Oracle Key Vaultの一般的なシステム管理

18 Oracle Key Vaultの一般的なシステム管理

一般的なシステム管理とは、ネットワークの詳細およびサービスの構成など、Oracle Key Vaultサーバーのシステム管理タスクを示します。

Oracle Key Vaultの一般的なシステム管理の概要
システム管理者は、Oracle Key Vault管理コンソールで、システム全体の現在のステータスの検索など、ほとんどの一般的な管理タスクを実行できます。
マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成
システムの「Settings」ページで、スタンドアロン環境またはプライマリ/スタンバイ環境のいずれかの設定を構成できます。
マルチマスター・クラスタ環境でのOracle Key Vaultの構成
マルチマスター・クラスタ環境でOracle Key Vaultを構成する場合、個々のノードまたはマルチマスター・クラスタ環境全体を構成できます。
システム・リカバリの管理
システム・リカバリには、失われた管理パスワードのリカバリなどのタスクが含まれます。
プライマリ/スタンバイ環境のサポート
Oracle Key Vaultが常にセキュリティ・オブジェクトにアクセスできるように、Oracle Key Vaultをプライマリ/スタンバイ(可用性の高い)構成にデプロイできます。
Commercial National Security Algorithmスイートのサポート
スクリプトを使用して、Oracle Key Vault HSMのバックアップおよびアップグレード操作のためにCommercial National Security Algorithm (CNSA)操作を実行できます。
停止時間の最小化
業務上重大な操作では、最小限の停止時間でデータにアクセスし、リカバリできるようにする必要があります。

18.1 Oracle Key Vaultの一般的なシステム管理の概要

システム管理者は、Oracle Key Vault管理コンソールで、システム全体の現在のステータスの検索など、ほとんどの一般的な管理タスクを実行できます。

Oracle Key Vaultの一般的なシステム管理について
システム管理者が、Oracle Key Vaultのシステム設定を構成します。
Oracle Key Vaultダッシュボードの表示
ダッシュボードは、Oracle Key Vaultの現在の状態を大まかに示すものであり、すべてのユーザーに公開されます。
ダッシュボードのステータス・ペインの使用
ダッシュボードのステータス・ペインには、Oracle Key Vaultの現在の状態の概要が表示されます。これには、未処理のアラート、管理対象コンテンツの集約サマリー、各種オブジェクト、エンティティおよびサービスの状態とステータスなどが含まれます。

親トピック: Oracle Key Vaultの一般的なシステム管理

18.1.1 Oracle Key Vaultの一般的なシステム管理について

システム管理者が、Oracle Key Vaultのシステム設定を構成します。

Oracle Key Vaultシステム設定には、管理、ローカルおよびリモート・モニタリング、電子メール通知、バックアップおよびリカバリ操作、監査などがあります。これらのタスクを実行するには、適切なロールが必要です。システム管理者ロールを持つユーザーは、ほとんどの管理タスクを実行でき、監査マネージャ・ロールを持つユーザーは、監査設定の構成、監査レコードのエクスポート、Oracle Key VaultとOracle Audit Vaultの統合が可能です。ほとんどの場合、Oracle Key Vault管理コンソールでこれらのタスクを実行します。

Oracle Key Vaultシステムの現在の状態に関する大まかな情報をすばやく見つけるために、Oracle Key Vaultダッシュボードを表示できます。

18.1.2 Oracle Key Vaultダッシュボードの表示

ダッシュボードは、Oracle Key Vaultの現在の状態を大まかに示すものであり、すべてのユーザーに公開されます。

「Home」タブをクリックして、ダッシュボードを表示します。デフォルトでは、このページは、Oracle Key Vault管理コンソールにログインすると表示されます。

図217_home_page.pngの説明_

親トピック: Oracle Key Vaultの一般的なシステム管理の概要

18.1.3 ダッシュボードの各種ステータス・ペインの使用

ダッシュボードのステータス・ペインには、Oracle Key Vaultの現在の状態の概要が表示されます。これには、未処理のアラート、管理対象コンテンツの集約サマリー、各種オブジェクト、エンティティおよびサービスの状態とステータスなどが含まれます。

Oracle Key Vault管理コンソールにログインします。

「Home」タブにダッシュボードが表示されます。

ダッシュボードは、様々なペインで編成されています。それらのダッシュボード・ペインには、Oracle Key Vaultのアラート、管理対象エンティティ、セキュリティ・オブジェクトおよび全体的なシステム概要に関する集約情報が表示されます。

ダッシュボードは、次のもので構成されています。

ページの上部にあり、様々な管理タスクを実行するためのタブ。たとえば、新しいエンドポイントを作成する場合は、「Endpoints」タブをクリックします。
「Alerts」ペインでは、既存のアラートにアクセスできます。詳しい情報については、「Show Details」または「All Alerts」をクリックします。

アラートに対して修正処理を実行するには:
1. 「Show Details」をクリックして、アラートのサマリーをリスト表示します。
2. アラートに対応するリンクをクリックすると、適切なページが表示されます。
3. 必要に応じて、アラートの修正処理を実行します。
ダッシュボードに表示するアラートを構成するには:
1. 「Reports」タブをクリックし、左側のサイドバーで「Alerts」をクリックして「Alerts」ページを表示します。
2. ページの右上にある「Configure」をクリックして、「Configure Alerts」ページを表示します。
3. 「Alert Type」を選択して、「Enabled」チェック・ボックスを選択して「Limit」を設定し、「Save」をクリックします。
「Managed Entities」ペインには、エンドポイント、エンドポイント・グループ、ユーザー、ユーザー・グループ、キーとシークレットおよびウォレットの各カテゴリに関する集約情報が表示されます。カテゴリごとに、そのカテゴリに構成するアイテムの数が表示されます。

