Oracle GoldenGateでのOracle Key Vault証跡ファイルの暗号化の使用

Oracle GoldenGate Microservices ArchitectureでOracle Key Vault (OKV)を使用するメリットについて学習します。Oracle GoldenGateでOKVを構成するためのシステム要件、Oracle GoldenGateで使用可能なプロセスおよびパラメータを決定します。

次の図は、Oracle GoldenGate環境でのOracle Key Vaultの設定およびワークフローを示しています。
この図は、KMSで管理されるマスター暗号化キーのライフサイクルを示しています。証跡ファイル暗号化マスター・キーは、Oracle GoldenGateによってディスクに格納されません。分散サービスおよびレシーバ・サービスは、Web Secure Socket (wss)プロトコルを使用してセキュアなTLSネットワークを介して接続します。

この図に示すように、Oracle GoldenGateでデプロイメントの暗号化プロファイルを構成するときに、キー管理システムとしてKey Vault (OKV)を選択できます。この暗号化プロファイルは、分散パスを使用して証跡ファイルを転送し、RECVPATHプロセスを使用してもう一方の側でファイルを受信する前に、Extract、Replicatプロセスがマスター・キーを格納および適用するのに使用されます。Web Secure Socket (wss)プロトコルは、DISTPATHとRECVPATH間の接続を検証して、セキュアな通信チャネルを確立するために使用されます。

Oracle Key Vaultの機能

Oracle GoldenGate 23ai以降のリリースでは、証跡ファイル暗号化にOracle Key Vault 21.8がサポートされています。次の表に、Oracle Key Vault (OKV)の動作と機能を示します。

OKVの構成の詳細は、Oracle Key Vaultのインストールと構成を参照してください。

KMS名	KMSタイプ	タグのサポート	キーのインポートのサポート
Oracle Key Vault	バージョニングのためのキー名属性とカスタム属性	はい	はい

Oracle Key Vaultを使用したGoldenGate暗号化プロファイルの構成の前提条件

Oracle GoldenGateでOKVを設定するための前提条件について学習します。

この項では、コマンドラインを使用してマスター・キーを生成する手順を実行しました。かわりにOKV Webインタフェースを使用して、Oracle GoldenGateのマスター・キーを作成できます。OKV Webインタフェースからマスター・キーを生成する場合は、『Oracle Key Vault管理者ガイド』のGoldenGateマスター・キーの作成に記載されている手順に従います。

Oracle GoldenGateインスタンスが実行されているマシンのOKV構成に対して、次の手順を実行します。

Oracle GoldenGateがデプロイメントと同じシステム・ユーザーとしてデプロイされているOKVサーバーから、okvrestclipackage.zipをダウンロードします。
『Oracle Key Vault管理者ガイド』のRESTfulサービスの有効化の手順を使用して、RESTFULサービスを有効にします。
OKV_HOME環境変数を設定します。
```
OS> setenv OKV_HOME /u01/app/oracle/OKV
```
サブディレクトリ構造には、OKV環境に必要なライブラリ、バイナリおよび構成ファイルが含まれています。OKVサーバー内での構成の詳細は、『Oracle Key Vaultインストレーションおよびアップグレード・ガイド』のOracle Key Vaultのインストールと構成を参照してください。
エンドポイント・ファイル(okvclient.jar)を、Oracle GoldenGateがデプロイメントと同じシステム・ユーザーとしてデプロイされるOKVサーバーからダウンロードしてインストールします。次に例を示します。
```
OS> java -jar okvclient.jar -d /u01/app/oracle/OKV
```

キーを作成します。ウォレットの名前は、OKV管理者によって指定されます。次の例は、キーの作成方法を示しています。

OS> okv managed-object key create
 [--activation-date activation date]
 [--algorithm algorithm]
 [--custom-attribute custom attribute]
 [--deactivation-date deactivation date]
 [-- extractable extractable]
 [--length length]
 [--mask mask]
 [--name name]
 [--wallet wallet]

ex - okv managed-object key create --algorithm AES --length 256 --mask "ENCRYPT,DECRYPT,TRANSLATE_ENCRYPT,TRANSLATE_DECRYPT,TRANSLATE_WRAP,TRANSLATE_UNWRAP" --wallet wallet1

