1. 管理者ガイド
  2. Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

11 Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

仮想ウォレットを作成してセキュリティ・オブジェクトを格納し、そのウォレットを様々なアクセス・レベルで信頼できるピアと共有できます。

11.1 仮想ウォレットの管理

仮想ウォレットは、作成した後ユーザーにアクセス権を付与できるセキュリティ・オブジェクトのコンテナです。

親トピック: Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

11.1.1 仮想ウォレットについて

仮想ウォレットは、セキュリティ・オブジェクトのコンテナです。

これらのセキュリティ・オブジェクトには、Transparent Data Encryption (TDE)キーストア、Oracleウォレット、Javaキーストア、証明書、機密データ、資格証明ファイルを含む、公開キーおよび秘密暗号化キーを指定できます。仮想ウォレットを使用すると、暗号化データへのアクセスが必要な複数のユーザーと共有するために、セキュリティ・オブジェクトをグループ化できます。

すべてユーザーが仮想ウォレットを作成できます。仮想ウォレットを作成したら、その仮想ウォレットにキーおよびその他のセキュリティ・オブジェクトを追加できます。さらに、他のユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループに対して、仮想ウォレットへの様々なレベルのアクセス権を付与できます。仮想ウォレットとそのウォレットの内容はいつでも変更できます。仮想ウォレットのユーザー・リストとそれぞれのアクセス・レベルも変更できます。

キー管理者を除いて、仮想ウォレットへのアクセス権は、ユーザーに明示的に付与する必要があります。ウォレットにオブジェクトを追加および削除したり、他のユーザーおよびグループに対してウォレットのアクセス権を付与および変更するには、ウォレットの読取り、変更および管理権限が必要です。

親トピック: 仮想ウォレットの管理

11.1.2 仮想ウォレットの作成

仮想ウォレットの作成とその仮想ウォレットへのセキュリティ・オブジェクトの追加は同時に実行できます。

ただし、空の仮想ウォレットを作成して、後でセキュリティ・オブジェクトを追加することもできます。仮想ウォレットに対するアクセス・マッピングはいつでも変更できます。
  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
  3. 「Wallets」ページで、「Create」をクリックします。
  4. 「Name」フィールドにウォレットの名前を入力し、「Description」に識別するための説明を入力します。
  5. 「Wallet Type」には、「General」または「SSH Server」を選択します。

    「SSH Server」を選択した場合は、「SSH Server Host User」の名前も指定する必要があります。「SSH Server Host User」の名前は、このウォレットがSSHアクセスを認可するSSHサーバー・ホストのユーザーです。

  6. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。

    「Make Unique」は、マルチマスター・クラスタ環境全体で仮想ウォレット名のネーミング競合を制御するのに役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成された仮想ウォレットは、ネーミング競合による影響を受けません。

    • 「Make Unique」を選択すると、仮想ウォレットは即座にアクティブになり、このウォレットを操作で使用できるようになります。
    • 「Make Unique」を選択しないと、ウォレットはPENDING状態で作成されます。その後、Oracle Key Vaultが名前解決操作を開始して、ウォレット名がクラスタ全体で一意の名前に変更される場合があります。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。ウォレット名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたウォレット名を受け入れるか、ウォレット名を変更する必要があります。ウォレット名を変更すると、名前解決操作が再起動され、ウォレットはPENDING状態に戻ります。PENDING状態のウォレットは、ほとんどの操作の実行に使用できません。
  7. 「Add Wallet Contents」ペインで、ウォレットに追加する、リストされているセキュリティ・オブジェクトの名前の横にあるボックスを選択します。
    「Add Wallet Contents」ペインに、「Read and Modify」アクセス権を持っているセキュリティ・オブジェクトがリストされます。リストが空の場合、Oracle Key Vault内の既存のセキュリティ・オブジェクトに対するアクセス権はありません。この場合、セキュリティ・オブジェクトは、Oracle Key Vaultにアップロードした後に、ウォレットに追加することになります。
    「Wallet Contents」ペインの表の列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ダイアログ・ボックスで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。
  8. 「Save」をクリックして、関連するセキュリティ・オブジェクトを含む新しいウォレットを作成します。

    「Wallet created successfully」メッセージが表示されます。「Wallets」ページが表示され、リストに新しいウォレットが表示されます。

    ウォレットの内容を表示するには、次の図に示すように、ウォレット名をクリックします。


    217_wallet_contents.pngの説明が続きます
    図217_wallet_contents.pngの説明

関連トピック

親トピック: 仮想ウォレットの管理

11.1.3 仮想ウォレットの変更

仮想ウォレットの変更とその仮想ウォレットへのセキュリティ・オブジェクトの追加は同時に実行できます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
  3. 「Wallets」ページで、変更するウォレットの「Edit」ボタンをクリックします。
  4. 「Wallet Overview」ペインで、「Name」フィールドにウォレットの新しい名前を入力し、「Description」に識別の説明を入力します。
  5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。

    「Make Unique」は、マルチマスター・クラスタ環境全体で仮想ウォレット名のネーミング競合を制御するのに役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成された仮想ウォレットは、ネーミング競合による影響を受けません。

    • 「Make Unique」を選択すると、仮想ウォレットは即座にアクティブになり、このウォレットを操作で使用できるようになります。
    • 「Make Unique」を選択しないと、ウォレットはPENDING状態で作成されます。その後、Oracle Key Vaultが名前解決操作を開始して、ウォレット名がクラスタ全体で一意の名前に変更される場合があります。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。ウォレット名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたウォレット名を受け入れるか、ウォレット名を変更する必要があります。ウォレット名を変更すると、名前解決操作が再起動され、ウォレットはPENDING状態に戻ります。PENDING状態のウォレットは、ほとんどの操作の実行に使用できません。
  6. エンドポイントのアクセス設定を変更するには、「Wallet Access Settings」ペインで、「Add」をクリックして新しいエンドポイントを追加するか、「Remove」をクリックして既存のエンドポイントを削除します。
  7. 「Wallet Contents」ペインで、ウォレットから削除する、リストされているセキュリティ・オブジェクトの名前の横にあるボックスを選択します。
    「Wallet Contents」ペインに、ウォレットに追加したセキュリティ・オブジェクトがリストされます。リストが空の場合、Oracle Key Vault内の既存のセキュリティ・オブジェクトに対するアクセス権はありません。この場合、セキュリティ・オブジェクトは、Oracle Key Vaultにアップロードした後に、ウォレットに追加することになります。
    「Wallet Contents」ペインの表の列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ダイアログ・ボックスで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。
    「Add Objects」または「Remove Objects」を選択します。
  8. 「Save」をクリックして、関連するセキュリティ・オブジェクトを含む新しいウォレットを作成します。
  9. 変更したウォレットのステータスを表示するには、左側のナビゲーション・バーで「Wallets」をクリックします。

    「Wallets」ページが表示され、変更したウォレットがPENDINGのステータスでリストに表示されます。

関連トピック

親トピック: 仮想ウォレットの管理

11.1.4 仮想ウォレットへのセキュリティ・オブジェクトの追加

必要に応じて、いつでも仮想ウォレットに新しいセキュリティ・オブジェクトを追加できます。

マルチマスター・クラスタでは、PENDING状態の仮想ウォレットにはセキュリティ・オブジェクトを追加できません。
  1. 仮想ウォレットに対する「Manage Wallet」アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
  3. 「Wallets」ページで、使用するウォレットに対応する「Edit」列の鉛筆アイコンをクリックします。
    「Wallet Overview」ページが表示されます。「Wallet Contents」ペインに、すでにウォレットにあるセキュリティ・オブジェクトがリストされます。
  4. 「Wallet Contents」ページで、「Add Objects」をクリックして「Add Wallet Contents」ペインを表示します。
    「Add Wallet Contents」ページに、「Read and Modify」アクセス権を持っているセキュリティ・オブジェクトがリストされます。リストが空の場合、Oracle Key Vault内の既存のセキュリティ・オブジェクトに対するアクセス権はありません。この場合、セキュリティ・オブジェクトは、Oracle Key Vaultにアップロードした後に、ウォレットに追加することになります。
    「Add Wallet Contents」ページの表の列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ダイアログ・ボックスで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。
  5. ウォレットに追加するセキュリティ・オブジェクトの横にあるボックスを選択します。
  6. 「Save」をクリックします。
    確認メッセージが表示され、次に「Wallet Overview」ページが表示されます。「Wallet Contents」ペインに、追加された新しいセキュリティ・オブジェクトがリストされます。