たとえば、システムに21個のエンドポイントがあるとすると、「Endpoints」ラベルの上に「21」が表示されます。それらのエンドポイントの詳細を検索および変更する場合は、「Endpoints」ラベルをクリックします。
「Managed Keys & Secrets」ペインには、サポートされている各種のセキュリティ・オブジェクト(TDEマスター暗号化キー、MySQLマスター暗号化キー、DBパスワード、シークレット・データ、証明書、秘密キー、対称キー、不透明オブジェクト、GoldenGateマスター・キーおよびACFSボリューム暗号化キー)に関する集約情報が示されます。管理対象エンティティの内容と同様に、セキュリティ・オブジェクトに関する詳細を検索して変更するには、それに対応するラベルをクリックします。
「System Overview」ペインには、インストールに関する情報(デプロイメント・モード、サービス・ステータス、使用済ディスク領域およびCPU使用率)が表示されます。マルチマスター・クラスタの場合、「System Overview」ペインには「Name Resolution Time」情報も表示されます。
「Endpoints」ペインには、「Type」(「Oracle Database」、「Oracle Non-Database」または「Non-Oracle」)および「Status」(「Registered」、「Enrolled」または「Suspended」)ごとに分類されたエンドポイントの数が表示されます。
「Keys, Secrets State」ペインには、オブジェクト状態(「Pre-Active」、「Active」、「Deactivated」、「Compromized」、「Destroyed」および「Destroyed Compromised」)ごとに分類されたオブジェクトの数が表示されます。

ホームページには、前回リフレッシュしたときのアイテムのタイプとアイテムの状態が表示されます。表示されるエンティティとオブジェクトの数は、ユーザーの認可に応じて異なる場合があります。

関連トピック

セキュリティ・オブジェクト項目の検索

親トピック: Oracle Key Vaultの一般的なシステム管理の概要

18.2 マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

システムの「Settings」ページで、スタンドアロン環境またはプライマリ/スタンバイ環境のいずれかの設定を構成できます。

ネットワーク詳細の構成
Oracle Key Vault管理コンソールからネットワーク詳細を構成する方法を学習します。
ネットワーク・アクセスの構成
マルチマスター以外のクラスタでは、Oracle Key Vault管理コンソールからネットワーク・サービスを構成できます。
DNSの構成
Oracle Key Vaultがホスト名の解決に使用するIPアドレスを使用して、最大3つのドメイン・ネーム・サービス(DNS)サーバーを構成できます。
システム時間の構成
Oracle Key VaultをNTPタイム・ソースと同期させることをお薦めします。
FIPSモードの構成
Oracle Key VaultのFIPSモードを有効または無効にできます。
Syslogの構成
特定の宛先に対してsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。
ネットワーク・インタフェース・モードの変更
ネットワーク・インタフェースのデュアルNICモードとクラシック・モードを切り替えることができます。
RESTfulサービス・ユーティリティの構成
RESTfulサービス・ユーティリティにより、エンドポイント、ウォレット、セキュリティ・オブジェクト、デプロイメント操作およびバックアップ操作の管理を自動化できます。
Oracle Audit Vault統合ステータスの確認
Oracle Key Vaultは、一元化された監査レポートおよびアラートのために、監査レコードをOracle Audit Vaultに送信できます。
Oracle Key Vault管理コンソールのWebセッション・タイムアウトの構成
Oracle Key Vault管理コンソールのWebセッションのタイムアウト値を分単位で構成できます。
Oracle Key Vaultの再起動または電源切断
メンテナンスまたはパッチおよびアップグレード手順の必要に応じて、Oracle Key Vaultを手動で再起動または電源切断できます。

親トピック: Oracle Key Vaultの一般的なシステム管理

18.2.1 ネットワーク詳細の構成

Oracle Key Vault管理コンソールからネットワーク詳細を構成する方法を学習します。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Details」領域で、「Network Info」をクリックします。
「Network Details」領域に表示される情報は、クラシック・モードとデュアルNICモードのどちらを使用しているかによって異なります。

図215_network_details.pngの説明

図215_dual_nic.pngの説明

ノート:
「Dual NIC」画面には、各インタフェースのボンディング・モードと現在のステータスが表示されます。
次のフィールドの値を更新します。
- Host Name: サーバーの名前を入力します。
- IP Address: サーバーのIPアドレスを入力します。
- Network Mask: サーバーのネットワーク・マスクを入力します。
- Gateway: サーバーのネットワーク・ゲートウェイを入力します。
このペインのフィールドには、Oracle Key VaultサーバーのIPアドレスおよびホスト名が自動的に移入されます。ただし、必要に応じて、Oracle Key Vaultインストールの「Host Name」、「IP Address」、「Network Mask」および「Gateway」を更新できます。

「MAC Address」設定は変更できません。デュアルNICモードを使用している場合、「Network Mode」の設定にも同じことが適用されます。つまり、「Bonding Mode」、「Active Interface」および「Backup Interface」の設定を変更することはできませんが、これらの値はステータスを確認する場合に役立ちます。
「Save」をクリックします。

高可用性を構成している場合、IPアドレスを変更する前に、プライマリおよびスタンバイOracle Key Vaultサーバーのペアを解除する必要があります。プライマリまたはスタンバイOracle Key VaultサーバーのIPアドレスを変更した後、2つのサーバーを再度ペアに設定します。ペアリング・プロセスが完了したら、Oracle Key Vaultエンドポイントを再エンロールして、プライマリとスタンバイの両方のOracle Key Vaultサーバーの新しいIPアドレスで更新されていることを確認します。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.2.2 ネットワーク・アクセスの構成

マルチマスター以外のクラスタでは、Oracle Key Vault管理コンソールからネットワーク・サービスを構成できます。

「Web Access」および「SSH Access」(セキュア・シェル・アクセス)のサービスをすべてのクライアントまたは一部のクライアント(IPアドレスで指定)に対して有効にすることや、完全に無効にすることができます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Details」領域で、「Web Access」を選択します。

