暗号化用のOracle ACFSコマンドライン・ツール
このトピックでは、Oracle ACFS暗号化用コマンドの概要を示します。
表6-35に、Oracle ACFS暗号化コマンドと簡単な説明を示します。Oracle ACFS暗号化の概要は、「Oracle ACFS暗号化」を参照してください。
Oracle ACFS acfsutilコマンドの実行の詳細は、「Oracle ACFSコマンドライン・ツールの使用について」を参照してください。
ノート:
Oracle ACFS 21c以降、SolarisおよびMicrosoft Windowsオペレーティング・システムでOracle ACFS暗号化がサポート対象外になりました。Oracle SolarisおよびMicrosoft WindowsでのOracle ACFS暗号化は、RSAテクノロジに基づいています。RSAテクノロジのリタイアが通知されました。Linuxでは代替テクノロジを使用するため、Oracle ACFS暗号化はLinuxで引き続きサポートされ、この非推奨に影響を受けません。
表6-35 Oracle ACFS暗号化用のコマンドの概要
| コマンド | 説明 |
|---|---|
|
Oracle ACFSファイル・システムの暗号化関連の情報を表示します。 |
|
|
ACFS暗号化を初期化します。OCR内に暗号化キー・ストアを作成し、Oracle Key Vaultを代替暗号化キー・ストアとして設定します。 |
|
|
Oracle ACFSファイル・システムの暗号化を無効にします。 |
|
|
Oracle ACFSファイル・システムを暗号化します。 |
|
|
OCR暗号化キー・ストアのパスワードで保護されたPKCSウォレットのパスワードを変更するか、Oracle Key Vaultエンドポイントの自動ログイン・ウォレットに格納されているパスワードを変更します。 |
|
|
Oracle ACFSファイル・システムの新しいキーを作成し再暗号化します。 |
|
|
Oracle ACFSファイル・システムの暗号化パラメータを設定または変更します。 |
|
|
パスワードで保護されたPKCSウォレットとパスワードなしSSOウォレット間でOCR暗号化キー・ストアを移行します。 |
acfsutil encr info
目的
Oracle ACFSファイル・システム、ディレクトリまたはファイルの暗号化関連の情報を表示します。
構文および説明
acfsutil encr info -h acfsutil encr info -m mount_point [[-r] path [path …]]
acfsutil encr info -hは、ヘルプ・テキストを表示して終了します。
表6-36に、acfsutil encr infoコマンドで使用可能なオプションを示します。
表6-36 acfsutil encr infoコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
|
|
|
ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。 |
pathを指定せずに-mを指定すると、暗号化の状態、アルゴリズムおよびキー長がファイル・システム・レベルで表示されます。
pathを指定して-rを指定すると、暗号化の状態、アルゴリズムおよびキー長がpathで指定したディレクトリの下のすべてのオブジェクトに対して表示されます。
ファイルがpathオプションで指定される場合、acfsutil encr infoコマンドはスナップショット内のファイルの暗号化状態とパラメータを表示します。
どのユーザーもこのコマンドを実行して、ファイル・システム、ディレクトリまたはファイルの暗号化情報を表示できます。
acfsutil encr infoコマンドをシステム管理者として実行すると、使用されているキー・ストアのタイプが出力に表示されます。タイプは、パスワードなしSSOウォレットを含むACFS暗号化キー・ストア、パスワードで保護されたPKCSウォレットを含むACFS暗号化キー・ストアおよびキー・ストアとしてのOracle Key Vault (OKV)です。
OCI Vaultマスター暗号化キーを使用してファイル・システムのVEKを暗号化し、acfsutil encr infoコマンドをシステム管理者として実行する場合、出力にはOCI Vaultマスター暗号化キーのOCIDとOCI Vaultマスター暗号化キーの暗号化/管理エンドポイントURLが表示されます。
例
次に、acfsutil encr infoの使用例を示します。
例6-27 acfsutil encr infoコマンドの使用