親トピック: 仮想ウォレットの管理

11.1.5 仮想ウォレットからのセキュリティ・オブジェクトの削除

必要に応じていつでも仮想ウォレットからセキュリティ・オブジェクトを削除することはできません。

マルチマスター・クラスタでは、PENDING状態の仮想ウォレットからセキュリティ・オブジェクトを削除できます。
  1. 仮想ウォレットに対する「Manage Wallet」アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
  3. 「Wallets」ペインで、使用するウォレットに対応する「Edit」列の鉛筆アイコンをクリックします。
    「Wallet Overview」ページが表示されます。「Wallet Contents」ペインに、すでにウォレットにあるセキュリティ・オブジェクトがリストされます。
  4. ウォレットから削除するセキュリティ・オブジェクトの横にあるボックスを選択します。
  5. 「Remove Objects」をクリックします。
    「Wallet Overview」ページの「Wallet Contents」ペインに、修正されたリストが表示されます。
  6. 「OK」をクリックして確定します。

親トピック: 仮想ウォレットの管理

11.1.6 仮想ウォレットの削除

仮想ウォレットを削除すると、コンテナとしてのウォレットは削除されますが、それに含まれていたセキュリティ・オブジェクトは削除されません。

これらのセキュリティ・オブジェクトは、引き続きOracle Key Vault内に残ります。この仮想ウォレットをダウンロードしたエンドポイントは、引き続きローカル・コピーを保持します。マルチマスター・クラスタでは、PENDING状態の仮想ウォレットは削除できません。
  1. 仮想ウォレットに対するウォレット管理アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
  3. 「Wallets」ページで、削除するウォレットの名前の横のボックスを選択します。
    同時に複数の仮想ウォレットを削除できます。
  4. 「Delete」をクリックします。
  5. 「OK」をクリックして確定します。

親トピック: 仮想ウォレットの管理

11.2 「Keys & Wallets」タブからの仮想ウォレットへのアクセス権の管理

「Keys & Wallets」タブを使用すると、仮想ウォレットへのアクセス権をエンドポイントに対して付与することや、エンドポイントから取り消すことができます。

親トピック: Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

11.2.1 「Keys & Wallets」タブからの仮想ウォレットへのアクセス権の管理について

アクセス制御は、どのユーザーとエンドポイントが仮想ウォレットおよびセキュリティ・オブジェクトを共有し、それらの仮想ウォレットに対してどのような操作を実行できるかを決定しています。

ユーザー、エンドポイントおよびそれぞれのグループのアクセス制御を管理するには、仮想ウォレットへのウォレット管理アクセス権があるか、キー管理者である必要があります。

仮想ウォレットへのアクセス権を管理するには、「Keys & Wallets」タブを使用してウォレットを選択し、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループにそのウォレットへのアクセス権を付与します。

関連トピック

親トピック: 「Keys & Wallets」タブからの仮想ウォレットへのアクセス権の管理

11.2.2 ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループへのアクセス権の付与

「Read Only」「Read and Modify」および「Manage Wallet」アクセス・レベルを、ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループに付与できます。

ウォレットへのアクセス権を持つことで、そのウォレットのすべてのセキュリティ・オブジェクトへのアクセス権を持つようになります。マルチマスター・クラスタでは、仮想ウォレットがPENDING状態にある間は、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループにアクセス権を付与できません。
  1. 仮想ウォレットに対する「Manage Wallet」アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
  3. 「Wallets」ペインで、アクセス権を付与するウォレットに対応する「Edit」列の鉛筆アイコンをクリックします。
    「Wallet Overview」ページが表示されます。
  4. 「Wallet Access Settings」ペインで、「Add」をクリックします。
    「Add Access to Wallet」ページが表示されます。

    21_wallet_access_settings.pngの説明が続きます
    図21_wallet_access_settings.pngの説明

  5. 「Add Access to Wallet」ページの「Select Endpoint/User Group」の下で、「Type」メニューからアクセス権を付与するエンティティ・タイプを選択します。
    「Type」の可能な値は、「Endpoint Groups」「Endpoints」「User Groups」および「Users」です。

    選択したタイプによって、表示されるリストが決定されます。たとえば、「Type」として「Endpoint Groups」を選択すると、Oracle Key Vaultエンドポイント・グループのリストが「Endpoint Groups」の見出しの下に表示されます。「Users」を選択すると、Oracle Key Vaultユーザーのリストが「Users」の見出しの下に表示されます。

  6. アクセス権を付与するエンティティに対応する「Name」表のチェック・ボックスを選択します。
  7. 「Select Access Level」ペインで、次のいずれかのアクセス・レベルを選択します。
    • Read OnlyまたはRead and Modify
    • Manage Wallet
  8. 「Save」をクリックします。
    「Wallet Access Settings」ペインに新しいエンティティが表示されます。

親トピック: 「Keys & Wallets」タブからの仮想ウォレットへのアクセス権の管理

11.2.3 ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループへのアクセス権の変更

仮想ウォレットにおけるユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループのアクセス設定は、「Keys & Wallets」タブから変更できます。

マルチマスター・クラスタでは、仮想ウォレットがPENDING状態にある間は、エンドポイント、エンドポイント・グループ、ユーザーまたはユーザー・グループへのアクセス権を変更できません。
  1. 仮想ウォレットに対するウォレット管理権限を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Wallets」を選択します。
  3. 「Wallets」ペインで、ウォレット名に対応する「Edit」列の鉛筆アイコンをクリックします。
    「Wallet Overview」ページが表示され、「Wallet Access Settings」にウォレットへのアクセス権を持っているエンティティとそのアクセス・レベルがリストされます。
  4. 「Wallet Access Settings」で、「Subject Name」の下にあるエンティティに対応する鉛筆アイコンをクリックします。
    「Modify Access」ウィンドウが表示されます。「Wallet Access Settings」には、このウォレットへのアクセス権があるすべてのエンティティが「Subject Name」の下にリストされ、ユーザー、エンドポイント、ユーザーおよびエンドポイント・グループを含めることができます。
  5. 変更するアクセス設定を選択して、「Save」をクリックします。
    「Successfully updated」というメッセージが表示されます。「Wallet Overview」ページが表示され、「Wallet Access Settings」にエンティティの新しいアクセス権のマッピングが表示されます。
  6. 「Wallet Overview」ページで、「Save」をクリックします。

親トピック: 「Keys & Wallets」タブからの仮想ウォレットへのアクセス権の管理

11.3 ユーザーのメニューからの仮想ウォレットへのアクセス権の管理

ユーザー、エンドポイントおよびそれぞれのグループの仮想ウォレットに対するアクセス制御を管理するには、「Users」メニューまたは「Endpoints」メニューを使用できます。

関連トピック

親トピック: Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

11.3.1 仮想ウォレットへのユーザー・アクセス権の付与

仮想ウォレットへのアクセス権は、「Users」タブを使用して付与できます。

マルチマスター・クラスタでは、仮想ウォレットがPENDING状態にある間は、仮想ウォレットへのユーザー・アクセス権を付与できません。
  1. 仮想ウォレットに対するウォレット管理権限を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
  3. 「Manage Users」ペインで、「User Name」列のユーザーの名前をクリックします。
  4. 「Access to Wallets」ペインで、「Add」をクリックします。
    「Add Access to User」ページが表示されます。
  5. 使用可能リストから仮想ウォレットを選択します。
  6. 「Select Access Level」ペインで、目的のアクセス・レベルを選択します。
  7. 「Save」をクリックします。
    「Access mapping successfully added」というメッセージが表示されます。追加されたウォレットを確認するには、ユーザーの「User Details」にある「Access to Wallets」を確認します。