図21_web_access.pngの説明
次のオプションのいずれかを選択します。
- All: すべてのIPアドレスが選択されます。
- IP Address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。「Web Access」オプションとして「IP address(es)」を使用すると、組織のニーズに応じて指定した一連の限られたIPアドレスに、Oracle Key Vault管理コンソールへのアクセスを制限できます。
「Save」をクリックします。
SSHアクセスを設定するには、「Settings」ページの「Network Details」の下の「SSH Access」を選択します。
「SSH Access」を有効化すると、コマンドラインからOracle Key Vaultにアクセスできるようになります。このことは、管理コンソールからすぐには理解できない問題の診断に役立ちます。ユーザーsupportとして、インストール時に作成したサポート・パスワードを使用してログインします。SSHアクセスは、Oracle Supportの指示がある場合、またはアップグレードする場合にのみ使用されます。
SSHアクセスを有効化または無効化すると、Oracle Key VaultサーバーへのインバウンドSSH接続が有効化または無効化されます。この方法でSSHアクセスを有効化または無効化しても、SSHトンネル設定またはOracle Key Vaultサーバー自体が確立した他のアウトバウンドSSH接続に影響はありません。SSHトンネル設定の場合のように、Oracle Key Vaultでは他のサーバーへのSSH接続も確立できます。

ノート:

Oracle Key Vaultリリース更新(RU)を適用しているときやOracle Supportから指示されたとき以外は、必ずSSHアクセスを無効にすることをお薦めします。
「SSH Access」ウィンドウで、次の設定を入力します。
- Disabled: すべてのIPアドレスのSSHアクセスを無効にする場合
- IP Address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。
- All: すべてのIPアドレスからSSHアクセスを有効にする場合
「Save」をクリックします。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.2.3 DNSの構成

Oracle Key Vaultがホスト名の解決に使用するIPアドレスを使用して、最大3つのドメイン・ネーム・サービス(DNS)サーバーを構成できます。

Oracle Key Vaultのアクセス対象のサーバーのホスト名のみがわかり、IPアドレスがわからない場合に、この構成が役立ちます。たとえば、電子メール通知のためにSMTPサーバーを構成しているとき、DNSを設定した後、オプションで、IPアドレスではなくホスト名を入力できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Services」領域で、「DNS」をクリックします。

図21_dns.pngの説明
DNSサーバーのIPアドレスを最大3つまで入力します。
少なくともServer 1のDNS設定を構成する必要があります。最初の値のみ必須ですが、フォルト・トレランスのために他の2つの入力をお薦めします。
「Save」をクリックします。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.2.4 システム時間の構成

Oracle Key VaultをNTPタイム・ソースと同期させることをお薦めします。

Oracle Key Vaultとタイム・ソースとの同期は、監査レコードでの信頼できるタイムスタンプ、およびキーとシークレットのアクティブ化、非アクティブ化、protectStop日付およびprocessStart日付において重要となります。

システム時間をNTPサーバーと同期するようにOracle Key Vaultを構成できます。Oracle Key Vaultには、最大3つのNTPサーバーの情報を入力するためのフィールドがあります。NTPサーバーが使用できない場合は、手動で現在の時間を設定します。カレンダ・アイコンを使用して日付と時間を設定し、これらの値が正しい形式で格納されるようにします。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Services」領域で、「NTP」をクリックして「System Time」ウィンドウを表示します。

次の画面に、「System Time」ウィンドウの一部を示します。NTPサーバーの場合、ホスト名ではなくIPアドレスのみを使用します。ベスト・プラクティスとして、3つすべてのサーバーを構成します。

図217_ntp_settings.pngの説明
「Use Network Time Protocol」を選択します。
次のフィールドに値を入力します。
- Server 1: NTPサーバーのIPアドレスを入力します。サーバー1のIPアドレスを指定する必要があります。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
- Server 2: 2番目のNTPサーバーのIPアドレスを入力します。この値はオプションです。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
- Server 3: 3番目のNTPサーバーのIPアドレスを入力します。この値はオプションです。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
「Save」をクリックします。

ノート:
Oracle Key VaultサーバーとNTPサーバーの同期を実行するには、「System Time」ページで「Apply Server」ボタンをクリックします。

関連トピック

DNSの構成

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.2.5 FIPSモードの構成

Oracle Key VaultのFIPSモードを有効または無効にできます。

プライマリ/スタンバイ環境では、両方のサーバーのFIPSモード設定が一致していること(両方とも有効になっているか両方とも無効になっていること)を確認します。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「System Configuration」領域で、「FIPS」をクリックします。

図21_fips.pngの説明
次の内の1つを実行します。
- FIPSモードを有効にするには、「Enable」チェック・ボックスを選択します。
- FIPSモードを無効にするには、「Enable」チェック・ボックスの選択を解除します。
FIPSモードを有効または無効にするには数分かかり、システムも自動的に再起動されます。
「Save」をクリックします。
「Save」をクリックすると、確認ダイアログ・ボックスが表示されます。
確認ダイアログ・ボックスで「OK」をクリックして変更を適用し、Oracle Key Vaultシステムを再起動します。
「OK」をクリックすると、操作を取り消すことができないことに注意してください。再起動操作はすぐに実行されます。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.2.6 Syslogの構成

特定の宛先に対してsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。

すべてシステム関連のアラートがsyslogに送信されます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitoring and Alerts」領域で、「Syslog」をクリックします。

図21_syslog.pngの説明
次のいずれかのプロトコルを選択します。
- TCP: TCPプロトコルを使用してsyslogを有効にします。
- UDP: UDPプロトコルを使用してsyslogを有効にします。
「Syslog Destinationsフィールドに、syslog宛先IPアドレスとポート番号をIP_address:portの形式で入力します。
複数の宛先をスペースで区切って入力できます。
「Save」をクリックします。

