1. 管理者ガイド
  2. Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultのこのリリースでは、大規模な企業でOracle Key Vaultの使用を強化する新機能が導入されています。Oracle Key Vaultリリース18.8には、次の新機能が導入されています。

ノート:

これは、Oracle Key Vaultリリース18のターミナル・リリースです。

Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultリリース21.4には、このガイドに影響する新機能が導入されています。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultからの対称暗号化キーの抽出を制御する機能

Oracle Key Vaultリリース21.4以降では、対称キーの保護を強化するために、これらのキーがOracle Key Vaultから離れるのを制限できるようになりました。

この制限は、対称キーのキー・マテリアルに適用されますが、そのメタデータには適用されません。たとえば、透過的データベース暗号化(TDE)マスター暗号化キーはOracle Key Vaultに格納されます。エンドポイントでキーを復号化する必要がある場合、PKCS#11ライブラリは、Oracle Key VaultからTDEマスター暗号化キーをフェッチして復号化を実行します。対称キーがOracle Key Vaultから離れないことがサイトで必要とされる場合は、操作中にこれらのキーがOracle Key Vault内にとどまるように構成できます。この場合、PKCS#11ライブラリは、暗号化されたデータ暗号化キーをOracle Key Vaultに送信します。続いて、Oracle Key Vault内で復号化が実行され、その後、平文のデータ暗号化キーがPKCS#11ライブラリに返されます。TDEマスター暗号化キーがOracle Key Vaultからの持ち出しを制限されている場合、つまり、そのキーがOracle Key Vaultから抽出できない場合、Oracle Key VaultのPKCS#11ライブラリは、Oracle Key Vault内で暗号化と復号化の操作を実行します。

Oracle Key Vaultから対称暗号化キーを取得(抽出)できるかどうかを制御するには、Oracle Key Vault管理コンソール、RESTfulサービス・ユーティリティ・コマンド、C SDK APIおよびJava SDK APIを使用できます。

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

証明書管理の機能拡張

Oracle Key Vaultリリース21.4以降、証明書の管理に加えられたいくつかの機能拡張を利用できます。

機能拡張は次のとおりです。

  • 外部証明書署名機関によって署名されたOracle Key Vault認証局(CA)証明書の使用のサポート: サード・パーティの署名機関によって発行されたCA証明書を持つことを選択できます。このオプションを実施するには、最初に証明書署名リクエスト(CSR)を生成し、そのCSRが外部署名機関によって署名された後、その署名済CAをOracle Key Vaultにアップロードします。その後、Oracle Key Vault上のすべての証明書(エンドポイント証明書、およびOracle Key Vaultマルチマスター・クラスタ・ノード間の通信に使用されるもの)が新しいCAによって再発行されるように、CA証明書のローテーションを実行する必要があります。以前のリリースでは、Oracle Key Vault CA証明書は常に自己署名されていました。
  • Oracle Key Vault自己署名ルートCA証明書の有効期間を構成する機能: Oracle Key Vault自己署名CAの証明書の有効期間を構成できます。新しい有効期間は、CA証明書のローテーションが次に実行されたときに有効になります。以前は、この値は固定されていて変更できませんでした。
  • マルチマスター・クラスタ環境で、Oracle Key Vault CA証明書のローテーション・プロセス中にエンドポイントがローテーションされる順序を設定する機能: この機能拡張により、CA証明書のローテーション中にエンドポイントがローテーションされる順序を構成できます。このリリース以降、エンドポイントはデフォルトで、エンドポイント証明書の有効期限の順にローテーションされます(つまり、最も早く期限切れになるものが最初にローテーションされます)。CA証明書のローテーションを開始する前に、クラスタ・サブグループの優先度リストを指定してエンドポイントのローテーションを順序付けすることもできます。これにより、CA証明書のローテーション・プロセス中に、優先度リストの上位のクラスタ・サブグループに属するエンドポイントが、優先度の低いクラスタ・サブグループのエンドポイントよりも前にローテーションされます。以前のリリースでは、CA証明書のローテーションが実行されるときに、エンドポイントはランダムにローテーションされていました。
  • Oracle Key Vault CA証明書のローテーション中にローテーションされるエンドポイントのバッチ番号を構成する機能: CA証明書のローテーション・プロセスの特定の時点でUpdating to current certificate issuer状態になることができるエンドポイントの数を構成できます。この値は、Oracle Key Vault構成のエンドポイント数に基づいて構成できます。以前は、この値は静的であり、リリースによって異なりました(たとえば、Oracle Key Vaultリリース21.3では最大15個のエンドポイントがこの状態になることができました)。
  • Oracle Key Vaultサーバー証明書およびノード証明書をローテーションする機能: このリリース以降、Oracle Key Vaultシステム(マルチマスター・クラスタ環境のクラスタ・ノード、またはプライマリ環境とスタンバイ環境)間の通信、およびOracle Key Vaultシステムとそのエンドポイントの間の通信に使用される証明書は、サーバー証明書(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)およびノード証明書(マルチマスター・クラスタ環境の場合)と呼ばれるようになりました。この機能拡張により、Oracle Key Vault CA証明書、サーバー証明書およびノード証明書について異なる有効期間を選択できるようになったため、操作の柔軟性が向上しています。これにより、CA証明書のローテーション・プロセス全体を実行しなくても、サーバー証明書とノード証明書を必要に応じて何度でもローテーションできます。

