8 統一モードの管理

統一モードの管理とは、キーストア、マスター暗号化キーおよび透過的データベース暗号化(TDE)の一般的な機能を管理することを意味します。

8.1 統一モードでのキーストアおよびマスター暗号化キーの管理

統一モードで使用するためのキーストアとマスター暗号化キーを構成した後、TDEマスター暗号化キーのキー更新などのタスクを実行できます。

8.1.1 統一モードでのキーストア・パスワードの変更

TDEウォレットまたは外部キーストアのパスワードは、CDBルートでのみ変更できます。

8.1.1.1 統一モードでのパスワードで保護されたTDEウォレット・パスワードの変更

統一モードでパスワードで保護されたTDEウォレットのパスワードを変更するには、CDBルートでADMINISTER KEY MANAGEMENT文を使用する必要があります。

このパスワードは、サイトのセキュリティ・ポリシーやコンプライアンス・ガイドライン、およびその他のセキュリティ要件に従って、いつでも変更できます。パスワードを変更するコマンドの一部として、WITH BACKUP句を指定する必要があるため、常に現在のTDEウォレットのバックアップが作成されます。パスワードの変更操作中、暗号化や復号化などの透過的データ暗号化操作は正常に動作し続けます。このパスワードはいつでも変更できます。このパスワードは、安全性が損なわれた可能性があると思われる場合には変更する必要があります。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. 次の構文を使用して、キーストアのパスワードを変更します。

   ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD 
   [FORCE KEYSTORE] 
   IDENTIFIED BY
   old_TDE_wallet_password SET new_TDE_wallet_password 
   WITH BACKUP [USING 'backup_identifier'];
   

   ここでは次のように指定します。

   • FORCE KEYSTOREは、TDEウォレットが閉じている場合、自動ログインTDEウォレットが構成済で現在開いている場合、またはパスワードで保護されたTDEウォレットが構成済で現在閉じている場合に、この操作のためにパスワードで保護されたTDEウォレットを一時的に開きます。

   • old_TDE_wallet_passwordは、変更する現在のキーストア・パスワードです。

   • new_TDE_wallet_passwordは、新しいパスワードです。

   • パスワードはローカルでCDBルートにおいてのみ変更できるため、CONTAINER句を含める必要はありません。

   次の例では、キーストアのバックアップを作成してから、パスワードを変更します。

   ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD 
   IDENTIFIED BY old_password SET new_password 
   WITH BACKUP USING 'before_password_change';
   
   keystore altered.

   この例では、同じ操作を実行しますが、自動ログインTDEウォレットが使用中であるか、パスワードで保護されたTDEウォレットが閉じられている場合に、FORCE KEYSTORE句を使用します。

   ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD
   FORCE KEYSTORE 
   IDENTIFIED BY old_password SET new_password 
   WITH BACKUP USING 'before_password_change';
   
   keystore altered.

8.1.1.2 統一モードでの外部キーストアのパスワードの変更

外部キーストアのパスワードを変更するには、外部キーストアを閉じた後、外部キーストアの管理インタフェースからパスワードを変更する必要があります。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. 外部キーストアを閉じます。
   • 外部キー・マネージャへの接続を閉じます。

     ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE 
     IDENTIFIED BY "external_key_manager_password"|EXTERNAL STORE 
     CONTAINER = ALL;
     

   • キーストアがデータベースによって自動オープンされた場合は、次のように外部キー・マネージャへの接続を閉じます。

     ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE 
     CONTAINER = ALL;
     

3. Oracle Key Vaultパスワードを変更します。

   WALLET_ROOT/okv/bin/okvutil changepwd -t wallet -l WALLET_ROOT/okv/ssl

4. Oracle Key Vaultパスワードを更新して、自動オープンのOracle Key Vaultキーストアでステップ3で設定した新しいパスワードを使用できるようにします。

   ADMINISTER KEY MANAGEMENT UPDATE SECRET 'new_Oracle_Key_Vault_password' 
   FOR CLIENT 'OKV-PASSWORD' TO [LOCAL] AUTO-LOGIN KEYSTORE 'WALLET_ROOT/tde';

5. IDENTIFIED BY EXTERNAL STORE (IBES)を有効にするOracle Key Vaultパスワードを、ステップ3で設定した新しいパスワードに更新します。

   ADMINISTER KEY MANAGEMENT UPDATE SECRET 'new_Oracle_Key_Vault_password' 
   FOR CLIENT 'OKV-PASSWORD' TO [LOCAL] AUTO-LOGIN KEYSTORE 'WALLET_ROOT/tde_seps';

6. Oracle Key Vaultへの接続を開きます。

   ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN 
   IDENTIFIED BY EXTERNAL STORE;

8.1.2 統一モードでのパスワードで保護されたTDEウォレットのバックアップ

ADMINISTER KEY MANAGEMENT文のBACKUP KEYSTORE句は、パスワードで保護されたTDEウォレットをバックアップします。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. 次の構文を使用して、キーストアをバックアップします。

   ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE 
   [USING 'backup_identifier'] 
   [FORCE KEYSTORE] 
   IDENTIFIED BY [EXTERNAL STORE | TDE_wallet_password] 
   [TO 'keystore_location'];
   

   ここでは次のように指定します。

   • USING backup_identifierは、バックアップを識別するために指定できるオプション文字列です。この識別子は、一重引用符(' ')で囲みます。この識別子は名前付きキーストア・ファイルに付加されます(ewallet_time-stamp_emp_key_backup.p12など)。

   • FORCE KEYSTOREは、この操作のためにパスワードで保護されたTDEウォレットを一時的に開きます。この操作のためには、TDEウォレットを開く必要があります。

   • IDENTIFIED BYは、パスワード保護されたキーストアに対してBACKUP KEYSTORE操作を行う場合に必須です。その理由は、バックアップは既存のキーストアのコピーにすぎませんが、パスワード保護されたキーストアのTDEマスター暗号化キーのステータスをBACKED UPに設定する必要があり、この変更を行うためにキーストア・パスワードが必要になるためです。

   • keystore_locationは、バックアップ・キーストアが格納されるパスです。PDBロックダウン・プロファイルのEXTERNAL_FILE_ACCESS設定がPDBでブロックされている場合、またはPDBの作成時にPATH_PREFIX変数が設定されていない場合は、この設定がPDBに制限されます。keystore_locationを指定しない場合、バックアップは元のキーストアと同じディレクトリに作成されます。この場所は一重引用符(' ')で囲みます。

   • キーストアはローカルでCDBルートにおいてのみバックアップできるため、CONTAINER句を含める必要はありません。

   次の例では、TDEウォレットをソース・キーストアと同じ場所にバックアップします。

   ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE 
   USING 'hr.emp_keystore' 
   FORCE KEYSTORE 
   IDENTIFIED BY 
   TDE_wallet_password ;
   
   keystore altered.
   

   次のバージョンでは、キーストアのパスワードが外部にあるため、EXTERNAL STORE句が使用されます。

   ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE 
   USING 'hr.emp_keystore' 
   FORCE KEYSTORE 
   IDENTIFIED BY EXTERNAL STORE;

   この文を実行すると、ewallet_identifier.p12ファイル(ewallet_time-stamp_hr.emp_keystore.p12など)が、TDEウォレット・バックアップの場所に作成されます。

8.1.3 統一モードでキーストアを閉じる

システム表領域が暗号化されている場合を除き、統一モードでTDEウォレットと外部キーストアの両方を閉じることができます。

8.1.3.1 キーストアを閉じることについて

キーストアを開いた後は、データベース・インスタンスを終了するまで開いたままになります。

データベース・インスタンスを再起動すると、必要に応じて(TDEマスター暗号化キーにアクセスする必要がある場合)自動ログインTDEウォレットおよびローカル自動ログインTDEウォレットが自動的に開きます。ただし、パスワードベースのTDEウォレットと外部キーストアは、自動的には開きません。使用する前には手動で再度開く必要があります。

TDEウォレットまたは外部キーストアを閉じると、データベースでのすべての暗号化操作と復号化操作が無効になります。そのため、データベース・ユーザーやアプリケーションは、TDEウォレットやキーストアが再度開かれるまで、暗号化データに関係する操作を実行できなくなります。

TDEウォレット・キーストアを閉じた後に再度開くと、その内容がデータベースにリロードされます。したがって、内容が変更されると(移行中など)、データベースには最新のTDEウォレットまたはキーストアの内容が格納されます。