関連トピック

親トピック: ユーザーのメニューからの仮想ウォレットへのアクセス権の管理

11.3.2 仮想ウォレットからのユーザー・アクセス権の取消し

ユーザーの仮想ウォレットへのアクセス権は、「Users」タブを使用して取り消すことができます。

マルチマスター・クラスタでは、仮想ウォレットがPENDING状態にある間は、仮想ウォレットからユーザー・アクセス権を取り消すことはできません。
  1. 仮想ウォレットに対するウォレット管理アクセス権を持っているユーザー、またはキー管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
  3. 「Manage Users」ペインで、「User Name」列のユーザーの名前をクリックします。
  4. 「Access to Wallets」ペインで、アクセス権を取り消す仮想ウォレットの横にあるボックスを選択します。
  5. 「Remove」をクリックします。
  6. 確認のウィンドウで、「OK」をクリックします。
    「Access Mapping(s) deleted successfully」というメッセージが表示されます。削除されたウォレットを確認するには、ユーザーの「User Details」にある「Access to Wallets」を確認します。

親トピック: ユーザーのメニューからの仮想ウォレットへのアクセス権の管理

11.3.3 仮想ウォレットへのユーザー・グループ・アクセス権の付与

仮想ウォレットへのユーザー・グループ・アクセス権は、「Users」タブを使用して付与できます。

仮想ウォレットへのユーザー・グループ・アクセス権を付与すると、グループのすべてのメンバーがそのウォレット内のセキュリティ・オブジェクトへのアクセス権を持ちます。マルチマスター・クラスタでは、仮想ウォレットがPENDING状態にある間は、仮想ウォレットへのユーザー・グループ・アクセス権を付与できません。
  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Access」を選択します。
  3. ユーザー・グループに対応する「Edit」列の鉛筆アイコンをクリックします。
  4. 「Access to Wallets」ペインで、「Add」をクリックします。
    「Add Access to User Group」ページが表示されます。
  5. 「Select Wallet」ペインで、1つ以上のウォレットのチェック・ボックスを選択します。
  6. 「Select Access Level」ペインで、目的のアクセス・レベルを選択します。
  7. 「Save」をクリックします。
    「Access mapping successfully added」というメッセージが表示されます。追加されたウォレットを確認するには、ユーザーの「User Groups」にある「Access to Wallets」を確認します。

親トピック: ユーザーのメニューからの仮想ウォレットへのアクセス権の管理

11.3.4 仮想ウォレットからのユーザー・グループ・アクセス権の取消し

仮想ウォレットへのユーザー・グループ・アクセス権は、「Users」タブを使用して削除できます。

マルチマスター・クラスタ環境では、仮想ウォレットがPENDING状態にある間は、仮想ウォレットからユーザー・グループ・アクセス権を取り消すことはできません。
  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左のサイドバーの「Manage Access」を選択します。
    「User Groups」ページが表示されます。
  3. ユーザー・グループに対応する「Edit」列の鉛筆アイコンをクリックします。
    「User Group Details」ページが表示されます。
  4. 「Access to Wallets」ペインで、アクセス権を取り消す仮想ウォレットの横にあるボックスを選択します。
  5. 「Remove」をクリックします。
  6. 「OK」をクリックして確定します。
    「Access Mapping(s) deleted successfully」というメッセージが表示されます。リストから削除されたウォレットを確認するには、「User Groups」にある「Access to Wallets」を確認します。

親トピック: ユーザーのメニューからの仮想ウォレットへのアクセス権の管理

11.4 セキュリティ・オブジェクトの管理

Oracle Key Vault内のセキュリティ・オブジェクトは、Oracle Key Vault管理コンソールを使用して管理できます。

  • キーの作成
    通常またはアプリケーション固有のキーとキー・ペアを作成できます。

親トピック: Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

11.4.1 キーの作成

通常またはアプリケーション固有のキーとキー・ペアを作成できます。

  • キーの作成について
    Oracle Key Vaultユーザーである場合は、Oracle TDE用とOracle GoldenGate用のキー、およびSSHキー管理用のキー・ペアを作成できます。
  • アプリケーション・キー
    アプリケーション・キーと呼ばれる機能固有のキーを、Oracle Key Vault管理コンソールから作成できます。TDE用のキー、Oracle GoldenGate用のキー、SSHキー管理用のキー・ペアを作成できます。
  • 対称キーの作成
    対称キーは、Oracle Key Vault管理コンソールから作成できます。キー・マテリアルは、Oracle Key Vaultでシステム生成されるか、ファイルからアップロードできます。対称キーは、Java、C SDKまたはRESTful APIを使用するカスタム・アプリケーションに使用できます。
  • 公開キーと秘密キーのペアの作成
    公開キーと秘密キーのペアは、Oracle Key Vault管理コンソールから作成できます。公開キーと秘密キーのペアは、Java、C SDKまたはRESTful APIを使用したカスタム・アプリケーションによる暗号化と復号化の他に、署名操作と検証操作に使用できます。
  • TDEマスター暗号化キーの作成
    TDEマスター暗号化キーは、Oracle Key Vault管理コンソールから作成できます。キー・マテリアルは、Oracle Key Vaultでシステム生成されるか、ファイルからアップロードできます。キーは、そのキーを作成した対象のデータベースで使用する必要があります。
  • GoldenGateマスター・キーの作成
    GoldeGateマスター暗号化キーは、管理コンソールから作成できます。キー・マテリアルは、Oracle Key Vaultでシステム生成されるか、ファイルからアップロードできます。キーは、そのキーを作成した対象のGoldenGateデプロイメント用に構成する必要があります。
  • SSHキー・ペアの作成
    セキュア・シェル(SSH)キー・ペアは、Oracle Key Vault管理コンソールから作成できます。このキーでは、SSHデプロイメントへの接続を設定するためのSSHエンドポイントへのアクセス権を付与することも、既存のデプロイメントのエンドポイントのSSHキーをローテーションするために使用することもできます。

親トピック: セキュリティ・オブジェクトの管理

11.4.1.1 キーの作成について

Oracle Key Vaultユーザーである場合は、Oracle TDE用とOracle GoldenGate用のキー、およびSSHキー管理用のキー・ペアを作成できます。

アクティブ化と非アクティブ化の日付を使用して、キーの存続期間を定義できます。また、キーが抽出可能かどうかを制御できます。

アラートと電子メールの構成方法に基づいて、キーが期限切れになると通知されます。さらに、キーの使用方法を指定することもできます。必要に応じて、名前属性を追加できます。名前属性はシステム内で一意になるため、Oracle Key Vaultクラスタでオブジェクトに一意の人間が読める名前を付ける必要がある場合にのみ使用します。

キーにカスタム属性を追加することもできます。カスタム属性を使用して、キーにタグを付けることができます。たとえば、特定の部門のキーを作成する場合は、それらのキーのカスタム属性として部門名を追加できます。

エンドポイントで実行する場合、それらのキーはエンドポイントがアクセスできるウォレットに追加する必要があります。

エンドポイントでキーを使用できるようにするには、エンドポイントに少なくとも読取りアクセス権があるウォレットにキーを追加します。

11.4.1.2 アプリケーション・キー

アプリケーション・キーと呼ばれる機能固有のキーを、Oracle Key Vault管理コンソールから作成できます。TDE用のキー、Oracle GoldenGate用のキー、SSHキー管理用のキー・ペアを作成できます。

アプリケーションには、事前定義されている名前と書式で特定の基本属性または顧客属性が設定されているキーが必要になります。たとえば、TDEキーには16進形式のTDEマスター・キー識別子を持つ名前属性があること、Oracle GoldenGateキーの暗号化アルゴリズムはAESに設定されていて暗号化の長さが256になっていることなどが必要です。

アプリケーション・キーは、特定の機能と連携するように事前設定されています。Oracle Key Vault管理コンソールでは、次のアプリケーション・キーの作成がサポートされています。
  • TDEマスター暗号化キー
  • GoldenGateマスター・キー
  • SSHキー・ペア

