1. Microservices Architectureドキュメント
  2. 保護
  3. Oracle GoldenGateセキュリティ機能: 実装
  4. 証跡ファイルの暗号化
  5. Oracle GoldenGateでのOracle Key Vault証跡ファイルの暗号化の使用

Oracle GoldenGateでのOracle Key Vault証跡ファイルの暗号化の使用

Oracle GoldenGate Microservices ArchitectureでOracle Key Vault (OKV)を使用するメリットについて学習します。Oracle GoldenGateでOKVを構成するためのシステム要件、Oracle GoldenGateで使用可能なプロセスおよびパラメータを決定します。

次の図は、Oracle GoldenGate環境でのOracle Key Vaultの設定およびワークフローを示しています。
この図は、KMSで管理されるマスター暗号化キーのライフサイクルを示しています。証跡ファイル暗号化マスター・キーは、Oracle GoldenGateによってディスクに格納されません。分散サービスおよびレシーバ・サービスは、Web Secure Socket (wss)プロトコルを使用してセキュアなTLSネットワークを介して接続します。

図に示すように、Oracle GoldenGateでデプロイメントの暗号化プロファイルを構成するときに、キー管理システムとしてKey Vault (OKV)を選択できます。この暗号化プロファイルは、分散パスを使用して証跡ファイルを転送し、RECVPATHプロセスを使用してもう一方の側でファイルを受信する前に、Extract、Replicatプロセスがマスター・キーを格納および適用するのに使用されます。Web Secure Socket (WSS)プロトコルは、DISTPATHとRECVPATH間の接続を検証して、セキュアな通信チャネルを確立するために使用されます。

Oracle Key Vaultの機能

Oracle GoldenGate 23ai以降のリリースでは、証跡ファイル暗号化にOracle Key Vault 21.8がサポートされています。次の表に、Oracle Key Vault (OKV)の動作と機能を示します。

OKVの構成の詳細は、Oracle Key Vaultのインストールと構成を参照してください。

KMS名 KMSタイプ タグのサポート キーのインポートのサポート

Oracle Key Vault

バージョニングのためのキー名属性とカスタム属性

はい

 はい

Oracle GoldenGateでOKVを構成するための前提条件

Oracle GoldenGateでOKVを設定するための前提条件について学習します。

次のステップは、Oracle GoldenGateインスタンスが実行されているマシンのOKV構成の場合です。

  1. Oracle GoldenGateがデプロイメントと同じシステム・ユーザーとしてデプロイされるOKVサーバーから、okvrestservices.jarをダウンロードします。

  2. エンドポイント・ファイル(okvclient.jar)を、Oracle GoldenGateがデプロイメントと同じシステム・ユーザーとしてデプロイされるOKVサーバーからダウンロードしてインストールします。次に例を示します。

    OS> java -jar okvclient.jar -d /u01/app/oracle/OKV

  3. キーを作成します。ウォレットの名前は、OKV管理者によって指定されます。次の例は、キーの作成方法を示しています。
    OS> java -jar okvrestservices.jar kmip 
        --config /u01/app/oracle/OKV/conf/okvclient.ora
        --service create_key 
        --algorithm AES 
        --length 256 
        --mask "ENCRYPT,DECRYPT,TRANSLATE_ENCRYPT,TRANSLATE_DECRYPT,TRANSLATE_WRAP,TRANSLATE_UNWRAP" 
        --wallet OKV_WALLET76876ABA-B06D-4F35-BF7C-D9306D29764B
    また、次の例に示すように、独自のキーを登録することもできます。
    OS>java -jar okvrestservices.jar kmip 
            --config ./conf/okvclient.ora --service reg_key -ENCRYPT,DECRYPT,TRANSLATE_ENCRYPT,TRANSLATE_DECRYPT,TRANSLATE_WRAP,TRANSLATE_UNWRAP 
            --wallet OGG_WALLET 
            --object /u01/key.txt64B3AAD0-BE77-1821-E053-0100007FD178