# /sbin/acfsutil encr info -m /acfsmounts/acfs1
# /sbin/acfsutil encr info -m /acfsmounts/acfs1
-r /acfsmounts/acfs1/myfilesacfsutil encr init
目的
ACFS暗号化を初期化します。OCR内に暗号化キー・ストアを作成し、Oracle Key Vaultを代替暗号化キー・ストアとして設定します。
構文および説明
acfsutil encr init -h acfsutil encr init [-p ] [-o]
acfsutil encr init -hは、ヘルプ・テキストを表示して終了します。
表6-37に、acfsutil encr initコマンドで使用可能なオプションを示します。
表6-37 acfsutil encr initコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
指定しない場合、キーの格納にパスワードなしSSOウォレットを使用して、OCR内に暗号化キー・ストアを作成します。指定した場合は、キーの格納にパスワードで保護されたPKCSウォレットを使用して、OCR内に暗号化キー・ストアを作成します。 |
-o |
ACFSがOracle Key Vaultに自動ログインできるように、Oracle Key Vault自動ログイン・ウォレットを作成します。これにより、Oracle Key Vaultを暗号化キー・ストアとして使用するACFSファイル・システムの自動マウントおよびパスワードなしの |
acfsutil encr initコマンドを実行してからでないと、他のacfsutil暗号化コマンドは実行できません。このコマンドはOracle ACFS暗号化が実行するクラスタごとに1度実行する必要があります。このコマンドは、暗号化キー・ストアとしてOCRを使用する場合または暗号化キー・ストアとしてOracle Key Vaultを使用する場合のいずれかで実行する必要があります。
-pオプションを指定しない場合、パスワードなしSSOウォレットを使用して、暗号化キー・ストアがOCR内に作成されます。-pオプションを指定した場合、パスワードで保護されたPKCSウォレットを使用して、暗号化キー・ストアがOCR内に作成されます。プロンプトが表示されたら、PKCSウォレットのパスワードを指定する必要があります。パスワードは、次の形式に従っている必要があります。
- 最大文字数は20です。
- 最小文字数は8です。
- パスワードには少なくとも1つの数字が含まれる必要があります。
- パスワードには少なくとも1つの文字が含まれる必要があります。
OCI Vaultマスター暗号化キーを使用して任意のACFSファイル・システムのボリューム暗号化キー(VEK)を暗号化する場合は、暗号化されたVEKをパスワードなしのSSOウォレットを使用してOCRに格納する必要があります。-pオプションを指定せず、OCR内の暗号化キー・ストアがパスワードなしのSSOウォレットを使用して作成されるようにします。
-oオプションが指定されている場合、OCR内に暗号化キー・ストアを作成する以外に、Oracle Key Vaultの自動ログイン・ウォレットも作成されます。このOracle Key Vault自動ログイン・ウォレットにより、ACFSでOracle Key Vaultへの自動ログインが可能になります。
Oracle Key Vault自動ログイン・ウォレットでは、次の機能を使用できます。
- Oracle Key Vault自動ログイン・ウォレットを作成すると、すべての形式の自動マウント(CRS自動マウント、OSレベルの自動マウントなど)が、Oracle Key Vaultを暗号化キー・ストアとして使用するACFSファイル・システムを正しくマウントできます。Oracle Key Vault自動ログイン・ウォレットがない場合、それらのACFSファイル・システムは自動マウントによって正しくマウントされず、ACFSファイル・システム内の暗号化されたファイルにアクセスできなくなります。
- Oracle Key Vault自動ログイン・ウォレットを作成すると、Oracle Key Vaultを暗号化キー・ストアとして使用するACFSファイル・システムで、
acfsutil暗号化操作をパスワードなしで実行できます。