ノート:
syslog転送を使用して、syslogメッセージ(監査レコードがsyslogに送信される場合の監査レコードを含む)をSplunkなどのSIEM (Security Information and Event Management)ソリューションに送信できます。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.2.7 ネットワーク・インタフェース・モードの変更

ネットワーク・インタフェースのデュアルNICモードとクラシック・モードを切り替えることができます。

ネットワーク・モードの切替えとスタンドアロンOracle Key VaultサーバーのIP情報の更新を両方実行できます。プライマリ/スタンバイ構成では、ネットワーク・モードの変更やIP情報の更新はできません。Oracle Key Vaultアプライアンス・ソフトウェアをインストールするときに最初にネットワーク・インタフェース・モードを構成する必要があります。

Oracle Key Vaultサーバーにsupportユーザーとしてログインします。
rootユーザーに切り替えます。
```
su - root
```
コマンドラインで、次のスクリプトを実行します:
```
/usr/local/okv/bin/okv_configure_network
```
「Select Network Mode」ウィンドウで、使用するネットワーク・インタフェースを選択して「OK」を選択します。

図21_select_network_mode.pngの説明
ネットワーク・モードにクラシック・モードを使用する場合は、次のステップを実行します。
Oracle Key Vaultの21.xリリースより前の唯一の使用可能なモードであるクラシック・モードでは、1つのネットワーク・インタフェースを使用できます。後でデュアルNICモードに切り替えることはできますが、スタンドアロン構成を使用している場合のみです。マルチマスター・クラスタまたはプライマリ/スタンバイ構成を使用している場合は、モードを変更できません。サーバーにネットワーク・カードが1つしかない場合は、このオプションを選択します。
1. 1を選択してクラシック・モードを選択し、「OK」を選択します。
2. 選択のデフォルトのネットワーク・インタフェース画面で、使用可能なオプションから選択し、「OK」を選択します。
3. ネットワーク設定画面で、デフォルトのネットワーク・インタフェースに「IP address」、「Network mask」および「Gateway」設定を入力します。この情報は、サイトのネットワーク管理者が提供できます。
4. 「OK」を選択します。
デュアルNICネットワーク・モードを使用する場合は、次のステップを実行します。
デュアルNICモードでは、2つのネットワーク・インタフェースまたはイーサネット・ポートを使用するようにOracle Key Vaultを構成できます。これは、物理的障害またはソフトウェア障害に対するガードとして役立ち、ネットワーク・レイヤーに冗長性を追加します。操作の継続性がより必要な場合およびネットワークが長時間使用できないためにクラスタから削除されないようにするには、デュアルNICモードを選択します。デュアルNICモードは、ノードの接続が失われ、クラスタ内のデータに加えられた変更が失われる可能性がある状況を回避するのに役立ちます。
1. 2を選択してデュアルNICモードを選択し、「OK」を選択します。
2. 「Select Bond Mode」画面で、使用する2つのネットワーク・インタフェースの結合モードの選択肢から選択し、「OK」を選択します。
  - ラウンド・ロビンは、ネットワーク・パケットが最初に使用可能なインタフェースから最後まで順次送受信されるようにネットワーク・インタフェースを構成します。このボンディング・モードがデフォルトです。このモードでは、フォルト・トレランスおよびロード・バランシングが提供され、EtherChannelがサポートされているネットワーク・スイッチにリンクを接続する必要があります。
  - アクティブ・バックアップは、ネットワーク・インタフェースをアクティブおよびバックアップとして構成します。ボンド内の1つのインタフェースのみがアクティブになります。アクティブなインタフェースに障害が発生した場合にのみ、別のインタフェースがアクティブになります。ネットワーク通信は、アクティブなインタフェースを介して行われます。このモードではフォルト・トレランスが提供され、スイッチのサポートは必要ありません。
  - 802.3adでは、同じ速度および二重設定を共有する集計グループが作成されます。ネットワーク・パケットは、すべてのインタフェースで送受信されます。このモードではフォルト・トレランスおよびロード・バランシングが提供され、IEEE 802.3ad動的リンク・アグリゲーションをサポートするスイッチが必要です。
3. 選択の2つのネットワーク・インタフェース画面で、目的の2つのネットワーク・インタフェースを選択し、「OK」を選択します。
4. ネットワーク設定画面で、デフォルトのネットワーク・インタフェースに「IP address」、「Network mask」、「Gateway」および「Hostname」設定を入力します。この情報は、サイトのネットワーク管理者が提供できます。ホスト名には小文字のみを使用します。ホスト名は、完全修飾ホスト名または短縮ホスト名です。
5. 「OK」を選択します。

ネットワーク・モードの変更後に、Oracle Key Vaultを再起動する必要はありません。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.2.8 RESTfulサービス・ユーティリティの構成

RESTfulサービス・ユーティリティにより、エンドポイント、ウォレット、セキュリティ・オブジェクト、デプロイメント操作およびバックアップ操作の管理を自動化できます。

RESTfulサービス・ユーティリティは、通常のキー管理アクティビティもサポートしています。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「System Configuration」領域で、「RESTful Services」をクリックします。

図21_restful_services.pngの説明
「RESTful Services」セクションで「Enable」チェック・ボックスを選択します。
RESTfulサービスを無効にするには、「Enable」チェック・ボックスの選択を解除します。
「Save」をクリックします。

Oracle Key Vaultは、エンドポイント操作、仮想ウォレット操作、ダウンロードおよびプロビジョニング操作をRESTfulサービスとして管理します。

これらのサービスを使用するには、「Download」をクリックして、Oracle Key Vault RESTfulサービス・ユーティリティ(okvrestclipackage.zip)をダウンロードします。「Download Classic Utility」をクリックして、クラシック・ユーティリティokvrestservices.jarをダウンロードします。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.2.9 Oracle Audit Vault統合ステータスの確認