  4. OKV_HOME環境変数を設定します。

    OS> setenv OKV_HOME /u01/app/oracle/OKV

    サブディレクトリ構造には、OKV環境に必要なライブラリ、バイナリおよび構成ファイルが含まれています。OKVサーバーでの構成の詳細は、『Oracle Key Vault管理ガイド』Oracle Key Vaultのインストールと構成を参照してください。

  5. 次の例に示すように、キーをアクティブ化します。
    OS> java -jar okvrestservices.jar kmip 
            --config /u01/app/oracle/OKV/conf/okvclient.ora
            --service activate 
            --uid 76876ABA-B06D-4F35-BF7C-D9306D29764B
INFO: Success

  6. Oracle GoldenGate関連のキー属性(KeyName、KeyVersion)を構成に追加します。キー名は、Oracle GoldenGate内で作成されたKMS暗号化プロファイルのマスター・キー名と一致する必要があります。キー値はマスター・キーのバージョン番号と一致する必要があります。

    OS> java -jar okvrestservices.jar kmip 
            --config /u01/app/oracle/OKV/conf/okvclient.ora
            --service add_custom_attr 
            --uid 76876ABA-B06D-4F35-BF7C-D9306D29764B 
            --attribute x-OGG-KeyName 
            --type TEXT 
            --value OGG_Masterkey 
INFO: Success
    OS> java -jar okvrestservices.jar kmip 
            --config /u01/app/oracle/OKV/conf/okvclient.ora
            --service add_custom_attr 
            --uid 76876ABA-B06D-4F35-BF7C-D9306D29764B 
            --attribute x-OGG-KeyVersion 
            --type TEXT 
            --value 1
INFO: Success

  7. okvutilを使用して構成設定をリストし、エンドポイントのステータスを確認します。次に例を示します。 

    OS>okvutil list -v 4
okvutil version 18.2.0.0.0
Endpoint type: Oracle (non-database)
Configuration file: /u01/app/oracle/OKV/conf/okvclient.ora
Server: 10.245.64.45:5696 10.245.64.46:5696
Standby Servers:Read Servers: 10.245.64.48:5696
Auto-login wallet found, no password needed
Trying to connect to 10.245.64.45:5696 ...
Connected to 10.245.64.45:5696.
Unique ID Type Identifier
72B673E8-840B-4AD6-8400-CB77B68D74B5 Template Default template for OGG_EP
76876ABA-B06D-4F35-BF7C-D9306D29764B Symmetric Key -

この次のステップでは、Oracle GoldenGate内のAdmin Clientから管理を実施します。

Oracle Key Vaultの異なるキー状態に対するクライアントの動作

次の表に、様々な証跡暗号化キーの状態に応じたライター(Extract)またはリーダー(Replicat)のクライアント・プロセスの相対的な動作を示します。

マスター・キーが抽出可能でない場合は、OKV暗号化操作でリモート暗号化が使用されていることを意味します。つまり、マスター・キーをOKVから持ち出したり、取り出すことはできません。証跡ファイルごとに1回、Oracle GoldenGateで暗号化および復号化するためのコマンドは、OKV内で実行されます。

キーの状態は次のいずれかになります。
キー状態 証跡ライター(暗号化) 証跡リーダー(復号化)

アクティブ

証跡ライターは、暗号化のためにアクティブ状態の最大のバージョン番号を選択します。

証跡リーダーは、このキーとバージョン番号を証跡の復号化に使用します。

事前アクティブ

証跡ライターは、このような状態のキーとバージョン番号を無視して考慮に入れません。

該当なし

非アクティブ

なし

証跡ファイル・リーダーは、キーとバージョン番号が非アクティブまたは危殆化の場合に証跡を取得して復号化します。

危殆化

なし

証跡ファイル・リーダーは、キーとバージョン番号が非アクティブまたは危殆化の場合に証跡を取得して復号化します。

破棄

なし

証跡ファイル・リーダーは、復号化に必要なキーとバージョン番号が破棄状態または破棄-危殆化状態にある場合は、エラー生成して異常終了します。

破棄-危殆化

なし

証跡ファイル・リーダーは、復号化に必要なキーとバージョン番号が破棄状態または破棄-危殆化状態にある場合は、エラー生成して異常終了します。