-oオプションを使用してOracle Key Vault自動ログイン・ウォレットを作成する場合、ORACLE_BASE、ORACLE_HOME、ORACLE_SIDおよびOKV_HOME環境変数をOracle Key Vaultエンドポイントへのログイン用に適切に設定する必要があります。ACFSを複数のノードで共有する場合は、各ノードを個別のエンドポイントとして登録する必要があります。ACFSを複数のノードで共有する場合は、各ノードを個別のエンドポイントとして登録する必要があります。Oracleキー・ボールト・ウォレットを作成し、すべてのエンドポイントのデフォルトのウォレットとして構成する必要があります。これにより、すべてのノードが、Oracleキー・ボールトに格納されている同じボリューム暗号化キー・セットを共有できます。また、Oracle Key Vaultエンドポイントにログインのためにパスワードが必要な場合、-oオプションによってOracle Key Vaultエンドポイント・パスワードの入力が求められます。Oracle Key Vaultエンドポイント・パスワードは、ACFSがOracle Key Vaultに自動ログインできるように、自動ログイン・ウォレット内に保存されます。
ACFSがすべてのノードからOracle Kev Vaultに自動ログインできるようにするには、同じクラスタ内のすべてのOracle Key Vaultエンドポイントが同じエンドポイント・パスワードを共有する必要があります。Oracle Key Vaultエンドポイントのエンドポイント・パスワードがOracle Key Vault自動ログイン・ウォレットに格納されているパスワードと異なる場合、ACFSはそのエンドポイントを介してOracle Key Vaultに自動ログインできなくなります。
-oオプションが指定され、OCR内の暗号化キー・ストアがすでに存在する場合、OCR内での暗号化キー・ストアの作成はスキップされ、Oracle Key Vault自動ログイン・ウォレットの作成のみが実行されます。
-pと-oの両方のオプションが指定されている場合、2つのパスワードが、OCR暗号化キー・ストアのPKCSウォレット用に1つ、Oracle Key Vaultエンドポイント用に1つずつ要求される場合があります。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行できます。
例
次に、acfsutil encr initコマンドの使用例を示します。
例6-28 acfsutil encr initコマンドの使用
# /sbin/acfsutil encr init
acfsutil encr off
目的
Oracle ACFSファイル・システム、ディレクトリまたは個別のファイルの暗号化を無効にします。
構文および説明
acfsutil encr off -h acfsutil encr off -m mount_point [[-r] path [ path ...]]
acfsutil encr off -hは、ヘルプ・テキストを表示して終了します。
表6-39に、acfsutil encr offコマンドで使用可能なオプションを示します。
表6-38 acfsutil encr offコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
|
|
|
ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。 |
管理者だけがこのコマンドをOracle ACFSファイル・システムで実行できます(pathを指定しない-mオプション)。pathを指定せずに-mオプションを指定すると、マウント・ポイントの下のすべてのファイルが復号化されます。
pathオプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-rオプションがコマンドで指定されている場合、コマンドは.ACFSディレクトリ下でスナップショットを横断しません。復号化操作がファイル・システムのレベルで指定されている場合、その操作では、.ACFS/snaps/ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行して、ファイル・システムで暗号化を無効にできます。ファイルの所有者もこのコマンドを実行してディレクトリまたはファイルの暗号化を無効にできます。
例
次に、acfsutil encr offの使用例を示します。
例6-29 acfsutil encr offコマンドの使用
# /sbin/acfsutil encr off -m /acfsmounts/acfs1
# /sbin/acfsutil encr off -m /acfsmounts/acfs1
-r /acfsmounts/acfs1/myfilesacfsutil encr on
目的
Oracle ACFSファイル・システム、ディレクトリまたは個別のファイルを暗号化します。
構文および説明
acfsutil encr on -h acfsutil encr on -m mount_point [-a {AES} -k {128|192|256}] [[-r] path [path...]]