PDBに対してALTER PLUGGABLE DATABASE CLOSE文またはSHUTDOWNコマンドを実行すると、SYSKM管理権限を持つユーザーがADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE文を使用して手動で閉じるまで、PDBのOPEN状態のキーストアは開いたままになります。

TDEウォレットまたはキーストアが閉じられているかどうかは、V$ENCRYPTION_WALLETビューのSTATUS列を問い合せることによって確認できます。

TDEウォレットまたはキーストアにアクセスできない場合、次のデータ操作は失敗します:

• 暗号化列からのデータの選択(SELECT)

• 暗号化列に対するデータの挿入(INSERT)

• 暗号化列による表の作成(CREATE)

• 暗号化された表領域の作成(CREATE)

8.1.3.2 統一モードでTDEウォレットを閉じる

統一モードでは、パスワードで保護されたTDEウォレット、自動ログインTDEウォレットおよびローカル自動ログインTDEウォレットを閉じることができます。

アクセス時に自動的に開かれる自動ログインTDEウォレットの場合は、まず自動的に開くことができない新しい場所に移動してから、手動で閉じる必要があります。自動ログインTDEウォレットからパスワードで保護されたTDEウォレットに構成を変更する場合は、自動ログインTDEウォレットを使用しないように構成を変更し(自動ログインTDEウォレットを自動的に開くことができない別の場所に移動する)、その後、自動ログインTDEウォレットを閉じる必要があります。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. ADMINISTER KEY MANAGEMENT文を使用して、TDEウォレットを閉じます。
   • パスワードで保護されたTDEウォレットでは、CDBルート内にいる場合、次の構文を使用します:

     ADMINISTER KEY MANAGEMENT SET | FORCE KEYSTORE CLOSE 
     [IDENTIFIED BY [EXTERNAL STORE | TDE_wallet_password]]
     [CONTAINER = ALL | CURRENT];

     SET句を使用して、TDEウォレットを強制せずに閉じます。開いている依存TDEウォレットがある場合(たとえば、分離モードのPDBのTDEウォレットで、CDBルートのTDEウォレットを閉じようとしている場合)、ORA-46692「ウォレットをクローズできません」エラーが表示されます。この場合、SETのかわりにFORCE句を使用して、閉じる操作中に依存TDEウォレットを一時的に閉じます。V$ENCRYPTION_WALLETビューのSTATUS列で、TDEウォレットが開いているかどうかが示されます。

     統一モードのPDBにいる場合、CONTAINER句を省略するか、CURRENTに設定します。

   • 自動ログインTDEウォレットまたはローカル自動ログインTDEウォレットでは、CDBルートにいる場合、次の構文を使用します:

     ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE
     [CONTAINER =  ALL | CURRENT];

TDEウォレットを閉じると、暗号化および復号化のすべての操作が無効化されます。データを暗号化または復号化しようとしたり、暗号化データにアクセスしようとすると、エラーが発生します。

8.1.3.3 統一モードで外部キーストアを閉じる

外部キーストアを閉じるには、SET KEYSTORE CLOSE句を含むADMINISTER KEY MANAGEMENT文を使用する必要があります。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. ADMINISTER KEY MANAGEMENT文を使用して、外部キーストアを閉じます。

   ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE 
   IDENTIFIED BY [EXTERNAL STORE | "external_key_manager_password"]
   [CONTAINER = ALL | CURRENT];

   たとえば:

   ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE 
   IDENTIFIED BY "external_key_manager_password"
   CONTAINER = ALL;

   「ORA-46692 ウォレットをクローズできません」エラーが表示された場合は、分離モードのキーストアが開いていないかを確認します。キーストアのステータスを確認するには、V$ENCRYPTION_WALLETビューのSTATUS列を問い合せます。

キーストアを閉じると、暗号化および復号化のすべての操作が無効化されます。データを暗号化または復号化しようとしたり、暗号化データにアクセスしようとすると、エラーが発生します。

8.1.4 統一モードでの後で使用するためのTDEマスター暗号化キーの作成

後でアクティブ化するTDEマスター暗号化キーを作成することができます。

8.1.4.1 後で使用するためのTDEマスター暗号化キーの作成について

ADMINISTER KEY MANAGEMENT文のCREATE KEY句によって、後でアクティブ化できるTDEマスター暗号化キーを作成できます。

その後、そのキーを同じデータベースでアクティブ化したり、別のデータベースにエクスポートしてそこでアクティブ化できます。

このTDEマスター暗号化キーの作成方法は、マルチテナント環境でTDEマスター暗号化キーを再作成する必要がある場合に便利です。CREATE KEY句では、単一のSQL文を使用して、マルチテナント環境内のすべてのPDBに新しいTDEマスター暗号化キーを作成できます。新しいTDEマスター暗号化キーの作成時間は、現在使用中のTDEマスター暗号化キーをアクティブ化するよりも遅くなります。そのため、最新の作成済TDEマスター暗号化キーをできるだけ早くアクティブ化するようにすべてのPDBに注意を喚起するために、この作成時間を使用できます。

8.1.4.2 統一モードでの後から使用するためのTDEマスター暗号化キーの作成

統一モードで後から使用するTDEマスター暗号化キーを作成する前に、TDEウォレットが開かれている必要があります。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. 次の構文を使用して、TDEマスター暗号化キーを作成します。

   ADMINISTER KEY MANAGEMENT CREATE KEY [USING TAG 'tag']
   [FORCE KEYSTORE]
   IDENTIFIED BY EXTERNAL STORE | keystore_password
   WITH BACKUP [USING 'backup_identifier']
   [CONTAINER = ALL | CURRENT];

   ここでは次のように指定します。

   • FORCE KEYSTOREは、この操作のためにパスワードで保護されたTDEウォレットを一時的に開きます。この操作のためには、TDEウォレットを開く必要があります。

   • tagは、定義する関連の属性および情報です。この設定は一重引用符(' ')で囲みます。

   • IDENTIFIED BYは次のいずれかの設定にできます。

     • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

     • TDE_wallet_passwordは、元のTDEウォレットを作成したときに使用したTDEウォレットの必須パスワードです。大文字と小文字が区別されます。

   • WITH BACKUPは、キーと同じ場所(V$ENCRYPTION_WALLETビューのWRL_PARAMETER列で識別されます)にTDEマスター暗号化キーをバックアップします。すべてのデータベース・インスタンスのキーの場所を確認するには、GV$ENCRYPTION_WALLETビューを問い合せます。

     パスワードベースのTDEウォレットをバックアップする必要があります。自動ログインTDEウォレットやローカル自動ログインTDEウォレットをバックアップする必要はありません。オプションで、USING backup_identifier句を含めることで、バックアップの説明を追加できます。backup_identifierは、一重引用符(' ')で囲みます。

   • CONTAINER: CDBルートでは、CONTAINERをALLまたはCURRENTに設定します。PDBでは、CURRENTに設定します。どちらの場合も、CONTAINERを省略すると、デフォルトでCURRENTに設定されます。

   たとえば:

   ADMINISTER KEY MANAGEMENT CREATE KEY 
   FORCE KEYSTORE 
   IDENTIFIED BY keystore_password
   WITH BACKUP
   CONTAINER = CURRENT;

3. 必要に応じて、TDEマスター暗号化キーをアクティブ化します。
   1. キーIDを確認します。

      SELECT KEY_ID FROM V$ENCRYPTION_KEYS; 
      
      KEY_ID
      ----------------------------------------------------
      AWsHwVYC2U+Nv3RVphn/yAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

   2. このキーIDを使用して、キーをアクティブ化します。

      ADMINISTER KEY MANAGEMENT USE KEY 
      'AWsHwVYC2U+Nv3RVphn/yAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' 
      USING TAG 'quarter:second;description:Activate Key on standby' 
      IDENTIFIED BY password 
      WITH BACKUP;

8.1.5 例: すべてのPDBでのマスター暗号化キーの作成

ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG文を使用して、すべてのPDBにTDEマスター暗号化キーを作成できます。

例8-1に、マルチテナント環境のすべてのPDBにマスター暗号化キーを作成する方法を示します。ここでは、CDBルートの自動ログイン・キーストアが開いている場合に、FORCE KEYSTORE句を使用します。パスワードが外部に格納されるため、IDENTIFIED BY句にEXTERNAL STORE設定が使用されます。この文を実行すると、マスター暗号化キーが各PDBに作成されます。それらのキーの識別子は次のように確認できます。

• PDBにログインして、V$ENCRYPTION_KEYSビューのTAG列を問い合せます。

• CDBルートにログインして、GV$ENCRYPTION_KEYSビューのINST_IDおよびTAG列を問い合せます。

また、最も最近作成されたキー(この文で作成したキー)を確認するには、それらのビューのCREATION_TIME列を確認します。キーの作成後、各PDBでキーを個々にアクティブ化できます。

例8-1 すべてのPDBのマスター暗号化キーの作成

ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG 
'scope:all pdbs;description:Create Key for ALL PDBS' 
FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE 
WITH BACKUP
CONTAINER = ALL;
 
keystore altered.