また、次の例に示すように、独自のキーを登録することもできます。

OKV> okv managed-object key register 
  [--activation-date activation date] 
  [--algorithm algorithm]
  [--custom-attribute custom attribute]
  [--deactivation-date deactivation date]
  [--extractable extractable]
  [--length length]
  [--mask mask] 
  [--name name]
  --object object 
  [--wallet wallet]

ex -  bin/okv managed-object key register --length 256 --activation-date "NOW" --object symkey.txt --algorithm AES --mask "ENCRYPT,DECRYPT,TRANSLATE_ENCRYPT,TRANSLATE_DECRYPT,TRANSLATE_WRAP,TRANSLATE_UNWRAP"
   --wallet wallet1

次の例に示すように、キーをアクティブ化します。
```
OS> okv managed-object object activate --uuid UUID
```
Oracle GoldenGate関連のキー属性(KeyName、KeyVersion)を構成に追加します。キー名は、Oracle GoldenGate内で作成されたKMS暗号化プロファイルのマスター・キー名と一致する必要があります。キー値はマスター・キーのバージョン番号と一致する必要があります。
```
OS> okv managed-object custom-attribute add --custom-attribute custom attribute --uuid uuid

ex - okv managed-object custom-attribute add --custom-attribute '[ { "name": "x-OGG-KeyName", "value" : "OGG_Masterkey", "type" : "text" },{ "name": "x-OGG-KeyVersion", "value" : "1", "type" : "text"} ] '
```

okvutilを使用して構成設定をリストし、エンドポイントのステータスを確認します。次に例を示します。

OS>okvutil list -v 4

このコマンドの出力には、構成設定およびエンドポイントのステータスが表示されます:

okvutil version 21.12.0.0.0
Endpoint type: Oracle Database
Configuration file: u01/app/oracle/OKV/conf/okvclient.ora
Server: 100.70.1.1:5696
Standby Servers:
Auto-login wallet found, no password needed
Trying to connect to 100.70.1.1:5696 ...
Connected to 100.70.1.1:5696.
Unique ID                               Type            Identifier
8BC11E57-5269-403D-9B69-A66641ADAFC7   Symmetric          Key	-

この次のステップでは、Oracle GoldenGate内のAdmin Clientから管理を実施します。

Oracle Key Vaultの異なるキー状態に対するクライアントの動作

次の表に、様々な証跡暗号化キーの状態に応じたライター(Extract)またはリーダー(Replicat)のクライアント・プロセスの相対的な動作を示します。

マスター・キーが抽出可能でない場合は、OKV暗号化操作でリモート暗号化が使用されていることを意味します。つまり、マスター・キーをOKVから持ち出したり、取り出すことはできません。証跡ファイルごとに1回、Oracle GoldenGateで暗号化および復号化するためのコマンドは、OKV内で実行されます。

キーの状態は次のいずれかになります。

キー状態	証跡ライター(暗号化)	証跡リーダー(復号化)
アクティブ	証跡ライターは、暗号化のためにアクティブ状態の最大のバージョン番号を選択します。	証跡リーダーは、このキーとバージョン番号を証跡の復号化に使用します。
事前アクティブ	証跡ライターは、このような状態のキーとバージョン番号を無視して考慮に入れません。	該当なし
非アクティブ	なし	証跡ファイル・リーダーは、キーとバージョン番号が非アクティブまたは危殆化の場合に証跡を取得して復号化します。
危殆化	なし	証跡ファイル・リーダーは、キーとバージョン番号が非アクティブまたは危殆化の場合に証跡を取得して復号化します。
破棄	なし	証跡ファイル・リーダーは、復号化に必要なキーとバージョン番号が破棄状態または破棄-危殆化状態にある場合は、エラー生成して異常終了します。
破棄-危殆化	なし	証跡ファイル・リーダーは、復号化に必要なキーとバージョン番号が破棄状態または破棄-危殆化状態にある場合は、エラー生成して異常終了します。