acfsutil encr on -hは、ヘルプ・テキストを表示して終了します。
表6-39に、acfsutil encr onコマンドで使用可能なオプションを示します。
表6-39 acfsutil encr onコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
ディレクトリまたはファイルの暗号化アルゴリズムのタイプを指定します。Advanced Encryption Standard(AES)がこのリリースでサポートされる唯一の暗号化アルゴリズムです。 |
|
|
ディレクトリまたはファイルの暗号化キー長を指定します。 |
|
|
|
|
|
ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。 |
-aおよび-kのデフォルト値はacfsutil encr setが実行したときに指定したボリューム・パラメータにより決定されます。ボリューム・レベルでキー長を設定するには、acfsutil encr setコマンドを使用します。
管理者だけがこのコマンドをOracle ACFSファイル・システムで実行できます(pathを指定しない-mオプション)。pathを指定せずに-mオプションを指定すると、マウント・ポイントの下のすべてのファイルが暗号化されます。
pathオプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-rオプションがコマンドで指定されている場合、コマンドは.ACFSディレクトリ下でスナップショットを横断しません。暗号化操作がファイル・システムのレベルで指定されている場合、その操作では、.ACFS/snaps/ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。
-rオプションを指定してacfsutil encr onを実行すると、指定されたディレクトリは再帰的に暗号化されますが、ファイル・システム・レベルでは暗号化は有効化されません。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行して、ファイル・システムで暗号化を有効にできます。ファイルの所有者もこのコマンドを実行してディレクトリまたはファイルの暗号化を有効にできます。
例
次に、acfsutil encr onの使用例を示します。
例6-30 acfsutil encr onコマンドの使用
# /sbin/acfsutil encr on -m /acfsmounts/acfs1
# /sbin/acfsutil encr on -m /acfsmounts/acfs1
-a AES -k 128 -r /acfsmounts/acfs1/myfilesacfsutil encr passwd
目的
OCR暗号化キー・ストアのパスワードで保護されたPKCSウォレットのパスワードを変更するか、Oracle Key Vaultエンドポイントの自動ログイン・ウォレットに格納されているパスワードを変更します。
構文および説明
acfsutil encr passwd -h acfsutil encr passwd [-o]
acfsutil encr passwd -hは、ヘルプ・テキストを表示して終了します。
表6-39のオプションには、acfsutil encr passwdコマンドで使用可能なオプションが含まれています。
表6-40 acfsutil encr passwdコマンドのオプション
| オプション | 説明 |
|---|---|
-o |
指定されていない場合は、OCR暗号化キー・ストアのパスワードで保護されたPKCSウォレットのパスワードを変更します。指定した場合、Oracle Key VaultエンドポイントのOracle Key Vault自動ログイン・ウォレットに格納されているパスワードを変更します。 |
-oオプションが指定されていない場合、このコマンドは、OCR暗号化キー・ストアのパスワードで保護されたPKCSウォレットのパスワードを変更します。このコマンドは、キーの格納にパスワードで保護されたPKCSウォレットを使用するOCR暗号化キー・ストアで実行する必要があります。このコマンドは、キーの格納にパスワードなしSSOウォレットを使用するOCR暗号化キー・ストアでは実行できません。
このコマンドを実行すると、パスワード保護されたPKCSウォレットの既存のパスワードの入力が要求され、その後、新しいパスワードの入力が要求されます。新しいパスワードは、次の形式に従っている必要があります。
- 最大文字数は20です。
- 最小文字数は8です。
- パスワードには少なくとも1つの数字が含まれる必要があります。
- パスワードには少なくとも1つの文字が含まれる必要があります。
-oオプションが指定されている場合、このコマンドは、Oracle Key VaultエンドポイントのOracle Key Vault自動ログイン・ウォレットに格納されているパスワードを変更します。このコマンドは、Oracle Key Vaultエンドポイントの既存のパスワードの入力を求め、新しいパスワードの入力を求めます。このコマンドは、新しいパスワードがOracle Key Vaultエンドポイントに正しくログインできることを確認してから、新しいパスワードをOracle Key Vault自動ログイン・ウォレットに格納します。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行できます。