8.1.6 統一モードでのTDEマスター暗号化キーのアクティブ化

TDEマスター暗号化キーはアクティブ化すると、使用できます。

8.1.6.1 TDEマスター暗号化キーのアクティブ化について

ADMINISTER KEY MANAGEMENTのUSE KEY句を使用することで、以前に作成済またはインポート済のTDEマスター暗号化キーをアクティブ化できます。

マスター暗号化キーをアクティブ化すると、データベース内のすべてのデータ暗号化キーを暗号化するために使用されます。キーを使用して、すべての列のキーとすべての表領域暗号化キーを保護できます。ロジカル・スタンバイ・データベースをデプロイしている場合、TDEマスター暗号化キーを再作成後にエクスポートしてから、スタンバイ・データベースにインポートする必要があります。プライマリ・データベースとスタンバイ・データベースの両方でTDEマスター暗号化キーを使用するように選択できます。これを行うには、TDEマスター暗号化キーを、ロジカル・スタンバイ・データベースへのインポート後にアクティブ化する必要があります。

8.1.6.2 統一モードでのTDEマスター暗号化キーのアクティブ化

統一モードでTDEマスター暗号化キーをアクティブ化するには、キーストアを開き、USE KEY句を含むADMINISTER KEY MANAGEMENTを使用する必要があります。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. V$ENCRYPTION_KEYSビューのORIGIN列およびKEY_ID列を問い合せて、キーの識別子を確認します。

   たとえば:

   SELECT ORIGIN, KEY_ID FROM V$ENCRYPTION_KEYS; 
   
   ORIGIN  KEY_ID
   ------  ----------------------------------------------
   LOCAL   ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
   

3. このキー識別子を使用して、次の構文を使用してTDEマスター暗号化キーをアクティブ化します。

   ADMINISTER KEY MANAGEMENT USE KEY 'key_identifier_from_V$ENCRYPTION_KEYS' 
   [USING TAG 'tag'] 
   [FORCE KEYSTORE] 
   IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
   WITH BACKUP [USING 'backup_identifier'];
   

   ここでは次のように指定します。

   • FORCE KEYSTOREは、この操作のためにパスワードで保護されたTDEウォレットを一時的に開きます。この操作のためには、TDEウォレットを開く必要があります。

   • WITH BACKUPは、WALLET_ROOT/tdeで識別される元のウォレットと同じ場所にウォレットをバックアップします。すべてのデータベース・インスタンスのキーの場所を確認するには、V$ENCRYPTION_WALLETまたはGV$ENCRYPTION_WALLETビューを問い合せます。

     WITH BACKUP句は、ウォレットを変更するADMINISTER KEY MANAGEMENT文すべてに必須です。オプションで、USING backup_identifier句を含めることで、バックアップの説明を追加できます。backup_identifierは、一重引用符(' ')で囲みます。

   たとえば:

   ADMINISTER KEY MANAGEMENT USE KEY 'ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' 
   FORCE KEYSTORE 
   IDENTIFIED BY EXTERNAL STORE
   WITH BACKUP;

8.1.6.3 例: TDEマスター暗号化キーのアクティブ化

ADMINISTER KEY MANAGEMENT SQL文を使用して、TDEマスター暗号化キーをアクティブ化できます。

例8-2に、以前にインポート済のTDEマスター暗号化キーをアクティブ化してそのタグを更新する方法を示します。このキーは、現在のデータベースのタイムスタンプとタイムゾーンでアクティブ化されます。

例8-2 TDEマスター暗号化キーのアクティブ化

ADMINISTER KEY MANAGEMENT USE KEY 
'ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' 
USING TAG 'quarter:second;description:Activate Key on standby' 
IDENTIFIED BY password WITH BACKUP;

keystore altered.

次の同じ操作のバージョンでは、自動ログイン・キーストアが使用されているか、キーストアが閉じている場合に、FORCE KEYSTORE句が追加されます。キーストアのパスワードが外部に格納されるため、IDENTIFIED BY句にEXTERNAL STORE設定が使用されます。

ADMINISTER KEY MANAGEMENT USE KEY 
'ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' 
USING TAG 'quarter:second;description:Activate Key on standby' 
FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE WITH BACKUP;

keystore altered.

8.1.7 ユーザー定義のTDEマスター暗号化キーの作成

TDEマスター暗号化キーIDを生成して、データベースの外部でユーザー定義のTDEマスター暗号化キーを作成できます。

8.1.7.1 ユーザー定義のTDEマスター暗号化キーについて

データベースの外部にあるTDEマスター暗号化キーには、TDEマスター暗号化キーの使用を追跡するための固有のユーザー生成IDがあります。

ADMINISTER KEY MANAGEMENTを使用して、ユーザー定義のTDEマスター暗号化キーIDを作成および設定できます。TDEマスター暗号化キーを生成した後で、このキーをデータベースに格納できます。オプションで、様々なADMINISTER KEY MANAGEMENT文でTDEマスター暗号化キーIDを指定できます。

このタイプの構成を使用すると、サイトの要件に準拠するTDEマスター暗号化キーを生成できるため、Oracle Fusion SaaS Cloud環境で役立ちます。生成されるこのキーは、最新の暗号化アルゴリズムをサポートしており、TDEウォレットのために使用できます。

TDEマスター暗号化キーIDを生成した後で、通常の方法でデータを暗号化できます。

TDEマスター暗号化キーとそれに対応するIDは、監査ログによって取得されません。

8.1.7.2 統一モードでのユーザー定義のTDEマスター暗号化キーの作成

ユーザー定義のTDEマスター暗号化キーを作成するには、SET | CREATE [ENCRYPTION] KEY句を含むADMINISTER KEY MANAGEMENT文を使用します。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. 次の構文を使用して、ユーザー定義のTDEマスター暗号化キーを作成します。

   ADMINISTER KEY MANAGEMENT SET | CREATE [ENCRYPTION] KEY
   'mkid:mk | mk' 
   [USING ALGORITHM 'algorithm'] 
   [FORCE KEYSTORE]
   [USING TAG 'tag_name']
   IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
   WITH BACKUP [USING 'backup_identifier'];
   [CONTAINER = CURRENT];

   ここでは次のように指定します。

   • SET | CREATE: マスターを作成して、すぐにTDEマスター暗号化キーをアクティブ化する場合はSETと入力し、後から使用するためのキーを作成して、まだアクティブ化しない場合はCREATEと入力します。SET KEYおよびUSE KEYの場合、そのキー(CDBルート・コンテナ、統合または分離されたPDB)を使用する予定のデータベースに接続する必要があります。CREATE KEYの場合、統合PDB、CDBルート・コンテナ、または後でそのキーを使用することになっている特定の分離PDBに接続できます。

   • mkidおよびmk:

     • mkidは、TDEマスター暗号化キーIDであり、オプションの16バイトの16進数エンコード値です。ユーザーが指定するか、Oracle Databaseに生成させることができます。

     • mkは、TDEマスター暗号化キーであり、32バイトの16進エンコード値です。

     mkid値を省略したが、mkが含まれている場合、Oracle Databaseにより、mkのmkidが生成されます。

   • USING ALGORITHM: サポートされている次のアルゴリズムのいずれかを指定します。

     • AES256

     • ARIA256

     アルゴリズムを省略した場合は、デフォルトのAES256が使用されます。

   • FORCE KEYSTOREは、この操作のためにパスワードで保護されたTDEウォレットを一時的に開きます。この操作のためには、TDEウォレットを開く必要があります。

   次の例では、ユーザーが作成したTDEマスター暗号化キーが含まれていますが、TDEマスター暗号化キーIDがないため、TDEマスター暗号化キーが生成されます。

   ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY 
   '3D432109DF88967A541967062A6F4E460E892318E307F017BA048707B402493C' 
   USING ALGORITHM 'ARIA256'
   FORCE KEYSTORE
   IDENTIFIED BY keystore_password WITH BACKUP;