いずれの場合も、キーの作成後に、Oracle Key Vaultのキーを使用するように対応するアプリケーションを設定する必要があります。TDEマスター暗号化キーの場合、データベースではキーを使用またはアクティブ化する必要があります。そのために、データベースはOracle Key Vaultで設定されていることと、作成したキーに対する読取りおよび書込みのアクセス権を持っている必要があります。同様に、Oracle Key VaultからOracle GoldenGateキーを使用するには、Oracle Key Vaultエンドポイントの設定に加えて、キー管理サービス(KMS)のグローバル・パラメータを適切に設定する必要があります。
217_create_keys.pngの説明が続きます
図217_create_keys.pngの説明

親トピック: キーの作成

11.4.1.3 対称キーの作成

Oracle Key Vault管理コンソールから対称キーを作成できます。キー・マテリアルは、Oracle Key Vaultでシステム生成されるか、ファイルからアップロードできます。対称キーは、Java、C SDKまたはRESTful APIを使用するカスタム・アプリケーションに使用できます。

AESキーと3DESキーを作成できます。キーは抽出可能または抽出不可とマークできます。キー・マテリアルは独自のものを利用することも、システムに生成させることもできます。
エンドポイントによるキーの使用を可能にするには、エンドポイントでアクセスできるウォレットに、そのキーを追加します。

対称キーの作成

  1. Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
  3. 「Keys & Secrets」ページで、「Create」をクリックします。
  4. 表示されたページの「Keys」領域で、「Symmetric Keys」をクリックします。「Create Symmetric Key」ページが表示されます。
    217_create_symmetric_keys.pngの説明が続きます
    図217_create_symmetric_keys.pngの説明

  5. 「Cryptographic Algorithm」ドロップダウン・リストから、アルゴリズム「AES」または「3DES」を選択します。
  6. 「Cryptographic Length」を選択します。
  7. 「System-Generated」は、キー・マテリアルをシステム生成させる場合に選択します。「Bring Your Own Key」は、キーのキー・マテリアルを指定する場合に選択します。「Bring Your Own Key」オプションを選択した場合は、16進数のキー・マテリアルが含まれているファイルを選択します。
  8. ドロップダウン・リストから「Extractable」設定を選択します:
    1. 「FALSE」を選択して、キーがOracle Key Vaultクラスタ境界から離れることを防止します。
    2. 「TRUE」を選択して、キーがOracle Key Vaultクラスタ境界から離れることを許可します。デフォルト値はFALSEです。
  9. 「Date of Activation」を入力します。
  10. 「Date of Deactivation」を入力します。
  11. 「Wallet Membership」には既存のウォレットの名前を入力します。新しく作成したキーは、このウォレットに追加します。「Select Wallet」をクリックして、ポップアップからウォレットを選択することもできます。
  12. 「Create」をクリックしてキーを作成します。

    対称キーの拡張属性を設定できます。クラスタ全体で一意の判読可能な「Name」属性を設定できます。また、テキストまたは数値タイプの3つのカスタム属性を設定することもできます。キーの使用方法も編集できます。

対称キーの拡張属性

「Create」をクリックしてキーを作成する前に、キーの拡張属性を設定できます。
  1. 「Advanced」セクションを開きます。
    217_advanced_attributes_for_symmetric_keys.pngの説明が続きます
    図217_advanced_attributes_for_symmetric_keys.pngの説明

  2. 「Advanced」セクションで、次の情報を入力します。
    • Key Usage: キー使用方法の操作を選択します。
    • Name: キーを識別するための「Name Value」を追加します。「Name Type」を追加します。
    • Custom Attribute 1: カスタム属性の「Name」「Value」および「Type」を追加します。名前はx-で始める必要がありますが、x-OGGおよびx-OKVで始めることはできません。
    • Custom Attribute 2: 「Custom Attribute 1」のようにカスタム属性を設定します。
    • Custom Attribute 3: 「Custom Attribute 1」のようにカスタム属性を設定します。
  3. 詳細の追加後に、「Create」をクリックして、拡張属性が含まれたキーを作成します。

親トピック: キーの作成

11.4.1.4 公開キーと秘密キーのペアの作成

公開キーと秘密キーのペアは、Oracle Key Vault管理コンソールから作成できます。公開キーと秘密キーのペアは、Java、C SDKまたはRESTful APIを使用したカスタム・アプリケーションによる暗号化と復号化の他に、署名操作と検証操作に使用できます。

RSAキー・ペアは、長さ2048、3072および4096ビットで作成できます。秘密キーは、抽出可能または抽出不可とマークできます。
キー・マテリアルは独自のものを利用することも、システムに生成させることもできます。

公開キーと秘密キーのペアの作成

  1. Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
  3. 「Keys & Secrets」ページで、「Create」をクリックします。
  4. 表示されたページの「Keys」領域で、「Public-Private Key Pair」をクリックします。「Public-Private Key Pair」ページが表示されます。
    218_create-public-private-key-pair.pngの説明が続きます
    図218_create-public-private-key-pair.pngの説明

  5. 「Cryptographic Algorithm」ドロップダウン・リストから、アルゴリズム「RSA」を選択します。
  6. 「Cryptographic Length」を選択します。
  7. ドロップダウン・リストから「Private Key Extractable」設定を選択します:
    1. 「FALSE」を選択して、キーがOracle Key Vaultクラスタ境界から離れることを防止します。
    2. 「TRUE」を選択して、キーがOracle Key Vaultクラスタ境界から離れることを許可します。

    デフォルト値は「FALSE」です。

  8. 「Date of Activation」を入力します。
  9. 「Date of Deactivation」を入力します。
  10. 「Wallet Membership」には既存のウォレットの名前を入力します。新しく作成した各キーは、このウォレットに追加します。「Select Wallet」をクリックして、ポップアップからウォレットを選択することもできます。
  11. 「Create」をクリックしてキー・ペアを作成します。

公開キーと秘密キーの両方に共通の拡張属性と、公開キーまたは秘密キーに固有の属性を設定できます。判読可能な「Name」属性は、クラスタ全体で秘密キーと公開キーに一意に設定できます。公開キーと秘密キーにキーの使用方法も設定できます。また、テキストまたは数値のタイプの2つのカスタム属性を公開キー用、秘密キー用および両方(共通属性)に設定することもできます。

公開キーと秘密キーのペアの高度な作成

「Create」をクリックしてキー・ペアを作成する前には、公開キーと秘密記キーの拡張属性を設定できます。

  1. 「Advanced」セクションを開きます。
    217_advanced_attributes_for_public_private_key_pair.pngの説明が続きます
    図217_advanced_attributes_for_public_private_key_pair.pngの説明

  2. 「Advanced」セクションの「Common Attributes」に次の情報を入力します。
    • Custom Attribute 1: 共通属性のカスタム属性「Name」「Value」および「Type」を追加します。名前はx-で始める必要がありますが、x-OGGおよびx-OKVで始めることはできません。
    • Custom Attribute 2: 「Custom Attribute 1」のようにカスタム属性を設定します。
  3. 「Advanced」セクションの「Private Key Attributes」に次の情報を入力します。
    • Key Usage: キー使用方法の操作を選択します。
    • Name: 秘密キーを識別するための「Name Value」を追加します。「Name Type」を追加します。
    • Custom Attribute 1: 秘密キーのカスタム属性「Name」「Value」および「Type」を追加します。名前はx-で始める必要がありますが、x-OGGおよびx-OKVで始めることはできません。
    • Custom Attribute 2: 「Custom Attribute 1」のようにカスタム属性を設定します。
  4. 「Advanced」セクションの「Public Key Attributes」に次の情報を入力します。
    • Key Usage: キー使用方法の操作を選択します。
    • Name: 公開キーを識別するための「Name Value」を追加します。「Name Type」を追加します。
    • Custom Attribute 1: 公開キーのカスタム属性「Name」、「Value」および「Type」を追加します。名前はx-で始める必要がありますが、x-OGGおよびx-OKVで始めることはできません。
    • Custom Attribute 2: 「Custom Attribute 1」のようにカスタム属性を設定します。
  5. 「Create」をクリックして、拡張属性が含まれたキー・ペアを作成します。

親トピック: キーの作成

11.4.1.5 TDEマスター暗号化キーの作成

TDEマスター暗号化キーは、Oracle Key Vault管理コンソールから作成できます。キー・マテリアルは、Oracle Key Vaultでシステム生成されるか、ファイルからアップロードできます。キーは、そのキーを作成した対象のデータベースで使用する必要があります。

