機械翻訳について

Oracle Exadata Database Service on Exascale InfrastructureのOracle Database機能の構成

Oracle Exadata Database Service on Exascale Infrastructureインスタンスに対してOracle Multitenant、表領域暗号化およびその他のオプションを構成する方法を学習します。

親トピック: How-toガイド

Oracle Exadata Database Service on Exascale InfrastructureインスタンスでのOracle Multitenantの使用

Oracle Exadata Database Service on Exascale Infrastructureでマルチテナント環境を使用する場合の様々な機能の要件について学習します。

Oracle Exadata Database Service on Exascale Infrastructureインスタンスを作成すると、Oracle Multitenant環境が作成されます。

マルチテナント・アーキテクチャにより、Oracle Databaseは、ゼロ、1つまたは多数のプラガブル・データベース(PDB)を含むマルチテナント・コンテナ・データベース(CDB)として機能できます。 PDBは、Oracle Netクライアントに非CDBとして表示されるスキーマ、スキーマ・オブジェクトおよび非スキーマ・オブジェクトのポータブル・コレクションです。

プラガブル・データベース(PDB)でOracle Transparent Data Encryption (TDE)を使用するには、PDBのマスター暗号化キーを作成してアクティブにする必要があります。

マルチテナント環境では、各PDBに、すべてのコンテナによって使用される単一キーストアに格納される独自のマスター暗号化キーがあります。

Oracle Exadata Database Service on Exascale InfrastructureインスタンスCDBに接続する暗号化されたPDBのマスター暗号化キーをエクスポートおよびインポートする必要があります。

ソースPDBが暗号化されている場合は、マスター暗号化キーをエクスポートしてからインポートする必要があります。

PDB内からTDEマスター暗号化キーをエクスポートおよびインポートすることで、PDBに属するすべてのTDEマスター暗号化キーをエクスポートおよびインポートできます。 TDEマスター暗号化キーのエクスポートおよびインポートでは、PDBのアンプラグおよびプラグ操作がサポートされます。 PDBのアンプラグとプラグでは、PDBに属するすべてのTDEマスター暗号化キー、およびメタデータが対象になります。

「Oracle Database上級セキュリティ・ガイド」「Transparent Data Encryptionとその他のOracle機能の使用」を参照してください。

「Oracle Database SQL言語リファレンス」「キー管理の管理」を参照してください。

関連トピック

親トピック: Oracle Exadata Database Service on Exascale InfrastructureのOracle Database機能の構成

PDBの暗号化キーを作成してアクティブ化する必要があるかどうかを判断

  1. SQL*Plusを起動し、SYSDBA権限を持つSYSユーザーとしてデータベースにログインします。

  2. コンテナをPDBに設定します:

    SQL> ALTER SESSION SET CONTAINER = pdb;

  3. V$ENCRYPTION_WALLETを次のように問い合せます。 

    SQL> SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;

    STATUS列にOPEN_NO_MASTER_KEY,の値が含まれている場合、マスター暗号化キーを作成して有効化する必要があります。

親トピック: Oracle Exadata Database Service on Exascale InfrastructureインスタンスでのOracle Multitenantの使用

PDB内にマスター暗号化キーを作成し、アクティブ化するには

  1. コンテナをPDBに設定します:

    SQL> ALTER SESSION SET CONTAINER = pdb;

  2. 次のコマンドを実行して、PDBのマスター暗号化キーを作成および有効化します。

    SQL> ADMINISTER KEY MANAGEMENT SET KEY USING TAG 'tag' FORCE KEYSTORE IDENTIFIED BY keystore-password WITH BACKUP USING 'backup_identifier';

    直前のコマンドで:

    • keystore-passwordはキーストア・パスワードです。 デフォルトでは、キーストア・パスワードは、データベースの作成時に指定された管理パスワードの値に設定されます。
    • オプションのUSING TAG 'tag'句を使用して、タグを新しいマスター暗号化キーに関連付けることができます。
    • WITH BACKUP句とオプションのUSING 'backup_identifier'句を使用して、新しいマスター暗号化キーが作成される前に、キーストアのバックアップを作成することができます。

    「Oracle DatabaseリリースのSQL言語リファレンス」 1918または12.2ADMINISTER KEY MANAGEMENTも参照してください。

    ノート:

    キーストアの使用中にキー管理操作を有効にするために、Oracle Database 12cリリース2以上では、ADMINISTER KEY MANAGEMENTコマンドにFORCE KEYSTOREオプションが含まれています。 このオプションは、Oracle Database 12cリリース1およびOctober 2017以降のバンドル・パッチでも使用できます。

    Oracle Database 12cリリース1データベースに2017年10月以降のバンドル・パッチがインストールされていない場合は、次の代替ステップを実行できます:

    1. キーストアを閉じます。
    2. パスワードベースのキーストアを開きます。
    3. FORCE KEYSTOREオプションを指定せずにADMINISTER KEY MANAGEMENTを使用して、PDBでマスター暗号化キーを作成してアクティブ化します。
    4. ADMINISTER KEY MANAGEMENTCREATE AUTO_LOGIN KEYSTORE FROM KEYSTOREオプションとともに使用して、自動ログイン・キーストアを更新します。

  3. V$ENCRYPTION_WALLETを再び問い合せて、STATUS列がOPENに設定されていることを確認します: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;

  4. V$INSTANCEを問い合せて、新しく更新されたキーストア・ファイルを含むデータベース・サーバーを識別するHOST_NAME列の値をノートにとります: 

    SQL> SELECT host_name FROM v$instance;

  5. 更新されたキーストア・ファイルを他のすべてのデータベース・サーバーにコピーします。

    更新後のキーストアを配布するには、更新後のキーストア・ファイルが含まれていない各データベース・サーバーに対して次のアクションを実行する必要があります:

    1. ルート・コンテナに接続し、V$ENCRYPTION_WALLETを問い合せます。 WRL_PARAMETER列に含まれるキーストアの場所をノートにとります: 

      SQL> SELECT wrl_parameter, status FROM v$encryption_wallet;

    2. 更新したキーストア・ファイルをコピーします。

      更新済のデータベース・サーバーから、すべての更新済キーストア・ファイルをコピーする必要があります。 V$ENCRYPTION_WALLETWRL_PARAMETER列で確認されるキーストアの場所を使用します。

    更新したキーストアを開きます:
    SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE open FORCE KEYSTORE IDENTIFIED BY keystore-password CONTAINER=all;

    ノート:

    キーストアの使用中にキー管理操作を有効にするために、Oracle Database 12cリリース2以上では、ADMINISTER KEY MANAGEMENTコマンドにFORCE KEYSTOREオプションが含まれています。 このオプションは、Oracle Database 12cリリース1およびOctober 2017以降のバンドル・パッチでも使用できます。

    Oracle Database 12cリリース1データベースに2017年10月以降のバンドル・パッチがインストールされていない場合は、次の代替ステップを実行できます:

    1. 更新されたキーストア・ファイルをコピーする前に、キーストアを閉じます。
    2. 更新したキーストア・ファイルをコピーします。
    3. FORCE KEYSTOREオプションを指定せずにADMINISTER KEY MANAGEMENTを使用して、更新したキーストアを開きます。

  6. GV$ENCRYPTION_WALLETを問い合せて、すべてのデータベース・インスタンスでSTATUS列がOPENに設定されていることを確認します: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM gv$encryption_wallet;

親トピック: Oracle Exadata Database Service on Exascale InfrastructureインスタンスでのOracle Multitenantの使用

暗号化キーをエクスポートおよびインポートするには

  1. マスター暗号化キーをエクスポートします。
    1. SQL*Plusを起動し、PDBにログインします。

    2. 次のコマンドを実行します。

      SQL> ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "secret" TO 'filename' IDENTIFIED BY keystore-password;
  2. マスター暗号化キーをインポートします。
    1. SQL*Plusを起動し、PDBにログインします。

    2. 次のコマンドを実行します。

      SQL> ADMINISTER KEY MANAGEMENT IMPORT ENCRYPTION KEYS WITH SECRET "secret" FROM 'filename' IDENTIFIED BY keystore-password;

親トピック: Oracle Exadata Database Service on Exascale InfrastructureインスタンスでのOracle Multitenantの使用