   次の例では、マスター暗号化IDおよびTDEマスター暗号化キーの両方のためにユーザー定義のキーが作成されます。アルゴリズムの指定が省略されているため、デフォルトのアルゴリズムAES256が使用されます。

   ADMINISTER KEY MANAGEMENT CREATE ENCRYPTION KEY 
   '10203040506070801112131415161718:3D432109DF88967A541967062A6F4E460E892318E307F017BA048707B402493C' 
   IDENTIFIED BY keystore_password WITH BACKUP;

   次のシナリオでは、TDEマスター暗号化キーとキーIDがデータベースの外部で生成され、職責の分離をサポートする方法を示します。キー管理者は、ADMINISTER KEY MANAGEMENT CREATE [ENCRYPTION] KEY文を使用して、key_IDのキーをウォレットに挿入します。次に、キー管理者がデータベース管理者にkey_IDを送信します。データベース管理者は、ADMINISTER KEY MANAGEMENT USE KEY句を使用して、キーをアクティブ化します。

   1. key-IDを作成し、文字を大文字に変換します。たとえば、OpenSSLを使用する場合は次のようになります。

      $ openssl rand 16 | xxd -u -p
      D20765EB721AF44D054B30FE87F8E49A

   2. TDEマスター暗号化キーを作成します。たとえば、OpenSSLを使用する場合は次のようになります。

      $ openssl rand -hex 32
      5a089c8ea6ee21cba774f61e58d102665df4a979a34757836b3d066a3eb3db11

   3. ランダムなkey-IDとキー自体の両方を:で区切ってウォレットに挿入することで、デフォルトのAES256マスター暗号化キーを作成します(ただし、アクティブ化しません)。

      ADMINISTER KEY MANAGEMENT CREATE ENCRYPTION KEY
      'D20765EB721AF44D054B30FE87F8E49A:5a089c8ea6ee21cba774f61e58d102665df4a979a34757836b3d066a3eb3db11'
      IDENTIFIED BY [EXTERNAL STORE | keystore_password]
      WITH BACKUP [USING 'backup_identifier'];

   4. データベース管理者は、次のSELECT文を使用して、BASE64のキーIDをデータベースから取得できます。

      SELECT ' ADMINISTER KEY MANAGEMENT USE KEY '''||KEY_ID||''' 
      USING TAG '''||SYS_CONTEXT('USERENV', 'CON_NAME')||' '||TO_CHAR (SYS_EXTRACT_UTC (SYSTIMESTAMP), 
      'YYYY-MM-DD HH24:MI:SS"Z"')||''' 
      FORCE KEYSTORE 
      IDENTIFIED BY EXTERNAL STORE WITH BACKUP;'
      AS "USE KEY COMMAND" FROM V$ENCRYPTION_KEYS WHERE TAG IS NULL;

8.1.8 統一モードでのTDEマスター暗号化キーのキー更新

SET KEY句を含むADMINISTER KEY MANAGEMENT文を使用して、TDEマスター暗号化キーをキー更新できます。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. 自動ログインを有効化したキーストアのTDEマスター暗号化キーをキー更新する場合、.ssoファイルによって識別される自動ログイン・キーストアと.p12ファイルによって識別される暗号化キーストアの両方が存在することを確認する必要があります。
   これらのファイルのロケーションは、V$ENCRYPTION_WALLETビューのWRL_PARAMETER列を問い合せることで確認できます。すべてのデータベース・インスタンスのWRL_PARAMETER値を見つけるには、GV$ENCRYPTION_WALLETビューを問い合せます。
3. 次の構文を使用して、TDEマスター暗号化キーをキー更新します。

   ADMINISTER KEY MANAGEMENT SET [ENCRYPTION] KEY 
   [FORCE KEYSTORE]
   [USING TAG 'tag_name'] 
   IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
   [WITH BACKUP [USING 'backup_identifier']]
   [CONTAINER = ALL | CURRENT];
   

   ここでは次のように指定します。

   • tagは、定義する関連の属性および情報です。この設定は、一重引用符(' ')で囲みます。

   • FORCE KEYSTOREは、この操作のためにパスワードで保護されたTDEウォレットを一時的に開きます。この操作のためには、TDEウォレットを開く必要があります。

   • IDENTIFIED BYは次のいずれかの設定にできます。

     • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

     • keystore_passwordは、このキーストア用に作成されたパスワードです。

   • CONTAINER: CDBルートでは、CONTAINERをALLまたはCURRENTに設定します。PDBでは、CURRENTに設定します。どちらの場合も、CONTAINERを省略すると、デフォルトでCURRENTに設定されます。

   たとえば:

   ADMINISTER KEY MANAGEMENT SET KEY 
   FORCE KEYSTORE 
   IDENTIFIED BY keystore_password 
   WITH BACKUP USING 'emp_key_backup'
   CONTAINER = CURRENT;
   
   keystore altered.
   

8.1.9 統一モードで使用中のTDEマスター暗号化キーの確認

使用中のTDEマスター暗号化キーは、データベースで一番最近アクティブ化されたキーです。

統一モードでは、PDBで使用されているTDEマスター・キーは、そのPDB用に最も最近アクティブ化されたものになります。

• 使用中のTDEマスター暗号化キーを確認するには、V$ENCRYPTION_KEYS動的ビューを問い合せます。
  たとえば:

  SELECT KEY_ID 
  FROM V$ENCRYPTION_KEYS 
  WHERE ACTIVATION_TIME = (SELECT MAX(ACTIVATION_TIME) 
         FROM V$ENCRYPTION_KEYS
         WHERE ACTIVATING_PDBID = SYS_CONTEXT('USERENV', 'CON_ID'));

8.1.10 統一モードでのカスタム属性タグの作成

統一モードでカスタム属性タグを作成するには、ADMINISTER KEY MANAGEMENT文のSET TAG句を使用する必要があります。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. 必要に応じて、V$ENCRYPTION_KEY動的ビューのTAG列を問い合せて、TDEマスター暗号化キーの既存のタグのリストを確認します。
   TDEマスター暗号化キーの新しいタグを作成すると、そのTDEマスター暗号化キーの既存のタグは上書きされます。
3. 次の構文を使用して、カスタム属性タグを作成します。

   ADMINISTER KEY MANAGEMENT SET TAG 'tag' 
   FOR 'master_key_identifier' 
   [FORCE KEYSTORE] 
   IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
   WITH BACKUP [USING 'backup_identifier'];
   

   ここでは次のように指定します。

   • tagは、定義する関連の属性または情報です。この情報は一重引用符(' ')で囲みます。

   • master_key_identifierは、tagが設定されるTDEマスター暗号化キーを識別します。TDEマスター暗号化キー識別子のリストを確認するには、V$ENCRYPTION_KEYS動的ビューのKEY_ID列を問い合せます。

   • FORCE KEYSTOREは、この操作のためにパスワードで保護されたTDEウォレットを一時的に開きます。この操作のためには、TDEウォレットを開く必要があります。

   • IDENTIFIED BYは次のいずれかの設定にできます。

     • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

     • keystore_passwordは、このキーストア用に作成されたパスワードです。

   • backup_identifierは、タグの値を定義します。この設定は一重引用符(' ')で囲み、それぞれの値をコロンで区切ります。

   たとえば、2つの値(1番目は特定のセッションID、2番目は特定の端末IDを取得)を使用するタグを作成するには、次のようにします。

   ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY 
   USING TAG 'sessionid=3205062574:terminal=xcvt' 
   IDENTIFIED BY keystore_password 
   WITH BACKUP;
   
   keystore altered.
   