TDEマスター暗号化キーを作成するときには、マスター・キー識別子を指定する必要があります。マスター・キー識別子は、データベース・エコシステム内で一意になっている必要がある32バイトのランダム文字列です。Oracle Key Vaultによって生成されたものを使用することも、独自のものを指定することもできます。
アクティブ化と非アクティブ化の日付は、キーの作成直後にキーをアクティブ化して、2年で失効するように事前設定されます。キーのアクティブ化には将来の日付を選択できます。また、非アクティブ化の日付をクリアして、TDEマスター暗号化キーが失効しないようにすることもできます。独自のキー・マテリアルを利用することも、Oracle Key Vaultでキー・マテリアル・システムを生成することもできます。TDEマスター暗号化キーは、抽出不可にできます。

ノート:

TDEマスター暗号化キーを抽出不可に設定すると、スケールとパフォーマンスの問題が発生する可能性があります。
TDEマスター暗号化キーは、そのキーをアクティブ化するデータベース・エンドポイントのウォレットに追加する必要があります。
  1. Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」を選択し、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
  3. 「Create」をクリックします。
  4. 「Create Keys」ページで、「Public-Private Key Pair」をクリックします。「Create TDE Master Encryption Key」ページが表示されます。
  5. 表示されたページの「Application Keys」領域で、「TDE Master Encryption Key」をクリックします。
  6. 「Master Encryption Key Identifier」を入力するか、システム生成のものを選択します。
  7. 「System-Generated」は、キー・マテリアルをシステム生成させる場合に選択します。「Bring Your Own Key」は、キーのキー・マテリアルを指定する場合に選択します。「Bring Your Own Key」オプションを選択した場合は、16進数のキー・マテリアルが含まれているファイルを選択します。
  8. ドロップダウン・リストから「Extractable」設定を選択します:
    1. 「FALSE」を選択して、キーがOracle Key Vaultクラスタ境界から離れることを防止します。
    2. 「TRUE」を選択して、キーがOracle Key Vaultクラスタ境界から離れることを許可します。

      デフォルト値は「FALSE」です。

  9. 「Date of Activation」を入力します。アクティブ化の日付には、現在の日時が自動的に移入されます。アクティブ化の日付は編集できます。
  10. 「Date of Deactivation」を入力します。非アクティブ化の日付は、現在の日付から2年間に設定されます。
  11. 「Wallet Membership」には既存のウォレットの名前を入力します。新しく作成したキーは、このウォレットに追加します。「Select Wallet」をクリックして、ポップアップからウォレットを選択することもできます。
  12. 「Create」をクリックして、TDEマスター暗号化キーを作成します。

親トピック: キーの作成

11.4.1.6 GoldenGateマスター・キーの作成

GoldeGateマスター暗号化キーは、管理コンソールから作成できます。キー・マテリアルは、Oracle Key Vaultでシステム生成されるか、ファイルからアップロードできます。キーは、そのキーを作成した対象のGoldenGateデプロイメント用に構成する必要があります。

Oracle GoldenGateマスター・キーには、マスター・キー名とマスター・キー・バージョンを指定する必要があります。ユーザーは、マスター・キー名がクラスタ内で一意になっていることを確認する必要があります。また、指定したキー・バージョンは、指定のマスター・キー名の以前の値より大きい数値にします。「暗号化プロファイルの作成」を参照してください
TDEマスター暗号化キーと同様に、アクティブ化と非アクティブ化の日付は、キーの作成直後にキーをアクティブ化して、2年で失効するように事前設定されます。キーのアクティブ化には将来の日付を選択できます。また、非アクティブ化の日付をクリアして、Oracle GoldenGateマスター・キーが失効しないようにすることもできます。前述したように、独自のキー・マテリアルを利用することも、Oracle Key Vaultでキー・マテリアル・システムを生成することもできます。バージョン以降のGoldenGateデプロイメントを使用している場合、GoldenGateマスター暗号化キーは抽出不可にできます。
GoldenGateマスター・キーのローテーションは、指定のマスター・キー名の以前のバージョンよりも大きい新しいバージョンを設定するだけです。
GoldenGateマスター・キーは、特定のGoldenGateデプロイメントのすべてのエンドポイントのウォレットに追加する必要があります。
  1. Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」を選択し、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
  3. 「Create」をクリックします。
  4. 「Create Keys」ページで、「GoldenGate Master Key」をクリックします。「GoldenGate Master Key」ページが表示されます。
  5. 表示されたページの「Application Keys」領域で、「GoldenGate Master Key」をクリックします。
    217_create_goldengate_master_key.pngの説明が続きます
    図217_create_goldengate_master_key.pngの説明

  6. 「Master Key Name」を入力します。
  7. 「Master Key Version」を入力します。
  8. 「System-Generated」は、キー・マテリアルをシステム生成させる場合に選択します。「Bring Your Own Key」は、キーのキー・マテリアルを指定する場合に選択します。「Bring Your Own Key」オプションを選択した場合は、16進数のキー・マテリアルが含まれているファイルを選択します。
  9. ドロップダウン・リストから「Extractable」設定を選択します:
    1. 「FALSE」を選択して、キーがOracle Key Vaultクラスタ境界から離れることを防止します。
    2. 「TRUE」を選択して、キーがOracle Key Vaultクラスタ境界から離れることを許可します。

      デフォルト値は「FALSE」です。

  10. 「Date of Activation」を入力します。アクティブ化の日付には、現在の日時が自動的に移入されます。これは、編集することもクリアすることもできます。
  11. 「Date of Deactivation」を入力します。非アクティブ化の日付は、現時点から2年間に設定されます。
  12. 「Wallet Membership」には既存のウォレットの名前を入力します。新しく作成したキーは、このウォレットに追加することになります。「Select Wallet」をクリックして、ポップアップからウォレットを選択することもできます。
  13. 「Create」をクリックして、GoldenGateマスター・キーを作成します。
11.4.1.7 SSHキー・ペアの作成

セキュア・シェル(SSH)キー・ペアは、Oracle Key Vault管理コンソールから作成できます。このキーでは、SSHデプロイメントへの接続を設定するためのSSHエンドポイントへのアクセス権を付与することも、既存のデプロイメントのエンドポイントのSSHキーをローテーションするために使用することもできます。

SSHキー・ペアは、長さ2048、3072および4096ビットのRSAキー・ペアとして作成できます。秘密キーは、抽出可能または抽出不可とマークできます。秘密キーのSSH秘密キーは、抽出不可とマークする必要があります。これらのキーを作成する対象のSSHクライアントの名前をSSHユーザー・フィールドに指定する必要があります。また、SSHキーペアは作成時にSSHユーザーの汎用ウォレットに追加する必要があります。公開キーは、クライアント・アクセス権を付与するホストの'SSH Server'ウォレットに追加できます。
TDEマスター暗号化キーと同様に、アクティブ化と非アクティブ化の日付は、キーの作成直後にキーをアクティブ化して、2年で失効するように事前設定されます。キーのアクティブ化には将来の日付を選択できます。また、非アクティブ化の日付をクリアして、SSHキーが失効しないようにすることもできます。ただし、推奨はされていません。
  1. Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
  3. 「Create」をクリックします。
  4. 「Create Keys」ページで、「SSH Key Pair」をクリックします。「Create SSH Key Pair」ページが表示されます。
  5. 表示されたページの「Application Keys」領域で、「SSH Key Pair」をクリックします。
    217_create_ssh_key_pairs.pngの説明が続きます
    図217_create_ssh_key_pairs.pngの説明

  6. 「SSH User」を入力します。「SSH User」は、SSHキーの実際のコンシューマ(人間、アプリケーションまたはマシン)を追跡することを目的としています。
  7. 「SSH User」の名前またはアイデンティティを入力します。
  8. 「Cryptographic Algorithm」ドロップダウン・リストから、アルゴリズム「RSA」を選択します。
  9. 「Cryptographic Length」を選択します。
  10. ドロップダウン・リストから「Private Key Extractable」設定を選択します:
    1. 「FALSE」を選択して、秘密キーがOracle Key Vaultクラスタ境界から離れることを防止します。
    2. 「TRUE」を選択して、秘密キーがOracle Key Vaultクラスタ境界から離れることを許可します。

