デプロイメントでの暗号化プロファイルの作成および適用
Oracle GoldenGateでは、使用する証跡暗号化方法を定義するために暗号化プロファイルが使用されます。
暗号化プロファイルは、ローカル・ウォレットまたはOKVやOCI KMSなどのキー管理サービス(KMS)からマスター・キーを取得するために使用される構成情報です。暗号化プロファイル構成は、Microservices Architectureでのみ使用できます。
-
ローカル・ウォレット
-
キー管理システム:
-
Oracle Key Vault
-
Oracle Cloud Infrastructure
-
各ExtractおよびReplicatプロセスが、暗号化プロファイルに関連付けられています。デフォルトの暗号化プロファイルは、別の暗号化プロファイルを指定していない場合、ローカル・ウォレットに格納されます。
KMSを使用する別の暗号化プロファイルを使用する場合、KMSサーバーへの接続と認証に必要なすべての情報がそこに含まれます。また、暗号化および復号化に使用される特定のマスター・キーの取得に必要な詳細も含まれます。あらゆるKMSが、認証トークンを使用してそのAPIにアクセスします。Oracle GoldenGate Microservices Architectureは、このアクセス・トークンを資格証明として保管します。この資格証明は、Microservices Architectureの暗号化プロファイルを使用して作成されます。
Oracle Golden Gateプロセスは、証跡ファイルが開かれるたびにキー管理サービス(KMS)への要求を実行する必要があります
-
Oracle Key Vault (OKV)の場合、暗号化プロファイル・パラメータ存続時間(TTL)を使用して、TTLに到達するまでマスター・キーをメモリーに保持します。
-
OCI KMSでは、実際のマスター・キーが返されることはなく、かわりにクライアントがデータを送信して暗号化または復号化します。その後、サーバーは結果をクライアントに返します。
-
Extract: 暗号化(ライター)
-
Replicat: 復号化(リーダー)
-
分散サービス・パス(DISTPATH): 暗号化/復号化(ライター/リーダー)。
-
LogDump: 復号化(リーダー)
暗号化プロファイルの設定要件
このトピックでは、Oracle GoldenGateで暗号化プロファイルを構成する際の要件について説明します。
1つのデプロイメント内に複数の暗号化プロファイルを作成できますが、Oracle GoldenGateプロセス(Extract、Replicat、分散パス)では一度に1つの暗号化プロファイルのみを使用できます。フィルタリングを使用した分散パスの場合、フィルタを適用するために復号化が行われますが、出力証跡ファイルは暗号化されたままになります。PASSTHRUでは、明示的に指定されていないかぎり、配分散パスは暗号化プロファイルの使用または証跡ファイルの復号化を試行しません。
デプロイメント内の既存の暗号化プロファイルのいずれかをデフォルト・プロファイルとして設定できます。このデフォルト・プロファイルは、Extract、Replicatまたは分散パスのプロセスの作成時にのみ関連します。プロセスの作成時に暗号化プロファイルが明示的に指定されていない場合、現在のデフォルト・プロファイルが新しいプロセスに割り当てられます。デフォルト・プロファイルを変更しても、既存のOracle GoldenGateプロセスに割り当てられた暗号化プロファイルは更新されません。
ノート:
証跡ファイルをすでに処理したプロセスの暗号化プロファイルまたはマスター・キーを変更しないことをお薦めします。Administration ServiceのWebインタフェースでは、暗号化プロファイルを管理できます。暗号化プロファイルは変更できません。変更する必要がある場合は、Administration Serviceを使用してプロファイルを削除してから新しいプロファイルを追加する必要があります。
暗号化プロファイルは、Administration Serviceまたは管理クライアントから構成できます。
| 暗号化プロファイルを設定するツール | 説明 |
|---|---|
|
管理サービス |
管理サーバーを使用して暗号化プロファイルを構成するには、「暗号化プロファイルの構成」を参照してください。 |
|
管理クライアント |
Extract、Replicatおよび分散パスの暗号化プロファイルを設定するために使用される管理クライアント・コマンドには、次のものがあります。