   セッションID (3205062574)と端末ID (xcvt)はどちらも、SYS_CONTEXT関数でUSERENVネームスペースを使用するか、USERENV関数を使用することで、値を導出できます。

8.1.11 統一モードでの新しいキーストアへのTDEマスター暗号化キーの移動

既存のTDEマスター暗号化キーを、パスワードで保護された既存のキーストアから新しいキーストアに移動できます。

8.1.11.1 新しいキーストアへのTDEマスター暗号化キーの移動について

使用されていない(正常にアーカイブ済の)TDEマスター暗号化キーを新しいキーストアに移動できます。

ADMINISTER KEY MANAGEMENT MOVE KEYSを実行する場合は十分に注意してください。この文ではアクティブなマスター暗号化キーは移動されませんが、それでも、一連のデータベース機能に必要となるキーに影響がある可能性があります。キーを削除した場合は、これらの機能を使用するための、そのキーによって暗号化されたデータへのアクセスは不可能になります(データの削除と同等)。キーストアの削除によって影響を受ける機能の詳細は、このトピックの最後にある「関連項目」を参照してください。

そのため、キーストアを移動する前に、それを正常にアーカイブすることが重要です。一定期間が経過し、キーストアが確実に不要になった場合にのみ、キーストアを削除するようにしてください。

TDEマスター暗号化キーを新しいキーストアに移動するには、ADMINISTER KEY MANAGEMENT MOVE KEYS文を使用します。この文では、アクティブなTDEマスター暗号化キー(つまり、ADMINISTER KEY MANAGEMENT MOVE KEYSが発行された時点で使用中だったキー)は移動されません。

新しいTDEキーストアを構成するときに、誤ってADMINISTER KEY MANAGEMENT MOVE KEYS文をADMINISTER KEY MANAGEMENT MERGE KEYSTOREのかわりに使用した場合(たとえば、TDEキーストア構成を、TDEウォレットがオペレーティング・システムのファイル・システムにある構成から、TDEウォレットがOracle Automatic Storage Management (Oracle ASM)にある構成に変更する場合)、次の現象が、誤ったキー管理コマンドの使用によって発生したTDEの誤った構成を識別するのに役立つ場合があります:

• 前のADMINISTER KEY MANAGEMENT MOVE KEYS操作のターゲットであったTDEキーストアを開いたときに、ORA-28374: 「入力したマスター・キーがウォレットに見つかりません」というエラーが表示されます。これは、アクティブなTDEマスター暗号化キーがそのキーストアに移動されていないためです。
• 新しいキーストアを開いた後、V$ENCRYPTION_WALLETビューのSTATUS列にOPEN_NO_MASTER_KEYという値が表示されています。誤ってADMINISTER KEY MANAGEMENT MOVE KEYS文によって移入された新しいTDEキーストアにはアクティブなTDEマスター暗号化キーが含まれていないため、想定ではOPEN_NO_MASTER_KEYステータスになります。

8.1.11.2 統一モードでの新しいキーストアへのTDEマスター暗号化キーの移動

統一モードでは、既存のTDEマスター暗号化キーを既存のパスワードベースのTDEウォレットから新しいキーストアに移動できます。

この機能を使用すると、使用していないキーストアを削除できます。キーストアを移動する前に、それを正常にアーカイブしてあることを確認してください。暗号化キーを新しいキーストアに移動した後、古いキーストアを削除してよいのは、それが確実に不要になった場合です。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. V$ENCRYPTION_KEYSビューのKEY_ID列を問い合せて、キーを移動する先のキーストアのキー識別子を確認します。
   たとえば:

   SELECT CREATION_TIME, KEY_ID FROM V$ENCRYPTION_KEYS; 
   
   CREATION TIME
   ----------------------------------------------------
   23-SEP-19 08.55.12.956170 PM +00:00
   
   KEY_ID
   ----------------------------------------------------
   ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

3. 次の構文を使用して、新しいキーストアにキーを移動します。

   ADMINISTER KEY MANAGEMENT 
   MOVE [ENCRYPTION] KEYS
   TO NEW KEYSTORE 'keystore_location1'
   IDENTIFIED BY keystore1_password
   FROM [FORCE] KEYSTORE
   IDENTIFIED BY keystore_password
   [WITH IDENTIFIER IN
   { 'key_identififier' [, 'key_identifier' ]... | ( subquery ) } ]
   [WITH BACKUP [USING 'backup_identifier']];

   ここでは次のように指定します。

   • keystore_location1は、新しいキーストア.p12ファイルを格納するwalletディレクトリへのパスです。デフォルトでは、このディレクトリは、$ORACLE_BASE/admin/db_unique_name/walletにあります。

   • keystore1_passwordは、新しいキーストアの移動元であるキーストアのパスワードです。

   • FORCEは、この操作のためにキーストアを一時的に開きます。

   • keystore_passwordは、キーの移動元であるキーストアのパスワードです。

   • subqueryは、必要なキー識別子を正確に確認するために使用できます。

   • backup_identifierは、バックアップの説明(オプション)です。backup_identifierは、一重引用符(' ')で囲みます。

   たとえば:

   ADMINISTER KEY MANAGEMENT MOVE KEYS 
   TO NEW KEYSTORE '$ORACLE_BASE/admin/orcl/wallet' 
   IDENTIFIED BY keystore_password 
   FROM FORCE KEYSTORE 
   IDENTIFIED BY keystore_password 
   WITH IDENTIFIER IN 
   (SELECT KEY_ID FROM V$ENCRYPTION_KEYS WHERE ROWNUM < 2)
   WITH BACKUP;

4. 古いキーストアを削除するには、walletディレクトリに移動して、次の手順を実行します。
   1. 削除するキーストアを含む.p12ファイルをバックアップします。
   2. キーストアを含む.p12ファイルを手動で削除します。
   キーストアの場所を検索するには、キーストアを開いてから、V$ENCRYPTION_WALLETビューのWRL_PARAMETER列を問い合せます。

8.1.12 統一モードでの非アクティブなTDEマスター暗号化キーの自動削除

統一モードでは、REMOVE_INACTIVE_STANDBY_TDE_MASTER_KEY初期化パラメータにより、非アクティブなTDEマスター暗号化キーの自動削除を構成できます。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. データベースの初期化パラメータ・ファイルを特定します。
   デフォルトでは、初期化パラメータ・ファイルは、$ORACLE_HOME/dbsディレクトリにあります。
3. 初期化パラメータ・ファイルを編集して、REMOVE_INACTIVE_STANDBY_TDE_MASTER_KEY初期化パラメータを含めます。
   たとえば:

   remove_inactive_standby_tde_master_key = true

   このパラメータをTRUEに設定すると、非アクティブなTDEマスター暗号化キーの自動削除が有効になります。FALSEに設定すると、自動削除は無効になります。

8.1.13 プラガブル・データベース・キーストアの分離

PDBのキーストアを分離すると、マスター暗号化キーが、CDBルートのキーストアから、PDB内の分離モードのキーストアに移されます。

このプロセスにより、分離モードでの別個のキーストアとしてキーストアを管理できます。このようにすることで、PDBのADMINISTER KEY MANAGEMENT権限をローカルに付与された管理者は、キーストアを管理できます。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. 次の構文を使用して、CDBルートのキーストアにあるキーを、PDBの分離モードのキーストアに移動します。

   ADMINISTER KEY MANAGEMENT [FORCE] ISOLATE KEYSTORE
   IDENTIFIED BY isolated_keystore_password
   FROM ROOT KEYSTORE
   [FORCE KEYSTORE]
   IDENTIFIED BY
   [EXTERNAL STORE | united_keystore_password]
   [WITH BACKUP [USING backup_id]];

   ここでは次のように指定します。

   • FORCEは、PDBのクローンが分離されているマスター暗号化キーを使用している場合に使用されます。その場合、ADMINISTER KEY MANAGEMENT文は、CDBルートのウォレットのキーを分離モードのPDBに(移動するのではなく)コピーします。

   • FORCE KEYSTOREは、自動ログインTDEウォレットが開いている(使用中)場合や、TDEウォレットが閉じられている場合に、この操作のためにパスワードで保護されたTDEウォレットを一時的に開きます。

   • united_keystore_password: このパスワードを知っていても、ISOLATE KEYSTORE操作権限を実行するユーザーがCDBルートでADMINISTER KEY MANAGEMENT UNITE KEYSTORE操作を実行できるようになることはありません。このパスワードは、CDBルート内のキーストア・パスワードと同じです。

   CDBルートのキーストアは、PDBのキーストアと統合された後に、CDBに関連付けられた以前アクティブであった(履歴の)すべてのマスター暗号化キーが、PDBのキーストアに移動されます。
3. 統一モードのPDBが分離モードのPDBになったことを確認します。

   SELECT KEYSTORE_MODE FROM V$ENCRYPTION_WALLET;

   出力はISOLATEDとなっている必要があります。

統一モードのPDBが分離モードのPDBに変換された後は、キーストアのパスワードを変更できます。

8.2 統一モードでの透過的データ暗号化の管理

統一モードで透過的データ暗号化を使用して一般的な管理タスクを実行できます。

8.2.1 統一モードでのあるCDBから別のCDBへのPDBの移動

暗号化されたPDBを同じコンテナ・データベース内またはコンテナ・データベース間でクローニングまたは再配置できます。

SYSTEM、SYSAUX、UNDOまたはTEMP表領域が暗号化されている非CDBまたはPDBを移動し、キーの手動エクスポートまたはインポートを使用する場合は、まずPDBを作成する前に、ターゲット・データベースのCDB$ROOTにある非CDBまたはPDBのキーをインポートする必要があります。キーをPDBに関連付けるには、PDB内でキーのインポートが再度必要です。

