます。
9. 「回転」リンクをクリックします。
10. 表示された「キーのローテーション」ダイアログで、「回転」をクリックしてアクションを確認します。

APIを使用したOracle Database@Google CloudでのExadata Database ServiceのGCP KMS統合の管理

APIの使用およびリクエストの署名の詳細は、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次のリソースは、OCI SDK、CLIおよびTerraformを介してお客様に提供されます。 これらのAPIは、Oracle Database on ExadataをGoogle Cloud Servicesと統合したいお客様によって使用されます。

表5-11 OracleDbGcpIdentityConnectors

API	説明
ListOracleDbGcpIdentityConnectors	指定されたフィルタに基づいて、すべてのGCPアイデンティティ・コネクタ・リソースをリストします。
GetOracleDbGcpIdentityConnector	特定のGCPアイデンティティ・コネクタ・リソースに関する詳細情報を取得します。
CreateOracleDbGcpIdentityConnector	指定されたExaDB-D VMクラスタに新しいGCPアイデンティティ・コネクタ・リソースを作成します。
UpdateOracleDbGcpIdentityConnector	既存のGCPアイデンティティ・コネクタ・リソースの構成詳細を更新します。
ChangeOracleDbGcpIdentityConnectorCompartment	GCPアイデンティティ・コネクタ・リソースを別のコンパートメントに移動します。
DeleteOracleDbGcpIdentityConnector	指定されたGCPアイデンティティ・コネクタ・リソースを削除します。

表5-12 OracleDbGcpKeyRings

API	説明
ListOracleDbGcpKeyRings	指定されたフィルタに基づいてすべてのGCPキー・リング・リソースをリストします。
CreateOracleDbGcpKeyRing	新しいGCPキーリングリソースを作成します。
ChangeOracleDbGcpKeyRingCompartment	GCPキー・リング・リソースを別のコンパートメントに移動します。
RefreshOracleDbGcpKeyRing	GCPキーリングリソースの詳細をリフレッシュします。
GetOracleDbGcpKeyRing	特定のGCPキー・リング・リソースに関する詳細情報を取得します。
UpdateOracleDbGcpKeyRing	既存のGCPキー・リング・リソースの構成詳細を更新します。
DeleteOracleDbGcpKeyRing	指定されたGCPキー・リング・リソースを削除します。

表5-13 OracleDbGcpKeyKeys

API	説明
ListOracleDbGcpKeys	指定されたフィルタに基づいてすべてのGCPキー・リング・リソースをリストします。
GetOracleDbGcpKey	特定のGCPキー・リソースに関する詳細情報を取得します。