表領域の暗号化の管理

Oracle Exadata Database Service on Exascale Infrastructureでの表領域暗号化の実装方法について学習

デフォルトでは、Exadataデータベースに作成するすべての新しい表領域が暗号化されます。

ただし、データベースの作成時に最初に作成される表領域は、デフォルトでは暗号化されない場合があります。

  • Oracle Database 12cリリース2以降を使用するデータベースの場合、データベースの作成時に最初に作成されたUSERS表領域のみが暗号化されます。 USERS以外の表領域を含む他の表領域は暗号化されません:
    • ルート・コンテナ(CDB$ROOT)。
    • シード・プラガブル・データベース(PDB$SEED)。
    • データベースの作成時に作成される最初のPDB。
  • Oracle Database 12cリリース1またはOracle Database 11gを使用するデータベースの場合、データベースの作成時に最初に作成された表領域はいずれも暗号化されません。

Exadataでの表領域暗号化の実装、および様々なデプロイメント・シナリオへの影響の詳細は、次を参照してください:

「Oracle CloudでのOracle Database表領域の暗号化動作(ドキュメントID 2359020.1)」

暗号化された表領域の作成

ユーザー作成された表領域は、デフォルトで暗号化されます。

デフォルトでは、SQL CREATE TABLESPACEコマンドを使用して作成された新しい表領域は、AES128暗号化アルゴリズムで暗号化されます。 デフォルトの暗号化を使用するためにUSING 'encrypt_algorithm'句を含める必要はありません。

CREATE TABLESPACEコマンドにUSING 'encrypt_algorithm'句を含めることで、サポートされている別のアルゴリズムを指定できます。 サポートされているアルゴリズムは、AES256、AES192、AES128および3DES168です。

表領域の暗号化の管理

ソフトウェア・キーストア (Oracle Database 11gではOracleウォレットと呼ばれる)、マスター暗号化キー、および暗号化をデフォルトで有効にするかどうかの制御を管理できます。

マスター暗号化キーの管理

表領域の暗号化では、2層式のキー・ベースのアーキテクチャを使用して表領域を透過的に暗号化(および復号化)します。 マスター暗号化キーは、外部のセキュリティ・モジュール(ソフトウェア・キーストア)内で保管されます。 このマスター暗号化キーを使用して表領域の暗号化キーを暗号化し、これを使用して表領域でデータを暗号化および復号化します。

Exadata Cloud Serviceインスタンスでデータベースが作成されると、ローカル・ソフトウェア・キーストアが作成されます。 キーストアはコンピュート・ノードに対してローカルであり、データベース作成プロセス中に指定された管理パスワードによって保護されます。 自動ログインのソフトウェア・キーストアは、データベースが起動されたときに自動的に開かれます。

ADMINISTER KEY MANAGEMENT SQL文を使用して、マスター暗号化キーを変更(ローテーション)できます。 たとえば: 

SQL> ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY USING TAG 'tag'
IDENTIFIED BY password WITH BACKUP USING 'backup';
keystore altered.

「Oracle Database上級セキュリティ・ガイド」のTDEマスター暗号化キーの管理に関する項を参照してください。

デフォルトの表領域の暗号化の制御

ENCRYPT_NEW_TABLESPACES初期化パラメータは、新しい表領域のデフォルトの暗号化を制御します。 Exadataデータベースでは、このパラメータはデフォルトでCLOUD_ONLYに設定されます。

このパラメータの値は、次のとおりです。

説明
ALWAYS 作成時に、ENCRYPTION句に別のアルゴリズムが指定されていないかぎり、表領域はAES128アルゴリズムで透過的に暗号化されます。
CLOUD_ONLY Exadataデータベースに作成された表領域は、ENCRYPTION句に別のアルゴリズムが指定されていないかぎり、AES128アルゴリズムで透過的に暗号化されます。 非クラウド・データベースの場合、表領域はENCRYPTION句が指定されている場合にのみ暗号化されます。 ENCRYPTION がデフォルト値です。
DDL 作成中、表領域はデフォルトでは透過的に暗号化されず、ENCRYPTION句が指定された場合にのみ暗号化されます。

ノート:

Oracle Database 12cリリース2 (12.2)以降では、Exadataデータベースに暗号化されていない表領域を作成できなくなりました。 ENCRYPT_NEW_TABLESPACESDDLに設定し、ENCRYPTION句を指定せずにCREATE TABLESPACEコマンドを発行すると、エラー・メッセージが返されます。

関連トピック

親トピック: Oracle Exadata Database Service on Exascale InfrastructureのOracle Database機能の構成