Oracle Key Vaultは、一元化された監査レポートおよびアラートのために、監査レコードをOracle Audit Vaultに送信できます。

システム管理者ロールまたは監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
所有しているロールに応じて、次のようにナビゲートします。
- システム管理者ロールがあるが監査マネージャ・ロールがない場合、またはシステム管理者ロールと監査マネージャ・ロールの両方がある場合: 左側のナビゲーション・バーから「System」タブ、「Settings」の順に選択します。「Monitoring and Alerts」領域で、「Audit Vault」をクリックします。
- 監査マネージャ・ロールのみがある場合: 「System」タブを選択し、左側のナビゲーション・バーで「Audit Vault Integration」を選択します。
「Monitoring」タブを選択します。
「Monitoring」ペインは、モニタリングがアクティブかどうかを示します。Oracle Key VaultがOracle Audit Vaultと統合されていない場合は、「Deployment」ペインのみが表示されます。Audit Vaultを統合する場合は、統合を実行するための監査マネージャ・ロールを持つユーザーとしてログオンします。

関連トピック

Oracle Audit Vaultを使用したOracle Key Vaultの構成

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.2.10 Oracle Key Vault管理コンソールのWebセッション・タイムアウトの構成

Oracle Key Vault管理コンソールのWebセッションのタイムアウト値を分単位で構成できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「System Configuration」領域で、「Console Timeout」をクリックします。
タイムアウトの値を分単位で入力します。
デフォルト値は10です。入力できる範囲は、1から100です。
「Save」をクリックします。
「Save」をクリックした後、現在アクティブなユーザーWebセッションおよび他のアクティブなセッションの場合、この設定は、セッションが延長されたとき、ユーザーがページをリフレッシュしたとき、またはユーザーが別のページに移動したときに有効になります。ユーザー・セッションは、ユーザーがボタンをクリックするか、マウスを移動するか、キーを押すか、または他のアクティビティを実行しているかぎり、アクティブなままです。ユーザー・セッションが管理コンソールのタイムアウト時間を超えてアイドル状態になっている場合、ユーザーはログアウトされ、ログイン画面が表示されます。

Webセッションが終了する直前に、タイムアウト値が大きい場合はそれよりも前に、ユーザーに通知され、タイムアウト値に設定されたのと同じ時間だけセッションを延長するオプションが提供されます。たとえば、タイムアウトが20分に設定されている場合、ユーザーはさらに20分間セッションを延長できます。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.2.11 Oracle Key Vaultの再起動または電源切断

メンテナンスまたはパッチおよびアップグレード手順の必要に応じて、Oracle Key Vaultを手動で再起動または電源切断できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Status」を選択します。
「Status」ページの上部に移動します。

図217_restart_power_off.pngの説明
次の内の1つを実行します。
- 再起動するには、「Reboot」をクリックします。
- 電源を切断するには、「Power Off」をクリックします。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

18.3 マルチマスター・クラスタ環境でのOracle Key Vaultの構成

マルチマスター・クラスタ環境でOracle Key Vaultを構成する場合、個々のノードまたはマルチマスター・クラスタ環境全体を構成できます。

マルチマスター・クラスタ環境でのOracle Key Vaultの構成について
個々のノードまたはマルチマスター・クラスタ全体の設定を構成するオプションがあります。
個別のマルチマスター・クラスタ・ノードのシステム設定の構成
個別のマルチマスター・クラスタ・ノードの設定は、そのノードのOracle Key Vault管理コンソールから設定または変更します。
Oracle Key Vaultマルチマスター・クラスタの管理
Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultマルチマスター・クラスタを作成、構成および管理できます。

親トピック: Oracle Key Vaultの一般的なシステム管理

18.3.1 マルチマスター・クラスタ環境でのOracle Key Vaultの構成について

個々のノードまたはマルチマスター・クラスタ全体の設定を構成するオプションがあります。

一部の設定はマルチマスター・クラスタ全体で同じであり、すべてのクラスタ・ノードに適用されます。そのような設定については、ノードごとに異なる値を構成できません。そのような設定の例としては、「Console Timeout」や「Maximum Disable Node Duration」などがあります。

一部の設定は、個別のクラスタ・ノード・レベルでのみ構成できます。そのような設定は、各クラスタ・ノードで個別に構成する必要があります。そのような設定の例には、「Network Info」や「SSH Access」などがあります。

一部の設定は、個別のクラスタ・ノード・レベルとクラスタ全体レベルの両方で構成できます。両方のレベルで設定を構成すると、クラスタ・ノード・レベルで設定した値が有効になります。そのような設定の例には、「DNS」、「NTP」、「SNMP」などがあります

クラスタ全体に値を設定すると、変更が他のノードに伝播されるまでに数分かかる場合があります。

「Settings」ページから構成を開始すると、次の「View Settings」メニュー・オプションを選択して、ノード・レベルのみ、クラスタ・レベルのみ、またはその両方で設定できるかどうかに基づいて設定項目をフィルタ処理できます。

Node only: 個別のノード・レベルでのみ構成できる設定が表示されます。そうした設定は、各クラスタ・ノードで個別に構成します。そのような設定の例には、「Network Info」や「SSH Access」などがあります。
Cluster only: クラスタ全体の設定を表示し、それらを更新することですべてのクラスタ・ノードの設定が変更されます。そのような設定の例には、「Alerts」、「Console Timeout」、「Maximum Disable Node Duration」などがあります。
Both: ノード・レベルとクラスタ・レベルの両方で設定できる設定項目が表示されます。両方のレベルで設定を構成すると、そのノードではノード・レベルで設定した値が有効になります。そのような設定の例には、「DNS」、「NTP」、「SNMP」などがあります。

これらの設定は、それぞれの設定ページの右矢印ボタンを使用することで、ノード設定とクラスタ設定の間でナビゲートできます。たとえば、「DNS」を選択した場合は、現在のノードまたはクラスタ全体、あるいはその両方のDNS設定を構成できます。
「All」では、使用可能なすべての設定がフィルタなしで表示されます。