例
次に、acfsutil encr passwdコマンドの使用例を示します。
例6-31 acfsutil encr passwdコマンドの使用
# /sbin/acfsutil encr passwd
acfsutil encr rekey
目的
新しいキーを作成しボリュームまたはファイルを再暗号化します。
構文および説明
acfsutil encr rekey -h acfsutil encr rekey -m mount_point {-f [-r] path [path…] |-v } [-a {AES} -k {128|192 |256}]
acfsutil encr rekey -hは、ヘルプ・テキストを表示して終了します。
表6-41に、acfsutil encr rekeyコマンドで使用可能なオプションを示します。
表6-41 acfsutil encr rekeyコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
指定したパスに対し新しいファイル暗号化キーを生成し、その新しいキーでデータを暗号化します。 -rを指定すると、
|
|
|
指定したマウント・ポイントに対し新しいボリューム暗号化キー(VEK)を生成し、その新しいキーでファイル・システムのすべてのファイル暗号化キーを暗号化します。新しいVEKを格納するのにウォレットにアクセスする必要があるため、ウォレット・パスワードが求められます。 生成されたキーは、前に |
|
|
アルゴリズムを指定します。Advanced Encryption Standard(AES)がこのリリースでサポートされる唯一の暗号化です。 |
|
|
|
-aおよび-kのデフォルト値はacfsutil encr setが実行したときに指定したボリューム・パラメータにより決定されます。
pathオプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-rオプションがコマンドで指定されている場合、コマンドは.ACFSディレクトリ下でスナップショットを横断しません。キー更新操作がファイル・システムのレベルで指定されている場合、その操作では、.ACFS/snaps/ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。
Oracle Key Vaultがファイル・システムのキー・ストアである場合、-vオプションを使用して新しいボリューム・キーを生成する際に、Oracle Key Vaultホーム環境変数(OKV_HOME)を設定する必要があります。ACFSを複数のノードで共有する場合は、各ノードを個別のエンドポイントとして登録する必要があります。Oracleキー・ボールト・ウォレットを作成し、すべてのエンドポイントのデフォルトのウォレットとして構成する必要があります。これにより、すべてのノードが、Oracleキー・ボールトに格納されている同じボリューム暗号化キー・セットを共有できます。クライアントがOracle Key Vaultでパスワードを使用するように構成されている場合、求められたら同じパスワードを入力する必要があります。
関連項目:
Oracle Key Vaultの詳細は、『Oracle Key Vault管理者ガイド』を参照してください。
既存のVEKがOCI Vaultマスター暗号化キーによって暗号化されている場合、-vオプションで新しいVEKが生成されると、新しいVEKもOCI Vaultマスター暗号化キーによって暗号化されます。新しいVEKは、OCI Vaultマスター暗号化キーの最新バージョンで自動的に暗号化されます。
-vオプションは、ACFSファイル・システムのVEKのみをローテーションし、OCI Vaultマスター暗号化キーをローテーションしません。OCI Vaultマスター暗号化キーは、OCIコンソールを使用して個別にローテーションできます。OCI Vaultマスター暗号化キーがローテーションされると、既存のVEKは引き続き古いバージョンのOCI Vaultマスター暗号化キーで暗号化されます。-vオプションで生成された新しいVEKのみが、新しいバージョンのOCI Vaultマスター暗号化キーで暗号化されます。VEKとOCI Vaultマスター暗号化キーは個別にローテーションできますが、両方を同時にローテーションすることをお薦めします。OCI Vaultマスター暗号化キーは、新しいVEKがOCI Vaultマスター暗号化キーの新しいバージョンで暗号化されるように、VEKがローテーションされる前にローテーションする必要があります。
rootまたはシステム管理者権限を持つユーザーのみが-vオプションを指定してこのコマンドを実行できます。ファイルの所有者も-fオプションを指定してこのコマンドを実行して、ディレクトリまたはファイルの暗号化のキーを更新できます。
例
次に、acfsutil encr rekeyの使用例を示します。
例6-32 acfsutil encr rekeyコマンドの使用
# /sbin/acfsutil encr rekey -m /acfsmounts/acfs1 -v
# /sbin/acfsutil encr rekey -m /acfsmounts/acfs1 -f
-r /acfsmounts/acfs1/myfilesacfsutil encr set