      デフォルト値は「FALSE」です。

  11. 「Date of Activation」を入力します。アクティブ化の日付には、現在の日時が自動的に移入されます。これは、編集することもクリアすることもできます。
  12. 「Date of Deactivation」を入力します。非アクティブ化の日付は、現時点から2年間に設定されます。
  13. 「Wallet Membership」には既存のウォレットの名前を入力します。新しく作成した各キーは、このウォレットに追加することになります。「Select Wallet」をクリックして、ポップアップからウォレットを選択することもできます。
  14. 「Create」をクリックして、SSHキー・ペアを作成します。

11.5 キーまたはセキュリティ・オブジェクトの状態の管理

キーまたはセキュリティ・オブジェクトをアクティブ化または非アクティブ化する日付を設定し、一部の仮想ウォレットのセキュリティ・オブジェクトの状態を変更できます。

親トピック: Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

11.5.1 キーまたはセキュリティ・オブジェクトの状態の管理について

キーまたはセキュリティ・オブジェクトがアクティブな日付(使用可能な時期)を制御できます。

キーおよびセキュリティ・オブジェクトを取り消したり、破棄することができます。マルチマスター・クラスタは、異なるノード上のキーおよびセキュリティ・オブジェクトのアクティブ化時間または非アクティブ化時間に影響し、ネーミング競合が発生する可能性があることに注意してください。

関連トピック

親トピック: キーまたはセキュリティ・オブジェクトの状態の管理

11.5.2 マルチマスター・クラスタによるキーおよびセキュリティ・オブジェクトへの影響

マルチマスター・クラスタの1つのノードで作成するキーは、クラスタ内の他のノードでの表示に時間がかかります。

この時間は、ノード間のレプリケーション・ラグによって定義されます。レプリケーション・ラグの値は「Monitoring」ページの「Cluster Link State」ペインに表示され、このページには、「Cluster」タブを選択してアクセスできます。

Transparent Data Encryption (TDE)マスター暗号化キーを2つの異なるノード上の2つの異なるキーストアに追加した場合は、両方のキーストアに表示されます。

アクティブ化日、非アクティブ化日、プロセス開始日および保護停止日の調整には制限があります。これらの日付について、セキュリティ・オブジェクトへの変更が現在の時間に非常に近い場合は、レプリケーション・ラグが原因で状態の変更が発生することがあります。

マルチマスター・クラスタでのオブジェクトの作成と同様に、セキュリティ・オブジェクトには、異なるノードで作成されたオブジェクトとの名前の競合が発生することがあります。競合がある場合、Oracle Key Vaultでは一意の名前が提示されるか、名前を変更できます。

関連トピック

親トピック: キーまたはセキュリティ・オブジェクトの状態の管理

11.5.3 キーまたはセキュリティ・オブジェクトのアクティブ化

キーは、「Active」または「Pre-Active」状態にできます。

キーが作成されると、「Pre-Active」状態になります。ただし、作成日よりも後の日付のデータの保護に使用されるキーの場合は、「Process Start Date」を設定できます。現在、サード・パーティのKMIPクライアント、RESTfulサービス・ユーティリティ、CおよびJava SDKを使用してアップロードされたキーは「Pre-Active」状態であり、「Date of Activation」フィールドは設定されていません。その他すべてのキーについては、「Date of Activation」はシステムによって生成されるため、設定できません。
  1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
  3. 「Keys & Secrets」ページで、設定する項目に対応する、「Edit」の下の編集用鉛筆アイコンをクリックします。
  4. 項目の「Object Details」ページで、「Activate」をクリックします。
  5. 「OK」をクリックして確定します。

    ノート:

    • Oracle Key Vault 21.3以降にセキュリティ・オブジェクトを作成するときに、アクティブ化日を設定できます。
    • サード・パーティのKMIPクライアント、RESTfulサービス・ユーティリティ、CおよびJava SDKを使用して、セキュリティ・オブジェクトのアクティブ化日属性を設定することで、セキュリティ・オブジェクトの作成後にセキュリティ・オブジェクトのアクティブ化日を設定できます。

関連トピック

親トピック: キーまたはセキュリティ・オブジェクトの状態の管理

11.5.4 キーまたはセキュリティ・オブジェクトの非アクティブ化

キーは、非アクティブ化の設定がされた日付を過ぎると、非アクティブ化するか期限切れになります。

  1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
  3. 「Keys & Secrets」ページで、非アクティブ化する項目に対応する、「Edit」の下の編集用鉛筆アイコンをクリックします。
  4. 項目の「Object Details」ページで、「Date of Deactivation」を、キーを非アクティブ化する日付に設定します。
  5. 「Save」をクリックします。

    ノート:

    • Oracle Key Vault 21.3以降にセキュリティ・オブジェクトを作成するときに、非アクティブ化日を設定できます。
    • サード・パーティのKMIPクライアント、RESTfulサービス・ユーティリティ、CおよびJava SDKを使用して、セキュリティ・オブジェクトの非アクティブ化日属性を設定することで、セキュリティ・オブジェクトの作成後にセキュリティ・オブジェクトの非アクティブ化日を設定できます。

関連トピック

親トピック: キーまたはセキュリティ・オブジェクトの状態の管理

11.5.5 キーまたはセキュリティ・オブジェクトの取消し

キーを取り消すと、その状態を「Deactivated」または「Compromised」に設定できます。

この時点で、キーは新しいデータの暗号化に使用できません。ただし、非アクティブ化されたキーは、ダウンロードして、古いデータの復号化に使用できます。
  1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
  3. 「Keys & Secrets」ページで、取り消す項目に対応する、「Edit」の下の編集用鉛筆アイコンをクリックします。
  4. 「Object Details」ページで、「Revoke」をクリックします。
  5. 「Revoke Object」ページの「Revocation Reason」ドロップダウン・リストから、取消しの理由を選択します。
  6. オプションで、「Revocation Message」に詳細を追加します。
  7. 「Save」をクリックします。

親トピック: キーまたはセキュリティ・オブジェクトの状態の管理

11.5.6 キーまたはセキュリティ・オブジェクトの破棄

使用されなくなったり、なんらかの方法で侵害されたキーは、破棄できます。

廃棄されたキーおよびセキュリティ・オブジェクトのメタデータは、廃棄後も、Oracle Key Vaultに保持されます。
  1. このキーに対する読取りおよび変更アクセス権を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
  3. 「Keys & Secrets」ページで、破棄する項目に対応する、「Edit」の下の編集用鉛筆アイコンをクリックします。
  4. 「Object Details」ページで、「Destroy」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。

親トピック: キーまたはセキュリティ・オブジェクトの状態の管理

11.6 Oracle Key Vaultからの対称キーまたは秘密キーの抽出の管理

対称キーまたは秘密キーがOracle Key Vaultから離れるのを制限できます。

親トピック: Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

11.6.1 Oracle Key Vaultからの対称キーまたは秘密キーの抽出の管理について

対称キーまたは秘密キー(抽出)がOracle Key Vaultから離れるのを制限できるため、これらのオブジェクトのセキュリティ・レベルが高くなります。

対称キーまたは秘密キーを使用する多くの操作では、Oracle Key Vaultの外部でこれらの操作が実行されるため、この目的で、デフォルトでOracle Key Vault内の対称キーまたは秘密キーを抽出できます。Oracle Key Vaultに格納されている透過的データベース暗号化(TDE)マスター暗号化キーの例を考えてみます。Oracle Databaseエンドポイントでデータ暗号化キーを復号化する必要がある場合、PKCS#11ライブラリはOracle Key VaultからTDEマスター暗号化キーを取得して復号化を実行します。サイトで対称キーまたは秘密キーがOracle Key Vaultに保持されるようにする必要がある場合は、抽出可能属性値をfalseに設定することで、Oracle Key Vault内に残るように対称キーまたは秘密キーを構成できます。抽出可能属性値をfalseに設定すると、対称キーおよび秘密キーのキー・マテリアルがOracle Key Vaultから抽出されなくなりますが、他のオブジェクト・メタデータ(オブジェクト属性、状態などを含む)は、引き続きOracle Key Vaultから取得できます。TDEマスター暗号化キーがOracle Key Vaultから離れることが制限されている場合、PKCS#11ライブラリは、暗号化されたデータ暗号化キーを復号化するためのリクエストをOracle Key Vaultに送信します。続いて、Oracle Key Vault内で復号化が実行され、その後、平文のデータ暗号化キーがPKCS#11ライブラリに返されます。対称キーまたは秘密キーがOracle Key Vaultから離れるのを許可するには、その抽出可能属性値をtrueに設定します。