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultの構成

18.3.2 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

個別のマルチマスター・クラスタ・ノードの設定は、そのノードのOracle Key Vault管理コンソールから設定または変更します。

次のレベルで設定できる設定項目が含まれます。

個別のノード・レベルのみ
個別のノード・レベルとクラスタ全体レベル。

個別のノードに設定した値は、クラスタ・レベルで設定した値をオーバーライドします。個別のノード・レベルの設定をクリアすると、クラスタ・レベルの設定に戻すことができます。

こうした設定の例には、ネットワーク詳細、ネットワーク・アクセス、システム時間、FIPSモード、syslogおよびOracle Audit Vault統合があります。

ノードのネットワーク詳細の構成
マルチマスター・クラスタでは、ノードのホスト名を変更できます。
ノードのネットワーク・アクセスの構成
マルチマスター・クラスタでは、ノードのネットワーク・アクセスを構成できます。
ノードのDNSの構成
マルチマスター・クラスタ・ノードのDNSを構成するときは、複数のDNS IPアドレスを入力する必要があります。
ノードのシステム時間の構成
マルチマスター・クラスタでは、Oracle Key VaultをNTPタイム・ソースと同期させる必要があります。クラスタのすべてのノードは、ノード間レプリケーションが正しく機能するように、同じシステム時間(または調整されたシステム時間)で動作する必要があります。
ノードのFIPSモードの構成
すべてのマルチマスター・クラスタ・ノードで同じFIPSモード設定を使用する必要があります。使用しないとアラートを受信します。
ノードのSyslogの構成
マルチマスター・クラスタ・ノードでは、特定の宛先のsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。
ノードのネットワーク・インタフェース・モードの変更
マルチマスター・クラスタ環境では、ノードのネットワーク・インタフェースのデュアルNICモードとクラシック・モードを切り替えることができます。
ノードの監査の構成
ノードの監査設定を有効または無効にできます。
ノードのSNMP設定の構成
マルチマスター・クラスタ・ノードのSNMPアクセスを有効または無効にできます。
ノードのOracle Audit Vault統合の確認
Oracle Key Vaultは、一元化された監査レポートおよびアラートのために、ノードからOracle Audit Vaultに監査レコードを送信できます。
ノードからのOracle Key Vaultの再起動または電源切断
メンテナンスまたはパッチおよびアップグレード手順の必要に応じて、Oracle Key Vaultノードを手動で再起動または電源切断できます。

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultの構成

18.3.2.1 ノードのネットワーク詳細の構成

マルチマスター・クラスタでは、ノードのホスト名を変更できます。

システム管理者ロールを持っているユーザーとしてノートのOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Details」領域で、「Network Info」を選択します。
「Host Name」フィールドに、ノードのホスト名を入力します。
自動的に移入される「IP Address」、「Network Mask」、「Gateway」および「MAC Address」フィールドは変更できません。
「Save」をクリックします。

親トピック: 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

18.3.2.2 ノードのネットワーク・アクセスの構成

マルチマスター・クラスタでは、ノードのネットワーク・アクセスを構成できます。

システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Details」領域で、「Web Access」を選択します。

図21_web_access.pngの説明
次のオプションのいずれかを選択します。
- All: すべてのIPアドレスが選択されます。
- IP Address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。「Web Access」オプションとして「IP address(es)」を使用すると、組織のニーズに応じて指定した一連の限られたIPアドレスに、Oracle Key Vault管理コンソールへのアクセスを制限できます。
「Save」をクリックします。
SSHアクセスを設定するには、「Settings」ページの「Network Details」の下の「SSH Access」を選択します。
「SSH Access」を有効化すると、コマンドラインからOracle Key Vaultにアクセスできるようになります。このことは、管理コンソールからすぐには理解できない問題の診断に役立ちます。ユーザーsupportとして、インストール時に作成したサポート・パスワードを使用してログインします。SSHアクセスは、Oracle Supportの指示がある場合、またはアップグレードする場合にのみ使用されます。
診断、トラブルシューティングまたはアップグレードの目的でSSHアクセスを短期間だけ有効化し、作業が終了したらすぐに無効化することをお薦めします。

SSHアクセスを有効化または無効化すると、Oracle Key VaultサーバーへのインバウンドSSH接続が有効化または無効化されます。この方法でSSHアクセスを有効化または無効化しても、SSHトンネル設定またはOracle Key Vaultサーバー自体が確立した他のアウトバウンドSSH接続に影響はありません。SSHトンネル設定の場合のように、Oracle Key Vaultでは他のサーバーへのSSH接続も確立できます。
「SSH Access」ウィンドウで、次の設定を入力します。
- Disabled: すべてのIPアドレスのSSHアクセスを無効にする場合
- IP Address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。
- All: すべてのIPアドレスからSSHアクセスを有効にする場合
「Save」をクリックします。

親トピック: 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

18.3.2.3 ノードのDNSの構成

マルチマスター・クラスタ・ノードにDNSを構成する場合は、複数のDNS IPアドレスを入力する必要があります。

システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Services」領域で、「DNS」をクリックします。
「DNS」ウィンドウで、この「Node」ページの「Node Details - Effective」が表示されていることを確認します。
「Cluster Details」ページが表示されている場合は、右側の矢印をクリックしてこの「Node」の「Node Details - Effective」に戻ります。
この「Node」ウィンドウの「Node Details - Effective」で、最大3つのDNSサーバーIPアドレスを入力します。
少なくともServer 1のDNS設定を構成する必要があります。最初の値のみ必須ですが、フォルト・トレランスのために他の2つの入力をお薦めします。
「Save」をクリックします。