• 次の構文を使用して非CDBまたはPDBをクローニングまたは再配置します:

  CREATE|RELOCATE PLUGGABLE DATABASE database_name KEYSTORE 
  IDENTIFIED BY EXTERNAL STORE|target_keystore_password [NO REKEY];

8.2.2 統一モードでの暗号化データを含むPDBのCDBに対するアンプラグとプラグイン

統一モードでは、暗号化データを含むPDBをCDBにプラグインできます。反対に、このPDBをCDBからアンプラグすることもできます。

8.2.2.1 統一モードでの暗号化データを含むPDBのアンプラグ

統一モードでは、暗号化データを含むPDBをアンプラグして、XMLファイルまたはアーカイブ・ファイルにエクスポートできます。

DBA_PDBSデータ・ディクショナリ・ビューのSTATUS列を問い合せることで、PDBがアンプラグされたかどうかを確認できます。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. V$ENCRYPTION_WALLET動的ビューを問い合せて、キーストアが開いていることを確認します。
3. PDBをアンプラグした場合、ALTER PLUGGABLE DATABASE文でENCRYPT USING transport_secret句を使用します。
   このプロセスでは、そのPDBに属するマスター暗号化キーがオープン・ウォレットから抽出され、transport_secret句を使用してそれらのキーが暗号化されます。
   PDBに暗号化データがある場合は、この句を使用する必要があります。それ以外の場合、「ORA-46680: コンテナ・データベースのマスター・キーをエクスポートする必要があります」エラーが返されます。
   • たとえば、PDBデータをXMLファイルにエクスポートするには、次のようにします。

     ALTER PLUGGABLE DATABASE CDB1_PDB2 
     UNPLUG INTO '/tmp/cdb1_pdb2.xml' 
     ENCRYPT USING transport_secret;

   • PDBのデータをアーカイブ・ファイルにエクスポートするには:

     ALTER PLUGGABLE DATABASE CDB1_PDB2 
     UNPLUG INTO '/tmp/cdb1_pdb2.pdb' 
     ENCRYPT USING transport_secret; 

8.2.2.2 統一モードでの暗号化データを含むPDBのCDBへのプラグイン

暗号化データを含むPDBをCDBにプラグインするには、まずPDBにプラグインしてから、そのPDBのマスター暗号化キーを作成します。

PDBをターゲットCDBにプラグインした後、このプラグインしたPDBに一意のマスター暗号化キーを作成する必要があります。これは、プラグインしたPDBが最初にソースPDBのウォレットから抽出されたキーを使用するためです。アンプラグされたPDBを別のCDBにプラグインする際、この操作は以前のキーの履歴を無効にするため、キー・バージョンは0に設定されます。キー・バージョンは、V$ENCRYPTED_TABLESPACES動的ビューのKEY_VERSIONを問い合せて確認できます。同様に、制御ファイルが失われ再作成された場合、以前のキーの履歴は0にリセットされます。DBA_PDBSデータ・ディクショナリ・ビューのSTATUS列を問い合せることで、PDBがすでにプラグインされているかどうかを確認できます。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. アンプラグされたPDBをCDBにプラグインして、PDBを作成します。

   統一モードの場合にこの操作を実行するには、DECRYPT USING transport_secret句を含めます。

   PDBのXMLまたはアーカイブ・ファイルに暗号化データが含まれている場合は、この句を使用する必要があります。それ以外の場合、「ORA-46680: コンテナ・データベースのマスター・キーをエクスポートする必要があります」エラーが返されます。

   • たとえば、PDBデータをXMLファイルにエクスポートした場合は、次のように指定します。

     CREATE PLUGGABLE DATABASE CDB1_PDB2 
     USING '/tmp/cdb1_pdb2.xml' 
     KEYSTORE IDENTIFIED BY EXTERNAL STORE|TDE_wallet_password
     DECRYPT USING transport_secret;

   • PDBをアーカイブ・ファイルにエクスポートした場合は、次のように指定します。

     CREATE PLUGGABLE DATABASE CDB1_PDB2 
     USING '/tmp/cdb1_pdb2.pdb' 
     KEYSTORE IDENTIFIED BY EXTERNAL STORE|TDE_wallet_password
     DECRYPT USING transport_secret;

   プラグ操作後のPDBのオープン操作中に、Oracle DatabaseによってPDBに暗号化データが含まれるかどうかが判別されます。その場合、PDBはRESTRICTEDモードでオープンされます。

   別のPDBをクローニングしてPDBを作成するか、非CDBからPDBを作成するときに、ソース・データベースに暗号化されたデータまたは設定されているTDEマスター暗号化キーがある場合、CREATE PLUGGABLE DATABASE ... FROM SQL文のKEYSTORE IDENTIFIED BY TDE_wallet_password句を含めることによって、ターゲットTDEウォレットのTDEウォレット・パスワードを提供する必要があります。このパスワードは、ターゲット・データベースが自動ログインTDEウォレットを使用している場合でも、指定する必要があります。V$ENCRYPTION_KEYS動的ビューを問い合せることで、ソース・データベースに暗号化されたデータがあるかどうかや、TDEウォレットでTDEマスター暗号化キーが設定されているかどうかを確認できます

3. PDBをオープンします。

   ALTER PLUGGABLE DATABASE pdb_name OPEN;

4. 次のいずれかの方法を使用して、CDBルートのTDEウォレットを開きます:
   • CDBのTDEウォレットが開いていない場合は、次の構文を使用して、コンテナおよび開いているすべてのPDBに対して開きます:

     ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN [FORCE KEYSTORE] 
     IDENTIFIED BY EXTERNAL STORE|KEYSTORE_PASSWORD CONTAINER = ALL;

   • CDBのTDEウォレットが開いている場合は、プラグインしたPDBに接続し、次の構文を使用してキーストアを開きます:

     ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN [FORCE KEYSTORE] 
     IDENTIFIED BY EXTERNAL STORE|KEYSTORE_PASSWORD [CONTAINER = CURRENT];

5. 必要に応じて、PDB内のキーストアを開きます。
6. プラグインしたPDBで、次の構文を使用してPDBのTDEマスター暗号化キーを設定します。

   ADMINISTER KEY MANAGEMENT SET KEY
   [FORCE KEYSTORE]
   IDENTIFIED BY EXTERNAL STORE|TDE_wallet_password
   WITH BACKUP [USING 'backup_identifier'];

8.2.2.3 統一モードでの外部キーストアにマスター暗号化キーが格納されたPDBのアンプラグ

外部キーストアを使用するように構成されたCDBからPDBをアンプラグした後、それを同様に外部キーストアを使用するように構成された別のCDBにプラグインできます。

1. PDBを切断します。
   PDBがすでにアンプラグされているかどうかを確認するには、DBA_PDBSデータ・ディクショナリ・ビューのSTATUS列を問い合せます。
2. ソースCDBで使用されていた外部キーストア内のアンプラグされたPDBのマスター暗号化キーを、宛先CDBで使用中の外部キーストアに移動します。

   外部キーストア間でのマスター暗号化キーの移動の詳細は、外部キーストアのドキュメントを参照してください。

8.2.2.4 統一モードでの外部キーストアにマスター暗号化キーが格納されたPDBのプラグイン

ADMINISTER KEY MANAGEMENT文を使用すると、TDEマスター暗号化キーを外部キーストアから、別のCDBに移動したPDBにインポートできます。

1. アンプラグされたPDBを、外部キーストアを使用するように構成された宛先CDBにプラグインします。
   PDBがすでにプラグインされているかどうかを確認するには、DBA_PDBSデータ・ディクショナリ・ビューのSTATUS列を問い合せます。
   プラグイン操作の後、プラグインされたPDBは制限モードになります。
2. ソースCDBを使用するように構成された外部キーストアのマスター暗号化キーが、宛先CDBの外部キーストアで使用可能であることを確認します。
3. ADMINISTER KEY MANAGEMENTまたはSYSKM権限を付与されたユーザーとして、プラグインされたPDBに接続します。
4. プラグされたPDBのマスター暗号化キーを開きます。