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

古いOracle Key Vaultバックアップのポリシー・ベースの自動パージのサポート

Oracle Key Vaultリリース21.4以降では、ローカルのOracle Key Vaultバックアップを手動で削除することも、1つ以上のリモート・バックアップの削除をスケジュールするポリシーを作成することもできます。

リモート・バックアップ先のサーバーでOracle Key Vaultバックアップによって消費されるディスク領域をより効率的に管理できるようになり、それらが不要になったとみなされたときに手動で削除する必要はありません。ポリシーに基づいてリモート・バックアップ先から古いバックアップを自動的にパージするようにOracle Key Vaultを構成できます。たとえば、バックアップが最新の10個のバックアップに含まれないかぎり、30日より古いバックアップを自動的にパージするポリシーを構成してリモート・バックアップ先に適用できます。さらに、ローカルのOracle Key Vaultバックアップを手動で削除できるようになりました。

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultの管理ロールの付与を制限する機能

Oracle Key Vaultリリース21.4以降、Oracle Key Vaultの管理ロールの権限受領者が他のOracle Key Vaultユーザーにそのロールを付与できるかどうかを制御できます。

以前のリリースでは、Oracle Key Vaultの管理ロール(システム管理者、キー管理者および監査マネージャ)を、そのロールを現在持っているユーザーが別のOracle Key Vaultユーザーに付与できました。このリリース以降、管理者がそのロールを別のユーザーに付与するときに、管理者は、権限受領ユーザーがさらにそのロールを他のユーザーに付与する方法を制限できます。この機能拡張により、全体的なユーザー・セキュリティが向上するとともに、最小権限に関する適切な手法に従うことができます。

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

Oracle Key Vault監査証跡のクライアントIPアドレス

Oracle Key Vaultリリース21.4以降、Oracle Key Vault監査証跡には、Client IPという1つの新しいフィールドがあります。

Oracle Key Vault監査証跡には、操作を実行したエンティティの名前とタイプ、操作が実行された時刻、操作が実行されたノード、操作の結果などの情報を取得するフィールドが含まれています。Client IPフィールドの追加により、ユーザーが、操作が実行された場所(特にクラウド環境内)をより適切に検索できます。

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

SNMPによる追加のモニタリング情報のサポート

Oracle Key Vaultリリース21.4以降、SNMP nsExtendOutputFull MIBベース変数を使用して追加のモニタリング情報を参照できます。

nsExtendOutputFull MIBベース変数は、次の値を返すようになりました。

  • Oracle Audit Vaultモニター・ステータス
  • Oracle Audit Vaultエージェント・ステータス
  • サーバーまたはCA証明書の有効期限情報(どちらの証明書が早く期限切れになるか)

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultリリース21.3での変更点

Oracle Key Vaultリリース21.3には、このガイドに影響する新機能が導入されています。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Audit VaultとOracle Key Vaultの統合のための機能拡張

Oracle Key Vaultリリース21.3以降、Oracle Audit VaultとOracle Key VaultのOracle Audit Vaultコンポーネントの統合は、より安全で簡単に実現できるようになりました。

この機能拡張には、次の機能の変更が含まれています。

  • システム管理者ロールおよび監査マネージャ・ロールの変更: システム管理者ロールを持つユーザーは、Oracle Audit Vault統合を実行できなくなりました。かわりに、職務をより適切に分離するために、監査マネージャ・ロールが付与されているユーザーのみが統合を実行できます。以前のリリースでは、システム管理者ロールを持つユーザーのみが統合を実行できました。ただし、システム管理者ロールを持つユーザーは、Audit Vaultのモニタリング・プロセスがアクティブかどうかを確認できます。
  • 簡単な統合プロセス: 監査マネージャ・ロールを持つユーザーは、Oracle Key Vault管理コンソールを使用してすべてのOracle Audit Vault統合ステップを実行できるようになりました。以前のリリースでは、この統合を実行するために、Oracle Key Vault管理者はAudit Vaultエージェントのダウンロードやインストールなどのステップを手動で実行する必要がありました。

関連項目

親トピック: Oracle Key Vaultリリース21.3での変更点

高速リカバリ領域の領域使用状況のアラート

Oracle Key Vaultリリース21.3以降、Oracle Key Vaultの埋込みデータベースの高速リカバリ領域の領域使用状況が、構成されたしきい値を超えると、アラートが生成されます。

デフォルトでは、構成されたしきい値は70で、スタンドアロン、マルチマスター・クラスタおよびプライマリ/スタンバイ環境でアラートを使用できます。新しいアラートを使用すると、Oracle Key Vaultの組込みデータベースの高速リカバリ領域の領域使用率をより適切に監視できます。

関連項目

親トピック: Oracle Key Vaultリリース21.3での変更点

「Cluster Redo Shipping Status」のアラート・メッセージの変更

Oracle Key Vaultリリース21.3から、「Cluster Redo Shipping Status」のアラート通知メッセージが変更されています。

以前のリリースでは、REDO送信ステータスがアクティブ(稼働中)または非アクティブ(停止中)の場合にのみ、ユーザーにアラートが表示されていました。この情報に加えて、このメッセージで、クラスタ内のノードが読取り専用モードで動作しているのか、読取り専用モードでなくなったのかが示されるようになりました。

関連項目

親トピック: Oracle Key Vaultリリース21.3での変更点