親トピック: 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

18.3.2.4 ノードのシステム時間の構成

マルチマスター・クラスタでは、Oracle Key VaultをNTPタイム・ソースと同期させる必要があります。クラスタのすべてのノードは、ノード間レプリケーションが正しく機能するように、同じシステム時間(または調整されたシステム時間)で動作する必要があります。

システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Services」領域で、「NTP」をクリックします。
クラスタ・モードでは、ネットワーク・タイム・プロトコル(NTP)を使用する必要があるため、「Use Network Time Protocol」から「Set Manually」に選択を変更できません。
「System Time」ウィンドウで、「Node」ページの「Node Details - Effective on」が表示されていることを確認します。
「Cluster Details」ページが表示されている場合は、右側の矢印をクリックしてこの「Node」の「Node Details - Effective」に戻ります。
この「Node」ページの「Node Details - Effective」で、次のフィールドに値を入力します。
- Server 1: 1番目のNTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。変更内容をNTP構成に保持するには、「Apply Server」をクリックします。
- Server 2: 2番目のNTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。変更内容をNTP構成に保持するには、「Apply Server」をクリックします。
- Server 3: 3番目のNTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。変更内容をNTP構成に保持するには、「Apply Server」をクリックします。
「Save」(または「Save to Cluster」)をクリックします。

親トピック: 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

18.3.2.5 ノードのFIPSモードの構成

すべてのマルチマスター・クラスタ・ノードでは同じFIPSモード設定を使用する必要があり、そうしないとアラートを受信します。

システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「System Configuration」領域で、「FIPS」をクリックします。
「FIPS Mode」ウィンドウで、次のいずれかを実行します。
- FIPSモードを有効にするには、「Enable」チェック・ボックスを選択します。
- FIPSモードを無効にするには、「Enable」チェック・ボックスの選択を解除します。
FIPSモードを有効または無効にするには数分かかり、システムも自動的に再起動されます。
「Save」をクリックします。
「Save」をクリックすると、Oracle Key Vaultが自動的に再起動します。

親トピック: 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

18.3.2.6 ノードのSyslogの構成

マルチマスター・クラスタ・ノードでは、特定の宛先のsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。

システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitoring and Alerts」領域で、「Syslog」をクリックします。
「Syslog」ウィンドウで、この「Node」ページの「Node Details - Effective」が表示されていることを確認します。
「Cluster Details」ページが表示されている場合は、右側の矢印をクリックしてこの「Node」の「Node Details - Effective」に戻ります。
この「Node」ページの「Node Details - Effective」で、次のプロトコルの1つを選択します。
- TCP: TCPプロトコルを使用してsyslogを有効にします。
- UDP: UDPプロトコルを使用してsyslogを有効にします。
「Syslog Destinationsフィールドに、syslog宛先IPアドレスとポート番号をIP_address:portの形式で入力します。
複数の宛先をスペースで区切って入力できます。
「Save」をクリックします。

ノート:
syslog転送を使用して、syslogメッセージ(監査レコードがsyslogに送信される場合の監査レコードを含む)をSplunkなどのSIEM (Security Information and Event Management)ソリューションに送信できます。

関連トピック

システム監査の管理

親トピック: 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

18.3.2.7 ノードのネットワーク・インタフェース・モードの変更

マルチマスター・クラスタ環境では、ノードのネットワーク・インタフェースのデュアルNICモードとクラシック・モードを切り替えることができます。

プライマリ/スタンバイ構成を使用している場合、このモードは変更できません。最初に、Oracle Key Vaultアプライアンス・ソフトウェアをインストールしたときにネットワーク・インタフェース・モードを構成しました。ネットワーク・モードを変更する前に、クラスタ・ノードを無効にする必要があることに注意してください。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
クラスタ・ノードを無効にします。
supportユーザーとして、SSHを使用してOracle Key Vaultサーバーにログインします。
ユーザーをrootに切り替えます(su)。
```
ssh support@okv_server_IP_address
su - root
```
コマンドラインで、次のスクリプトを実行します:
```
/usr/local/okv/bin/okv_configure_network
```
「Select Network Mode」ウィンドウで、使用するネットワーク・インタフェースを選択して「OK」を選択します。