次の方法で、対称キーまたは秘密キーの抽出可能属性を設定できます。

  • 既存の対称キーまたは秘密キーの抽出可能属性値の設定:キー管理者ロールを持つユーザーは、既存の対称キーまたは秘密キーの抽出可能属性値をtrueまたはfalseに変更できます。既存の対称キーまたは秘密キーに対する読取り/書込みアクセス権を持つユーザーまたはエンドポイントも、その抽出可能属性設定を変更できます。ただし、これは、より厳しい設定(つまり、値をfalseに設定して対称キーまたは秘密キーを抽出不可にすること)を適用する場合にのみ許可されます。このようなユーザーまたはエンドポイントは、対称キーまたは秘密キーが現在抽出不可能な場合は、抽出可能にするように抽出可能属性設定を変更できません。
  • すべてのエンドポイントに対するグローバルな抽出可能属性のデフォルト値の設定: グローバル・エンドポイント設定で、抽出可能属性のデフォルト値を設定できます。この設定はすべてのエンドポイントに適用されます。この設定は、次のいずれかの状況が発生しないかぎり、エンドポイントが新しい対称キーまたは秘密キーを作成または登録するときに使用されます。
    • 抽出可能属性が、作成時または登録時に対称キーまたは秘密キーに設定されます。
    • デフォルトの抽出可能属性値が、そのエンドポイントに対して明確に設定されています(つまり、エンドポイントはこの設定をグローバル・エンドポイントから継承しません)。

    このグローバル・エンドポイント設定は、既存の対称キーまたは秘密キーには適用されません。この設定は、この設定の構成後に作成または登録された新しい対称キーまたは秘密キーにのみ適用されます。

  • 個々のエンドポイントの抽出可能属性のデフォルト値の設定: 個々のエンドポイントの抽出可能属性のデフォルト値を設定できます。エンドポイント固有の設定は、グローバル・エンドポイントの設定よりも優先されます。エンドポイントが新しい対称キーまたは秘密キーを作成または登録するときに、その作成時または登録時にそのキーに対して抽出可能属性が設定されていない場合は、このエンドポイント固有の抽出可能属性設定が適用されます。

    この個々のエンドポイント設定は、既存の対称キーまたは秘密キーには適用されません。この設定は、この設定の構成後にエンドポイントによって作成または登録される新しい対称キーまたは秘密キーにのみ適用されます。

  • 対称キーまたは秘密キーを作成または登録する際の抽出可能属性値の設定: C SDK、Java SDKまたはRESTfulサービス・ユーティリティを使用して、作成時または登録時に新しい対称キーまたは秘密キーの抽出可能属性値を設定できます。キーの作成時に指定された抽出可能属性値は、その抽出可能属性のエンドポイントの有効設定よりも優先されます。ただし、この場合はさらに制限を受けることになります。抽出可能属性のエンドポイントの有効設定がfalse (新しい対称キーまたは秘密キーが抽出不可)に設定されている場合、新しい対称キーまたは秘密キーの抽出可能属性をtrue (新しいキーを抽出可能として作成)に設定できません。

抽出可能属性値をfalseに設定すると、Oracle Key Vaultのパフォーマンスに影響する場合があります。パフォーマンスへの影響は、Oracle Key Vaultに限定できません。エンドポイントのパフォーマンスも影響を受ける可能性があります。

関連トピック

親トピック: Oracle Key Vaultからの対称キーまたは秘密キーの抽出の管理

11.6.2 既存の対称キーまたは秘密キーの抽出可能属性値の構成

既存の対称キーまたは秘密キーの抽出可能属性値を構成できます。

  1. 次のいずれかのタイプのユーザーとしてOracle Key Vault管理コンソールにログインします。
    • キー管理者ロールを持つユーザーは、すべての対称キーまたは秘密キーの抽出可能属性値を変更できます。
    • 対称キーまたは秘密キーに対する読取り/変更アクセス権を持つユーザーは、より厳しい設定(つまり、値をfalseに設定してオブジェクトを抽出不可にすること)を適用する場合にかぎり、その抽出可能属性値を変更できます。
  2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
    「Keys & Secrets」ページが表示されます。
  3. 抽出を構成するキーに対して、「Edit」アイコンをクリックし、「Object Details」ページを「Advanced」セクションまでスクロールします。
  4. 「Extractable」メニューで、「True」または「False」を選択します。

    • 「True」の場合、オブジェクト値をOracle Key Vaultから抽出できます。

    • 「False」の場合、オブジェクト値がOracle Key Vaultから抽出されなくなります。

  5. 「Save」を選択します。

親トピック: Oracle Key Vaultからの対称キーまたは秘密キーの抽出の管理

11.7 セキュリティ・オブジェクト詳細の管理

これらのオブジェクトに関する詳細の検索やこれらの詳細の変更など、セキュリティ・オブジェクトに関する詳細を管理できます。

親トピック: Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

11.7.1 セキュリティ・オブジェクトの詳細の管理について

仮想ウォレット内のセキュリティ・オブジェクトを検索し、これらのセキュリティ・オブジェクトを追加、変更または削除できます。

セキュリティ・オブジェクトは、明確な義務の分離があるOracle Key Vault管理ユーザーが管理します。セキュリティ・オブジェクトが含まれる仮想ウォレットのウォレット権限を管理するには、キー管理者ロールを持つユーザーであることが必要です。監査マネージャ・ロールを持っているユーザーは、セキュリティ・オブジェクトを表示できますが変更はできません。一方、システム管理者ロールを持っているユーザーは個々のセキュリティ・オブジェクトの表示もできません。

セキュリティ・オブジェクトの非アクティブ化日を設定し、セキュリティ・オブジェクトが期限切れになるときにアラートで通知できます。たとえば、オブジェクト有効期限のアラートを、しきい値を7日にして構成した場合は、オブジェクトの非アクティブ化日が7日以内になると、その有効期限アラートが発生します。このしきい値の期間には、24時間ごとに電子メール通知が送信されます。このアラートは、セキュリティ・オブジェクトがPRE-ACTIVE状態またはACTIVE状態の場合にのみ発生します。セキュリティ・オブジェクトが取り消されるか破棄されると、Oracle Key Vaultによってセキュリティ・オブジェクトの有効期限アラートが削除されます。

関連トピック

親トピック: セキュリティ・オブジェクトの詳細の管理

11.7.2 セキュリティ・オブジェクト項目の検索

個々のセキュリティ・オブジェクトを検索できるのは、これらのオブジェクトを表示する権限がある場合です。

  1. キー管理者ロール、監査マネージャ・ロールを持っているユーザーまたは仮想ウォレットへのアクセス権を持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
    「Keys & Secrets」ページが開き、すべてのセキュリティ・オブジェクトが表で示されます。

    212_keys_and_secrets.pngの説明が続きます
    図212_keys_and_secrets.pngの説明

    デフォルトでは、表には、各セキュリティ・オブジェクトについて次の列があります。

    • 「Display Name」には、オブジェクトの名前がリストされます。

    • Type: セキュリティ・オブジェクトのオブジェクト・タイプを示します。有効な値は、「Symmetric Key」「Public Key」「Private Key」「Template」「Opaque Object」「Certificate」および「Secret Data」です。

    • Wallet Membership: セキュリティ・オブジェクトを含む仮想ウォレット。

    • Creating Endpoint: セキュリティ・オブジェクトを所有するエンドポイント。

    • State: オブジェクトの状態を示します。有効な値は、「Active」「Compromised」「Deactivated」「Destroyed」「Destroyed Compromised」および「Pre-Active」です。

