1. Microservices Architectureドキュメント
  2. 保護
  3. Oracle GoldenGateセキュリティ機能: 実装
  4. 証跡ファイルの暗号化
  5. デプロイメントでの暗号化プロファイルの作成および適用

デプロイメントでの暗号化プロファイルの作成および適用

Oracle GoldenGateでは、使用する証跡暗号化方法を定義するために暗号化プロファイルが使用されます。

暗号化プロファイルは、ローカル・ウォレットまたはOKVやOCI KMSなどのキー管理サービス(KMS)からマスター・キーを取得するために使用される構成情報です。暗号化プロファイル構成は、Microservices Architectureでのみ使用できます。

次の方法で、マスター・キーの暗号化を管理できます。

  • ローカル・ウォレット

  • キー管理システム:

    • Oracle Key Vault

    • Oracle Cloud Infrastructure

各ExtractおよびReplicatプロセスが、暗号化プロファイルに関連付けられています。デフォルトの暗号化プロファイルは、別の暗号化プロファイルを指定していない場合、ローカル・ウォレットに格納されます。

KMSを使用する別の暗号化プロファイルを使用する場合、KMSサーバーへの接続と認証に必要なすべての情報がそこに含まれます。また、暗号化および復号化に使用される特定のマスター・キーの取得に必要な詳細も含まれます。あらゆるKMSが、認証トークンを使用してそのAPIにアクセスします。Oracle GoldenGate Microservices Architectureは、このアクセス・トークンを資格証明として保管します。この資格証明は、Microservices Architectureの暗号化プロファイルを使用して作成されます。

Oracle Golden Gateプロセスは、証跡ファイルが開かれるたびにキー管理サービス(KMS)への要求を実行する必要があります

  • Oracle Key Vault (OKV)の場合、暗号化プロファイル・パラメータ存続時間(TTL)を使用して、TTLに到達するまでマスター・キーをメモリーに保持します。

  • OCI KMSでは、実際のマスター・キーが返されることはなく、かわりにクライアントがデータを送信して暗号化または復号化します。その後、サーバーは結果をクライアントに返します。

暗号化プロファイルは、プロセスが証跡ファイルを書き込むか、読み取るかに応じて、Oracle GoldenGateプロセスによって暗号化または復号化に使用されます。

  • Extract: 暗号化(ライター)

  • Replicat: 復号化(リーダー)

  • 分散サービス・パス(DISTPATH): 暗号化/復号化(ライター/リーダー)。

  • LogDump: 復号化(リーダー)

暗号化プロファイルの設定要件

このトピックでは、Oracle GoldenGateで暗号化プロファイルを構成する際の要件について説明します。

1つのデプロイメント内に複数の暗号化プロファイルを作成できますが、Oracle GoldenGateプロセス(Extract、Replicat、分散パス)では一度に1つの暗号化プロファイルのみを使用できます。フィルタリングを使用した分散パスの場合、フィルタを適用するために復号化が行われますが、出力証跡ファイルは暗号化されたままになります。PASSTHRUでは、明示的に指定されていないかぎり、配分散パスは暗号化プロファイルの使用または証跡ファイルの復号化を試行しません。

デプロイメント内の既存の暗号化プロファイルのいずれかをデフォルト・プロファイルとして設定できます。このデフォルト・プロファイルは、Extract、Replicatまたは分散パスのプロセスの作成時にのみ関連します。プロセスの作成時に暗号化プロファイルが明示的に指定されていない場合、現在のデフォルト・プロファイルが新しいプロセスに割り当てられます。デフォルト・プロファイルを変更しても、既存のOracle GoldenGateプロセスに割り当てられた暗号化プロファイルは更新されません。

ノート:

証跡ファイルをすでに処理したプロセスの暗号化プロファイルまたはマスター・キーを変更しないことをお薦めします。

Administration ServiceのWebインタフェースでは、暗号化プロファイルを管理できます。暗号化プロファイルは変更できません。変更する必要がある場合は、Administration Serviceを使用してプロファイルを削除してから新しいプロファイルを追加する必要があります。

暗号化プロファイルは、Administration Serviceまたは管理クライアントから構成できます。

暗号化プロファイルを設定するツール 説明

管理サービス

管理サーバーを使用して暗号化プロファイルを構成するには、「暗号化プロファイルの構成」を参照してください。

管理クライアント

Extract、Replicatおよび分散パスの暗号化プロファイルを設定するために使用される管理クライアント・コマンドには、次のものがあります。

ADD ENCRYPTIONPROFILE

ALTER ENCRYPTIONPROFILE

DELETE ENCRYPTIONPROFILE

INFO ENCRYPTIONPROFILE

また、Extract、DISTPATH、ReplicatコマンドのADDまたはALTERは、パラメータENCRYPTIONPROFILE encryption-profile-nameを含むように変更されています。

詳細は、『Oracle GoldenGateコマンドライン・インタフェース・リファレンス』管理クライアント・コマンドライン・インタフェースのコマンドを参照してください。

暗号化プロファイルの構成

Oracle GoldenGate Administration Serviceには、管理対象のExtractおよびReplicatプロセスの暗号化プロファイルを設定するオプションが用意されています。

暗号化プロファイルを設定するには、ナビゲーション・ペインで「プロファイル」をクリックし、「キー管理システム(KMS)」タブを選択します。
  1. デフォルトでは、「ローカル・ウォレット」プロファイルが作成されます。「ローカル・ウォレット」暗号化プロファイルを選択すると、そのオプションが表示され、ペン・アイコンを使用して編集できます。
    オプション 説明

    説明

    ローカル・ウォレットの説明。

    デフォルト・プロファイル

    このオプションはデフォルトでは有効になります。無効にすることを選択できます。

    暗号化プロファイル・タイプ

    ローカル・ウォレットの場合、このオプションは変更できません。

    Masterkey名

    ローカル・ウォレットのOGG_DEFAULT_MASTERKEYデフォルト・マスター・キー。この値は編集できません。

    Masterkeyバージョン

    これはマスター・キー・バージョン番号です。値はLATESTに設定され、変更できません。

  2. 「プロファイル」の横にある+記号をクリックし、次の詳細を指定して暗号化プロファイルを作成します。
    オプション 説明

    プロファイル名

    暗号化プロファイルの名前。

    説明

    暗号化プロファイルを記述します。

    デフォルト・プロファイル

    このプロファイルをデフォルトにする場合は、このオプションを有効にします。

    暗号化プロファイル・タイプ

    使用可能なオプションは、「Oracle Key Vault (OKV)」および「Oracle Cloud Infrastructure (OCI)」です。

  3. OKVを設定する前に、クライアント・インストールを実行する必要があります。Oracle Key Vault管理者ガイドステップ1: Oracle Key Vaultサーバー環境の構成を参照してください。

    OKV構成オプション

    Oracle Key Vault (OKV)を設定するためのオプション

    KMSライブラリ・パス

    Oracle Key Vaultをインストールするディレクトリの場所を指定します。

    Oracle Key Vaultのバージョン

    サポートされているOracle Key Vaultバージョンを指定します。

    Masterkey名

    マスター・キーの名前を指定します

    存続時間

    ExtractによってKMSから取得されたキーの存続時間(TTL)。次回の証跡の暗号化時に、ExtractはTTLが期限切れかどうかを確認します。該当する場合は、最新バージョンのマスター・キーを取得します。デフォルトは24時間です。

  4. OCI KMSの暗号化プロファイルの構成については、「Oracle GoldenGateでのOCI KMS証跡のファイル暗号化の使用」を参照してください。