   たとえば:

   ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN 
   IDENTIFIED BY keystore_passsword;

5. 外部キーストアのマスター暗号化キーをPDBにインポートします。

   ADMINISTER KEY MANAGEMENT IMPORT ENCRYPTION KEYS 
   WITH SECRET "OKV" FROM 'OKV' 
   IDENTIFIED BY keystore_password; 

6. PDBを再起動します。

   ALTER PLUGGABLE DATABASE PDB1 CLOSE;
   ALTER PLUGGABLE DATABASE PDB1 OPEN;

8.2.3 統一モードでの暗号化データを含むクローニングされたPDBの管理

統一モードでは、暗号化データを含むPDBをCDBでクローニングできます。

8.2.3.1 統一モードでの暗号化データを含むクローニングされたPDBの管理について

PDBをクローニングする際、ソースPDBのマスター暗号化キーをクローニングされたPDBが使用できるようにしておく必要があります。

これにより、クローニングされたPDBが暗号化データに対して操作を行うことができます。クローニングされたPDBがリモートのCDBにある場合であっても、Oracle Databaseがキーを転送するため、クローニングを実行するためにキーをエクスポートまたはインポートする必要はありません。ただし、クローンを作成するCDBのキーストア・パスワードは指定する必要があります。

PDBに暗号化されたデータがある場合は、CDB間でPDBのリモート・クローニング操作を実行し、CDB間でPDBを再配置できます。

8.2.3.2 統一モードでの暗号化データを含むPDBのCDBへのクローニング

KEYSTORE IDENTIFIED BY句を含むCREATE PLUGGABLE DATABASE文によって、暗号化データを含むPDBをクローニングできます。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. V$ENCRYPTION_WALLET動的ビューのSTATUS列を問い合せて、キーストアがCDBルートで開いていることを確認します。
3. ADMINISTER KEY MANAGEMENTおよびCREATE PLUGGABLE DATABASE権限が付与されたユーザーとして、PDBにログインします。
4. PDBをクローニングするには、CREATE PLUGGABLE DATABASE文をKEYSTORE IDENTIFIED BY句を指定して使用します。

   たとえば:

   CREATE PLUGGABLE DATABASE cdb1_pdb3 
   FROM cdb1_pdb1 
   FILE_NAME_CONVERT=('cdb1_pdb1', 'pdb3/cdb1_pdb3') KEYSTORE 
   IDENTIFIED BY EXTERNAL STORE|keystore_password [NO REKEY];

   keystore_passwordをcdb1_pdb3クローンが作成されるCDBのキーストアのパスワードに置き換えます。

   デフォルトでは、PDBのクローニング操作または再配置操作中に、データ暗号化キーがキー更新され、すべての暗号化された表領域が再暗号化されます。このキー更新操作により、大規模なPDBのクローニングまたは再配置にかかる時間が長くなる場合があります。オプションのNO REKEY句を使用すると、データ暗号化キーは更新されず、暗号化された表領域は再暗号化されません。

   クローニングされたPDBの作成後、暗号化データは、元のPDBのマスター暗号化キーを使用して、クローンにより引き続きアクセスできます。PDBがクローニングされた後、暗号化された表領域にユーザー・データがある場合があります。ソースPDBのマスター暗号化キーが宛先PDBにコピーされているため、この暗号化データには引き続きアクセスできます。クローンはソースPDBのコピーでありながらも、最終的には独自の動作に従い、独自のデータおよびセキュリティ・ポリシーを持つため、クローニングされたPDBのマスター暗号化キーをキー更新する必要があります。
5. クローニングされたPDBのマスター暗号化キーをキー更新します。

   たとえば:

   ADMINISTER KEY MANAGEMENT SET KEY 
   FORCE KEYSTORE
   IDENTIFIED BY keystore_password 
   WITH BACKUP USING 'emp_key_backup';

   キーストアはキー更新操作中に開いている必要があるため、この例では、FORCE KEYSTOREが含まれています。

   クローニングされたPDBのマスター暗号化キーをキー更新するまで、クローンでは引き続き元のPDBのマスター暗号化キーを使用できます。ただし、これらのマスター暗号化キーは、クローニングされたPDBのV$動的ビューには表示されません。マスター暗号化キーをキー更新すると、クローニングされたPDBで独自の一意のキーが使用されるようになり、そのキーがV$ビューに表示されます。

8.2.3.3 統一モードでの暗号化されたPDBのリモートからのクローニング

KEYSTORE IDENTIFIED BY句を含むCREATE PLUGGABLE DATABASE文によって、暗号化データを含むPDBをリモートからクローニングできます。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. V$ENCRYPTION_WALLET動的ビューのSTATUS列を問い合せて、キーストアがCDBルートで開いていることを確認します。
3. ターゲット・データベースのこのルート・コンテナで、ソースCDBのルート・コンテナに接続するデータベース・リンクを作成します。

   CREATE DATABASE LINK clone_link 
   CONNECT TO C##REMOTE_CLONE_USER 
   IDENTIFIED BY C##REMOTE_CLONE_USER_PASSWORD 
   USING '//source_ip_address:port/DB_NAME';

4. PDBのクローニングを実行するには、CREATE PLUGGABLE DATABASE文をKEYSTORE IDENTIFIED BY句を指定して使用します。

   たとえば:

   CREATE PLUGGABLE DATABASE cdb1_pdb3 
   FROM cbd_1_pdb1@clone_link 
   FILE_NAME_CONVERT=('cdb1_pdb1', 'pdb3/cdb1_pdb3') KEYSTORE 
   KEYSTORE IDENTIFIED BY EXTERNAL STORE|keystore_password;

   keystore_passwordをcdb1_pdb3クローンが作成されるCDBのキーストアのパスワードに置き換えます。

   クローニングされたPDBの作成後、暗号化データは、元のPDBのマスター暗号化キーを使用して、クローンにより引き続きアクセスできます。PDBがクローニングされた後、暗号化された表領域にユーザー・データがある場合があります。ソースPDBのマスター暗号化キーが宛先PDBにコピーされているため、この暗号化データには引き続きアクセスできます。クローンはソースPDBのコピーでありながらも、最終的には独自の動作に従い、独自のデータおよびセキュリティ・ポリシーを持つため、クローニングされたPDBのマスター暗号化キーをキー更新する必要があります。
5. リモートからクローニングされたPDBのマスター暗号化キーをキー更新します。

   たとえば:

   ADMINISTER KEY MANAGEMENT SET KEY 
   FORCE KEYSTORE
   IDENTIFIED BY keystore_password 
   WITH BACKUP USING 'emp_key_backup';

   キーストアはキー更新操作中に開いている必要があるため、この例では、FORCE KEYSTOREが含まれています。

   クローニングされたPDBのマスター暗号化キーをキー更新するまで、クローンでは引き続き元のPDBのマスター暗号化キーを使用できます。ただし、これらのマスター暗号化キーは、クローニングされたPDBのV$動的ビューには表示されません。マスター暗号化キーをキー更新すると、クローニングされたPDBで独自の一意のキーが使用されるようになり、そのキーがV$ビューに表示されます。

8.2.3.4 統一モードでの暗号化されたPDBの再配置

KEYSTORE IDENTIFIED BY句を含むCREATE PLUGGABLE DATABASE文によって、暗号化データを含むPDBをCDB間で再配置できます。

1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与された一般ユーザーとして、CDBルートに接続します。
2. V$ENCRYPTION_WALLET動的ビューのSTATUS列を問い合せて、キーストアがCDBルートで開いていることを確認します。
3. クローニングするPDBのデータベース・リンクを作成します。
   データベース・リンクを作成するには、CREATE DATABASE LINK SQL文を使用します。リモートPDBのクローニングに必要なデータベース・リンクの前提条件に従って、データベース・リンクを作成する必要があります。
4. PDBを再配置するには、CREATE PLUGGABLE DATABASE文をKEYSTORE IDENTIFIED BY句を指定して使用します。

   たとえば:

   CREATE PLUGGABLE DATABASE cdb1_pdb3 
   FROM cdb1_pdb1@clone_link RELOCATE [AVAILABILITY MAX] 
   [FILE_NAME_CONVERT=('cdb1_pdb1', 'pdb3/cdb1_pdb3')] 
   KEYSTORE IDENTIFIED BY EXTERNAL STORE|keystore_password;

   keystore_passwordをcdb1_pdb3クローンが作成されるCDBのキーストアのパスワードに置き換えます。

   PDBを再配置した後も、ソースPDBのマスター暗号化キーが宛先PDBにコピーされているため、暗号化データには引き続きアクセスできます。再配置されたPDBはソースPDBのコピーですが、最終的には独自のコースに従い、独自のデータおよびセキュリティ・ポリシーを持ちます。したがって、クローニングされたPDBのマスター暗号化キーをキー更新する必要があります。
5. ADMINISTER KEY MANAGEMENT権限またはSYSKM権限を付与されたユーザーとしてPDBに接続します。
6. 再配置されたPDBのマスター暗号化キーをキー更新します。

   たとえば:

   ADMINISTER KEY MANAGEMENT SET KEY 
   [FORCE KEYSTORE]
   IDENTIFIED BY EXTERNAL STORE|keystore_password 
   WITH BACKUP [USING 'emp_key_backup'];

   キーストアはキー更新操作中に開いている必要があるため、この例では、FORCE KEYSTOREが含まれています。

   クローニングされたPDBのマスター暗号化キーをキー更新するまで、クローンでは引き続き元のPDBのマスター暗号化キーを使用できます。ただし、これらのマスター暗号化キーは、クローニングされたPDBのV$動的ビューには表示されません。マスター暗号化キーをキー更新すると、クローニングされたPDBで独自の一意のキーが使用されるようになり、そのキーがV$ビューに表示されます。

8.2.4 統一モードでのキーストアの開閉操作の機能

統一モードでキーストアの開閉操作がどのように機能するかを知っておく必要があります。

統一モードの各PDBに関して、透過的データ暗号化の操作が続行できるように、パスワードで保護されたTDEウォレットまたは外部キーストアをPDBで明示的に開く必要があります。(自動ログインTDEウォレットとローカル自動ログインTDEウォレットは自動的に開きます。)PDBのキーストアを閉じることによって、PDBのすべての透過的データ暗号化操作がブロックされます。

PDBにおけるキーストアの開閉操作は、CDBルートにおけるキーストアの開閉ステータスに依存します。

次の点に注意してください。

• 統一モードの各PDBについて個別のキーストアのパスワードを作成できます。

• パスワードで保護されたTDEウォレットまたは外部キーストアを個々のPDBで手動で開く前に、CDBルートでウォレットまたはキーストアを開く必要があります。

• 自動ログインTDEウォレットが使用されているか、キーストアが閉じている場合は、ウォレットを開くときに、ADMINISTER KEY MANAGEMENT文にFORCE KEYSTORE句を含めます。

• キーストアがパスワードで保護されたTDEウォレット(パスワードのために外部ストアを使用するウォレット)の場合は、IDENTIFIED BY句のパスワードをEXTERNAL STOREに置き換えます。

• 個々のPDBでTDEマスター暗号化キーを設定するには、事前にCDBルートでキーを設定する必要があります。PDBにキーを設定するときにUSING TAG句を含めることをお薦めします。たとえば:

  SELECT ' ADMINISTER KEY MANAGEMENT SET KEY 
  USING TAG '''||SYS_CONTEXT('USERENV', 'CON_NAME')||' '||TO_CHAR (SYSDATE, 'YYYY-MM-DD HH24:MI:SS')||''' 
  FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE 
  WITH BACKUP CONTAINER = CURRENT;' AS "SET KEY COMMAND" FROM DUAL;

  USING TAG句を含めると、特定のPDBに属するキーと、それらがいつ作成されたかを迅速かつ容易に識別できます。

• 自動ログインTDEウォレットとローカル自動ログインTDEウォレットは自動的に開きます。これらを最初にCDBルートからまたはPDBから、手動で開く必要はありません。

• CDBルートでキーストアを閉じると、これに依存するPDBのキーストアも閉じます。rootにおいてキーストアを閉じる操作は、CONTAINER句がALLに設定されていてキーストアを閉じる操作を実行することと同等です。

• CDBルートでADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN文を実行し、CONTAINER句をALLに設定した場合、キーストアは、統一モードで構成されている各オープンPDBでのみ開くことになります。分離モードで構成されているPDBのキーストアはオープンされません。

8.2.5 統一モードでのすべてのPDBのキーストア・ステータスの確認

V$ENCRYPTION_WALLETビューを使用する便利なファンクションを作成して、CDBにおけるすべてのPDBのキーストアのステータスを確認できます。

V$ENCRYPTION_WALLETビューでは、PDBのキーストアのステータス(開いているか、閉じているか、ソフトウェアまたは外部キーストアを使用しているかなど)が表示されます。

• V$ENCRYPTION_WALLETビューを使用してキーストアのステータスを検出するファンクションを作成するには、CREATE PROCEDURE PL/SQL文を使用します。

例8-3では、このファンクションを作成する方法を示しています。

例8-3 CDBにおけるすべてのPDBに関するキーストアのステータスを確認するファンクション

CREATE OR REPLACE PROCEDURE all_pdb_v$encryption_wallet
IS
    err_occ            BOOLEAN;
    curr_pdb           VARCHAR2(30);
    pdb_name           VARCHAR2(30);
    wrl_type           VARCHAR2(20);
    status             VARCHAR2(30);
    wallet_type        VARCHAR2(20);
    wallet_order       VARCHAR2(12);
    fully_backed_up    VARCHAR2(15);
    wrl_parameter      VARCHAR2(4000);
    cursor sel_pdbs IS SELECT NAME FROM V$CONTAINERS
                       WHERE NAME <> 'PDB$SEED' order by con_id desc;
  BEGIN
 
    -- Store the original PDB name
    SELECT sys_context('userenv', 'con_name') INTO curr_pdb FROM DUAL;
    IF curr_pdb <> 'CDB$ROOT' THEN
      dbms_output.put_line('Operation valid in ROOT only');
    END IF;
 
    err_occ := FALSE;
    dbms_output.put_line('---');
    dbms_output.put_line('PDB_NAME                       WRL_TYPE STATUS                        ');
    dbms_output.put_line('------------------------------ -------- ------------------------------');
    dbms_output.put_line('WALLET_TYPE          WALLET_ORDER FULLY_BACKED_UP');
    dbms_output.put_line('-------------------- ------------ ---------------');
    dbms_output.put_line('WRL_PARAMETER');
    dbms_output.put_line('--------------------------------------------------------------------------');
    FOR pdbinfo IN sel_pdbs LOOP
 
      pdb_name := DBMS_ASSERT.ENQUOTE_NAME(pdbinfo.name, FALSE);
      EXECUTE IMMEDIATE 'ALTER SESSION SET CONTAINER = ' || pdb_name;
 
      BEGIN
        pdb_name := rpad(substr(pdb_name,1,30), 30, ' ');
        EXECUTE IMMEDIATE 'SELECT wrl_type from V$ENCRYPTION_WALLET' into wrl_type; 
        wrl_type := rpad(substr(wrl_type,1,8), 8, ' ');
        EXECUTE IMMEDIATE 'SELECT status from V$ENCRYPTION_WALLET' into status;
        status := rpad(substr(status,1,30), 30, ' ');
        EXECUTE IMMEDIATE 'SELECT wallet_type from V$ENCRYPTION_WALLET' into wallet_type;
        wallet_type := rpad(substr(wallet_type,1,20), 20, ' ');
        EXECUTE IMMEDIATE 'SELECT wallet_order from V$ENCRYPTION_WALLET' into wallet_order;        
        wallet_order := rpad(substr(wallet_order,1,9), 12, ' ');
        EXECUTE IMMEDIATE 'SELECT fully_backed_up from V$ENCRYPTION_WALLET' into fully_backed_up;
        fully_backed_up := rpad(substr(fully_backed_up,1,9), 15, ' ');
        EXECUTE IMMEDIATE 'SELECT wrl_parameter from V$ENCRYPTION_WALLET' into wrl_parameter;
        wrl_parameter := rpad(substr(wrl_parameter,1,79), 79, ' ');
        dbms_output.put_line(pdb_name || ' ' || wrl_type || ' ' || status);
        dbms_output.put_line(wallet_type || ' ' || wallet_order || ' ' || fully_backed_up);
        dbms_output.put_line(wrl_parameter);
 
      EXCEPTION
        WHEN OTHERS THEN
        err_occ := TRUE;
      END;
    END LOOP;
 
    IF err_occ = TRUE THEN
       dbms_output.put_line('One or more PDB resulted in an error');
    END IF;
  END;
.
/
set serveroutput on
exec all_pdb_v$encryption_wallet;