目的
Oracle ACFSファイル・システムの暗号化パラメータを設定または変更します。
構文および説明
acfsutil encr set -h
acfsutil encr set [-a {AES} -k {128|192|256}] -m mount_point
acfsutil encr set [-a {AES} -k {128|192|256}] -e -m mount_point
acfsutil encr set [-a {AES} -k {128|192|256}] -K master_encryption_key_ocid -C cryptographic_endpoint
-M management_endpoint -m mount_point
acfsutil encr set -u -m mount_pointacfsutil encr set -hは、ヘルプ・テキストを表示して終了します。
表6-42に、acfsutil encr setコマンドで使用可能なオプションを示します。
表6-42 acfsutil encr setコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
アルゴリズムを指定します。Advanced Encryption Standard( |
|
|
キー長を指定します。キー長はボリューム・レベルで設定されます。デフォルト値は |
|
|
Oracle Key Vaultをキー・ストアとして使用するように指定します。 |
|
|
Oracle ACFSファイル・システムのVEKの暗号化に使用するOCI Vaultマスター暗号化キーのOCIDを指定します。 |
|
|
OCI Vaultマスター暗号化キーの暗号化エンドポイントのURLを指定します |
|
|
OCI Vaultマスター暗号化キーの管理エンドポイントのURLを指定します。 |
|
|
暗号化を取り消します。このコマンドは、ファイル・システムのすべての暗号化されたファイルを復号化し、 |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
acfsutil encr setコマンドを実行するには、先にacfsutil encr initコマンドを実行する必要があります。
acfsutil encr setコマンドはファイル・システム用の暗号化パラメータを構成し、ボリューム暗号化キー(VEK)を透過的に生成し、acfsutil encr initコマンドで構成済のキー・ストアに生成したキーを格納します。
さらに、acfsutil encr setはmount_point/.Security/encryption/logs/ディレクトリを作成し、これには監査および診断データを収集するログ・ファイル(encr-hostname_fsid.log)が含まれます。
キーの格納時のパスワードの要求は、暗号化キー・ストレージの構成方法によって異なります。-pがacfsutil encr initとともに指定された場合、このコマンドの実行にはパスワードが必要です。
-eオプションを使用してOracle Key Vaultをキー・ストアとして指定する前に、まずOracle Key Vaultを構成する必要があります。Oracle Key Vaultをファイル・システムのキー・ストアとして選択する場合、-eオプションを指定してコマンドを実行する際に、Oracle Key Vaultホーム環境変数(OKV_HOME)を設定する必要があります。ACFSを複数のノードで共有する場合は、各ノードを個別のエンドポイントとして登録する必要があります。Oracleキー・ボールト・ウォレットを作成し、すべてのエンドポイントのデフォルトのウォレットとして構成する必要があります。これにより、すべてのノードが、Oracleキー・ボールトに格納されている同じボリューム暗号化キー・セットを共有できます。クライアントがOracle Key Vaultでパスワードを使用するように構成されている場合、求められたら同じパスワードを入力する必要があります。
-K/-C/-Mを使用してOCI Vaultマスター暗号化キーが指定されている場合、ファイル・システムのVEKの暗号化にOCI Vaultマスター暗号化キーが使用されます。acfsutil encrセットによって生成されたVEKは、acfsutil encr initコマンドで構成済の暗号化キー・ストアに格納される前に、OCI Vaultマスター暗号化キーによって暗号化されます。OCI Vaultマスター暗号化キーに指定された情報も暗号化キー・ストアに格納されます。今後、acfstuil encr rekeyによって生成されるすべてのVEKは、暗号化キー・ストアに格納される前に、OCI Vaultマスター暗号化キーによって透過的に暗号化されます。
OCI Vaultマスター暗号化キーを使用してACFSファイル・システムのVEKを暗号化する前に、いくつかの要件を満たす必要があります:
- 各ACFSファイル・システムには、独自のOCI Vaultマスター暗号化キーが必要です。「マスター暗号化キーの作成」を参照してください
- ACFSファイル・システムを持つOCIインスタンスには、OCI Vaultマスター暗号化キーへのアクセス権が付与されている必要があります。「OCIインスタンスのOCI Vaultマスター暗号化キーへのアクセス権の付与」を参照してください