    • Extractable: セキュリティ・オブジェクトの抽出可能属性設定。

    • Creation Date: セキュリティ・オブジェクトがOracle Key Vaultに追加された日時。

    • Deactivation Date: セキュリティ・オブジェクトが無効化された日時。

    • Name: オブジェクトの実際の名前。

    • Unique Identifier: 項目を識別する、グローバルに一意のIDです。

    • Edit: 鉛筆アイコンは、セキュリティ・オブジェクトの「Object Details」ページにリンクしています。

    これらの列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ウィンドウで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。
  3. セキュリティ・オブジェクトが表示されない場合は、検索バーまたは「Actions」メニューを使用して検索します。

親トピック: セキュリティ・オブジェクトの詳細の管理

11.7.3 セキュリティ・オブジェクトの詳細の表示

キー管理者ロールを持つ管理ユーザーが、セキュリティ・オブジェクトの詳細を表示、追加および変更できます。

管理ユーザーは、対応する「Object Details」ページから、セキュリティ・オブジェクトに対してこれらのアクションを実行できます。オブジェクトの詳細は、特定のセキュリティ・オブジェクトの属性で、セキュリティ・オブジェクトのタイプに依存します。

  1. キー管理者ロールを持っているユーザーまたは仮想ウォレットへのアクセス権を持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。

  2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。

  3. 「Keys & Secrets」ページで、必要なセキュリティ・オブジェクトを検索します。

    「Keys & Secrets」ページには、Key Vault内のセキュリティ・オブジェクトの表が示されます。

    この表の列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ダイアログ・ボックスで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。

  4. セキュリティ・オブジェクトに対応する「Edit」列の鉛筆アイコンをクリックします。

    セキュリティ・オブジェクトの属性が表示された「Object Details」ページが表示されます。次の画面には、このオブジェクトで実行できるすべてのアクティビティの一部が表示されます。

    21_object_details.pngの説明が続きます
    図21_object_details.pngの説明

    「Object Details」ページで、セキュリティ・オブジェクトを非アクティブ化する日付または使用しない日付を設定できます。「Object Details」に表示される属性は、セキュリティ・オブジェクトのタイプによって変わります。「Symmetric Key」の属性は、「Private Key」または「Opaque Object」のものとは異なります。

    セキュリティ・オブジェクトを取消しまたは破棄したり、「Object Details」ページからウォレットに対してセキュリティ・オブジェクトを追加または削除できます。

    「Object Details」ページの「Wallet Membership」ペインを使用すると、ウォレットにセキュリティ・オブジェクトを追加したり、ウォレットからセキュリティ・オブジェクトを削除できます。

    「Object Details」ページには、次の属性が表示されます。

    • Display Name: ユーザーが項目を識別するために役立つサマリーの説明。たとえば、項目がTDEマスター暗号化キーの場合、「Identifier」には、接頭辞のTDE master encryption keyの後に、データベースがそのキーを識別するために使用する識別子が表示されます。

    • Unique Identifier: 項目を識別する、グローバルに一意のIDです。

    • Type: 項目のオブジェクト・タイプを示します。有効な値は、「Symmetric Key」「Public Key」「Private Key」「Template」「Opaque Object」「Certificate」および「Secret Data」です。

    • State: セキュリティ・オブジェクトのステータスを示します。値は次のとおりです。

      • Pre-active: オブジェクトは存在しますが、暗号化目的にはまだ使用できません。

      • Active: オブジェクトは使用可能です。エンドポイントは、このオブジェクトがどの用途に適切かを判断するために、「Cryptographic Usage Mask」属性を調べる必要があります。

      • Deactivated: オブジェクトがアクティブではなくなっているため、(たとえば、暗号化または署名のための)暗号保護の適用には使用しないでください。ただし、以前に保護済のデータの復号化や検証の用途には、まだ適切である場合があります。

      • Compromised: オブジェクトは損われていると思われるため、使用しないでください。

      • Destroyed: オブジェクトは、いかなる目的にももう使用できません。

      • Destroyed Compromised: オブジェクトはセキュリティ侵害があったため破棄されました。いかなる目的でも、もう使用できません。

    • Creator: セキュリティ・オブジェクトを作成したエンドポイント。

    • Last Modified: 最終変更日。

    • Date of Creation: 作成日。

    • Date of Activation: アクティブ化の日付。

    • Process Start Date: データの暗号化にキーの使用を開始する日付。「Date of Activation」と同じかこれ以降にすることはできますが、これより前にすることはできません。

    • Protect Stop Date: この日付を過ぎると、キーを使用してデータを暗号化できなくなります。「Date of Deactivation」設定より後にすることはできません。

    • Date of Deactivation: 非アクティブ化の日付。

  5. 「Advanced」をクリックして、セキュリティ・オブジェクトの属性を表示します。

    属性情報と問合せは、項目タイプによって異なります。属性の例は次のとおりです。

    • Cryptographic Algorithms: その項目によって使用されている暗号化アルゴリズム

    • Key Usage: キーを使用できる操作クライアントはこれらの属性を使用する場合もしない場合もあります。たとえば、Transparent Data Encryptionではキーの使用属性を参照しません。

    • Extractable: 対称キーまたは秘密キーのセキュリティ・オブジェクトを抽出できるかどうかを示します。「TRUE」は抽出できることを意味します。「FALSE」は抽出できないことを意味します。

    • Never Extractable: セキュリティ・オブジェクト(この場合は対称キーまたは秘密キーのみ)がOracle Key Vaultから以前に抽出できたことがないかどうかを示します。「TRUE」は、対称キーの抽出可能属性が常に「FALSE」に設定されていたことを意味します。「Extractable」属性が以前に(1回でも)「TRUE」に設定された場合、「Never Extractable」属性は「FALSE」になります(この設定のままになります)。

    • Names: キーを識別するためにユーザーまたはエンドポイントがアタッチしたラベル

    • Custom Attributes: エンドポイントによって定義され、Oracle Key Vaultによる解釈が行われない追加の属性

    • Cryptographic Parameters: 項目によって使用される、暗号化アルゴリズムのオプションのパラメータ(たとえばブロック暗号モードやパディング方式)

    • Cryptographic Length: キーの長さ(ビット)

    • Retrieved at Least Once: オブジェクトがクライアントに提供されたかどうかを示します

    • Contact Information: 連絡目的のみに使用します

    • Digests: セキュリティ・オブジェクトのダイジェスト値

    • Link Details: 関連オブジェクトへのリンク

関連トピック

親トピック: セキュリティ・オブジェクトの詳細の管理

11.7.4 セキュリティ・オブジェクトの詳細の追加または変更

適切な権限を持つユーザーのみが、セキュリティ・オブジェクトの詳細を追加または変更できます。

セキュリティ・オブジェクトの属性を変更するには、キー管理者ロールを持っているユーザーであるか、そのセキュリティ・オブジェクトへの「Read and Modify」アクセス権が必要です。たとえば、キー管理者ロールを持つユーザーは、抽出可能属性を変更して、その設定をOracle Key Vault内のすべてのセキュリティ・オブジェクトに適用できます。「Read and Modify」を持つユーザーは、自分が作成したオブジェクトに対してのみ抽出可能属性を設定できます。セキュリティ・オブジェクトを所有している場合、またはそのセキュリティ・オブジェクトを含む仮想ウォレットへのアクセス権がある場合は、セキュリティ・オブジェクトに対するRead and Modifyアクセス権を取得できます。
  1. キー管理者ロールを持つユーザーまたは仮想ウォレットへのアクセス権があるユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択してから、左側のナビゲーション・バーで「Keys & Secrets」を選択します。
    「Keys & Secrets」ページには、すべてのセキュリティ・オブジェクトが表で示されます。この表の列を変更して、詳細情報を表示できます。「Actions」メニューから「Select Columns」を選択します。「Select Columns」ダイアログ・ボックスで、表示する列を「Display in Report」リストに移動し、「Apply」をクリックします。
  3. セキュリティ・オブジェクトに対応する鉛筆アイコンをクリックします。
    「Object Details」ページが表示されます。
  4. 「Advanced」ペインで、必要な変更を加えます。
  5. ペインの右上隅にある「Save」をクリックします。

親トピック: セキュリティ・オブジェクトの詳細の管理