また、Extract、DISTPATH、Replicatコマンドの 詳細は、『Oracle GoldenGateコマンドライン・インタフェース・リファレンス』の管理クライアント・コマンドライン・インタフェースのコマンドを参照してください。 |
ローカル・ウォレット暗号化プロファイルの編集方法
ローカル・ウォレット暗号化プロファイルは、デプロイメントのデフォルトの暗号化プロファイルです。新しいマスター・キーを追加して既存のマスター・キーを置き換えることができます。次に、ローカル・ウォレットのオプションを構成するステップを示します:
-
「管理サービス」の左側のナビゲーション・ペインで「暗号化」をクリックします。
-
「ローカル・ウォレット」を選択します。「ローカル・ウォレット・プロファイル」ページが表示されます。
-
既存のマスター・キーを置き換えるには、「マスター・キー」セクションの横にあるプラス記号をクリックします。現在のマスター・キーを置き換えるための確認ボックスが表示されます。
-
「OK」をクリックしてマスター・キーを変更します。
暗号化プロファイルの構成
Oracle GoldenGate管理サービスでは、ExtractプロセスとReplicatプロセスの暗号化プロファイルを設定するオプションが用意されています。
Oracle Key Vault (OKV)またはOCI Key Management System (OCI KMS)のオプションを使用して暗号化プロファイルを作成するには、次のステップを使用します:
-
「管理サービス」の左側のナビゲーション・ペインで「暗号化」をクリックします。
-
OKVまたはOCI KMSの横にあるプラス記号+をクリックして、これらの方法のどれかについて暗号化プロファイルを作成します。OKV構成について次の詳細を指定します:
オプション 説明 プロファイル名
暗号化プロファイルの名前。
説明
暗号化プロファイルを記述します。
デフォルト・プロファイル
このプロファイルをデフォルトにする場合は、このオプションを有効にします。
暗号化プロファイル・タイプ
使用可能なオプションは、「Oracle Key Vault (OKV)」および「Oracle Cloud Infrastructure (OCI)」です。
-
OKVを設定する前に、クライアント・インストールを実行する必要があります。Oracle Key Vault管理者ガイドのステップ1: Oracle Key Vaultサーバー環境の構成を参照してください。
OKV構成オプション
Oracle Key Vault (OKV)を設定するためのオプション
KMSライブラリ・パス
Oracle Key Vaultをインストールするディレクトリの場所を指定します。
Oracle Key Vaultのバージョン
サポートされているOracle Key Vaultバージョンを指定します。
Masterkey名
マスター・キーの名前を指定します
存続時間
ExtractによってKMSから取得されたキーの存続時間(TTL)。次回の証跡の暗号化時に、ExtractはTTLが期限切れかどうかを確認します。該当する場合は、最新バージョンのマスター・キーを取得します。デフォルトは24時間です。
-
OCI KMSでは、Oracle GoldenGateがデプロイされているサーバー上のREST APIにアクセスするための秘密キーおよび公開キー(API署名キー)の登録が必要です。OCI KMS暗号化プロファイルを設定するためのオプションを次に示します。
OCI KMSのキーの登録と管理を参照してください。OCI KMS構成オプション
OCI KMSを設定するためのオプション。
暗号エンドポイントURL
これには、OCI KMS Vaultウィザードからアクセスできます。詳細は、OCIコマンド・ライン・リファレンスおよびOCIドキュメントのキーの管理に関する項を参照してください。
テナンシOCID
Oracle Cloud Infrastructureにサインアップすると、会社のテナンシが作成されます。これは、Oracle Cloud Infrastructure内のセキュアで分離されたパーティションであり、クラウド・リソースを作成、編成および管理できます。詳細は、OCIドキュメントの主要概念に関する項を参照してください。
キーOCID
詳細は、OCIドキュメントを参照してください。
ユーザーOCID
詳細は、OCIドキュメントを参照してください。
APIキー
Oracle Cloud Infrastructure REST APIへのリクエストを保護するための資格証明。
APIキー・フィンガープリント
詳細は、OCIドキュメントの必須キーおよびOCIDに関する項を参照してください。