関連項目:
Oracle Key Vaultの構成の詳細は、『Oracle Key Vault管理者ガイド』を参照してください。
スナップショットがファイル・システムに存在する場合、acfsutil encr set –uコマンドを使用できません。
rootまたはシステム管理者権限を持つユーザーのみがacfsutil encr setコマンドを実行できます。
例
次に、acfsutil encr setコマンドの使用例を示します。
例6-33 acfsutil encr setコマンドの使用
# /sbin/acfsutil encr set -a AES -k 256 -m /acfsmounts/acfs1
acfsutil keystore migrate
目的
PKCSウォレットとSSOウォレットの間でOCR内のACFS暗号化キー・ストアを移行します。特定のACFSファイル・システムの暗号化キーをOCRからOKVに移行することもできます。
構文および説明
acfsutil keystore migrate -h
acfsutil keystore migrate [-p | -o <mountpoint>]acfsutil keystore migrate -hは、ヘルプ・テキストを表示して終了します。
表6-37に、acfsutil keystore migrateコマンドで使用可能なオプションを示します。
表6-43 acfsutil keystore migrateコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
キーを格納するために、OCR内のACFS暗号化キー・ストアをパスワードなしSSOウォレットからパスワードで保護されたPKCSウォレットに変換します。 |
|
|
指定したACFSマウントポイントにあるACFS暗号化キーをOracle Cluster Registry (OCR)からOracle Key Vault (OKV)に移行します。 |
-pオプションが指定されている場合、acfsutil keystore migrateは、VEKの格納用に、OCR内のACFS暗号化キー・ストアをパスワードなしのSSOウォレットからパスワードで保護されたPKCSウォレットに変換します。-pオプションが指定されていない場合、acfsutil keystore migrateは、VEKの格納用に、OCR内のACFS暗号化キー・ストアをパスワードで保護されたPKCSウォレットからパスワーなしのSSOウォレットに変換します。-pオプションを指定すると、パスワードを求められたときに入力する必要があります。パスワードは、次の形式に従っている必要があります。
- 最大文字数は20です。
- 最小文字数は8です。
- パスワードには少なくとも1つの数字が含まれる必要があります。
- パスワードには少なくとも1つの文字が含まれる必要があります。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行できます。
-o <acfs_mountpoint>オプションを指定した場合は、このコマンドで、指定のACFSファイル・システムの暗号化キーのためのVEKをOCRからOKVに移行できます。このコマンドの実行が終了すると、OCRに格納されているすべての暗号化キーがOKVに移行され、OCRにこれらのキーは含まれなくなります。他のマウントポイントが存在する場合に、それらの暗号化キーが変更されることはありません。コマンドに失敗した場合、そのコマンドを実行する前の暗号化設定は保持されます。問題を解決した後にこのコマンドを再実行すると、移行が完了する可能性があります。
ノート:
- ACFSファイル・システムのVEKをOCRからOKVに移行した後に、その操作を元に戻す方法はありません。
- このコマンドは、互換性が23.0.0.0.0以上に設定され、ACFSソフトウェア・バージョンが23.0.0.0以上に設定されたファイル・システムで使用できます。
OCI Vaultマスター暗号化キーを使用してVEKを暗号化するACFSファイル・システムがある場合、OCR内のACFS暗号化キー・ストアをパスワードなしのSSOウォレットからパスワードで保護されたPKCSウォレットには移行できません。acfsutil keystore migrateを使用すると、この移行が回避されます。
ACFSファイル・システムがOCI Vaultマスター暗号化キーを使用してVEKを暗号化している場合、-oオプションを使用してVEKをOCRからOKVに移行すると、OKVに格納されたVEKはOCI Vaultマスター暗号化キーによって暗号化されなくなります。
例
次に、acfsutil keystore migrateの使用例を示します。
例6-34 acfsutil keystore migrateコマンドの使用
# /sbin/acfsutil keystore migrate
次に、-o <acfs_mountpoint>オプションを指定したacfsutil keystore migrateの使用例を示します。
例6-35 acfsutil keystore migrate -o <acfs_mountpoint>コマンドの使用
# /sbin/acfsutil keystore migrate -o /my_acfs_mnt