図21_select_network_mode.pngの説明
ネットワーク・モードにクラシック・モードを使用する場合は、次のステップを実行します。
Oracle Key Vaultの21.xリリースより前の唯一の使用可能なモードであるクラシック・モードでは、1つのネットワーク・インタフェースを使用できます。後でデュアルNICモードに切り替えることはできますが、スタンドアロン構成を使用している場合のみです。マルチマスター・クラスタまたはプライマリ/スタンバイ構成を使用している場合は、モードを変更できません。サーバーにネットワーク・カードが1つしかない場合は、このオプションを選択します。
1. 1を選択してクラシック・モードを選択し、「OK」を選択します。
2. 選択のデフォルトのネットワーク・インタフェース画面で、使用可能なオプションから選択し、「OK」を選択します。
3. ネットワーク設定画面で、デフォルトのネットワーク・インタフェースに「IP address」、「Network mask」および「Gateway」設定を入力します。この情報は、サイトのネットワーク管理者が提供できます。
4. 「OK」を選択します。
デュアルNICネットワーク・モードを使用する場合は、次のステップを実行します。
デュアルNICモードでは、2つのネットワーク・インタフェースまたはイーサネット・ポートを使用するようにOracle Key Vaultを構成できます。これは、物理的障害またはソフトウェア障害に対するガードとして役立ち、ネットワーク・レイヤーに冗長性を追加します。操作の継続性がより必要な場合およびネットワークが長時間使用できないためにクラスタから削除されないようにするには、デュアルNICモードを選択します。デュアルNICモードは、ノードの接続が失われ、クラスタ内のデータに加えられた変更が失われる可能性がある状況を回避するのに役立ちます。
1. 2を選択してデュアルNICモードを選択し、「OK」を選択します。
2. 「Select Bond Mode」画面で、使用する2つのネットワーク・インタフェースの結合モードの選択肢から選択し、「OK」を選択します。
  - ラウンド・ロビンは、ネットワーク・パケットが最初に使用可能なインタフェースから最後まで順次送受信されるようにネットワーク・インタフェースを構成します。このボンディング・モードがデフォルトです。このモードでは、フォルト・トレランスおよびロード・バランシングが提供され、EtherChannelがサポートされているネットワーク・スイッチにリンクを接続する必要があります。
  - アクティブ・バックアップは、ネットワーク・インタフェースをアクティブおよびバックアップとして構成します。ボンド内の1つのインタフェースのみがアクティブになります。アクティブなインタフェースに障害が発生した場合にのみ、別のインタフェースがアクティブになります。ネットワーク通信は、アクティブなインタフェースを介して行われます。このモードではフォルト・トレランスが提供され、スイッチのサポートは必要ありません。
  - 802.3adでは、同じ速度および二重設定を共有する集計グループが作成されます。ネットワーク・パケットは、すべてのインタフェースで送受信されます。このモードではフォルト・トレランスおよびロード・バランシングが提供され、IEEE 802.3ad動的リンク・アグリゲーションをサポートするスイッチが必要です。
3. 選択の2つのネットワーク・インタフェース画面で、目的の2つのネットワーク・インタフェースを選択し、「OK」を選択します。
4. ネットワーク設定画面で、デフォルトのネットワーク・インタフェースに「IP address」、「Network mask」、「Gateway」および「Hostname」設定を入力します。この情報は、サイトのネットワーク管理者が提供できます。ホスト名には小文字のみを使用します。ホスト名は、完全修飾ホスト名または短縮ホスト名です。
5. 「OK」を選択します。
無効化されたクラスタ・ノードを再度有効にします。

ネットワーク・モードの変更後に、Oracle Key Vaultを再起動する必要はありません。

18.3.2.8 ノードの監査の構成

ノードの監査設定を有効または無効にできます。

監査マネージャ・ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitoring and Alerts」領域で、「Audit」をクリックします。
次の監査カテゴリを有効または無効にできます。
- Auto Purge Audit Records: この設定により、監査レコードの自動パージをオンまたはオフにします。
  
  ノート:
  クラスタ・レベルの設定は、「Auto Purge Audit Records」には適用されません。
- Enable Auditing: この設定では、監査をオンまたはオフにします。この設定をオフにすると、監査レコードは生成されません。
- Send Audit Records to Syslog: この設定では、監査レコードをsyslogに書き込みます。この設定を有効にするには、最初にsyslog宛先を構成する必要があります。
これらの各カテゴリの「Audit Settings」ウィンドウで、この「Node」ページの「Node Details - Effective」が表示されていることを確認します。
「Cluster Details」ページが表示されている場合は、右側の矢印をクリックしてこの「Node」の「Node Details - Effective」に戻ります。
この「Node」ページの「Node Details - Effective」で、カテゴリごとに「Yes」または「No」を選択します。
「Save」をクリックします。

関連トピック

システム監査の管理

親トピック: 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

18.3.2.9 ノードのSNMP設定の構成

マルチマスター・クラスタ・ノードのSNMPアクセスを有効または無効にできます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitoring and Alerts」領域で、「SNMP」をクリックします。
「SNMP」ウィンドウで、この「Node」ページの「Node Details - Effective」が表示されていることを確認します。
「Cluster Details」ページが表示されている場合は、右側の矢印をクリックしてこの「Node」の「Node Details - Effective」に戻ります。
この「Node」ページの「Node Details - Effective」で、次のいずれかのオプションを選択して、マルチマスター・クラスタへのSNMPアクセス権を持つユーザーを選択します。
- All: すべてのIPアドレスからSNMPアクセスを許可します。
- Disabled: SNMPアクセスは許可されません。
- IP address(es): アドレス・ボックスに指定されたIPアドレスのリストからSNMPアクセスを許可します。 IPアドレスのスペース区切りリストを入力します。
次のフィールドに値を入力します。
- Username: SNMPユーザー名を入力します。
- Password: SNMPパスワードを入力します。
- Reenter Password: SNMPパスワードを再入力します。
「Save」をクリックします。
または、「Delete」を選択してSNMP設定を削除できます。

親トピック: 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

18.3.2.10 ノードのOracle Audit Vault統合の確認

Oracle Key Vaultは、一元化された監査レポートおよびアラートのために、ノードからOracle Audit Vaultに監査レコードを送信できます。

システム管理者ロールまたは監査マネージャを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
所有しているロールに応じて、次のようにナビゲートします。
- システム管理者ロールがあるが監査マネージャ・ロールがない場合、またはシステム管理者ロールと監査マネージャ・ロールの両方がある場合: 左側のナビゲーション・バーから「System」タブ、「Settings」の順に選択します。「Monitoring and Alerts」領域で、「Audit Vault」をクリックします。
- 監査マネージャ・ロールのみがある場合: 「System」タブを選択し、左側のナビゲーション・バーで「Audit Vault Integration」を選択します。
「Monitoring」タブを選択します。
「Monitoring」ペインは、モニタリングがアクティブかどうかを示します。Oracle Key VaultがOracle Audit Vaultと統合されていない場合は、「Deployment」ペインのみが表示されます。Audit Vaultを統合する場合は、統合を実行するための監査マネージャ・ロールを持つユーザーとしてログオンします。

関連トピック

Oracle Audit Vaultを使用したOracle Key Vaultの構成

親トピック: 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

18.3.2.11 ノードからのOracle Key Vaultの再起動または電源切断

メンテナンスまたはパッチおよびアップグレード手順の必要に応じて、Oracle Key Vaultノードを手動で再起動または電源切断できます。

Oracle Key Vaultノードを再起動または電源切断すると、現在のノードのみが再起動または電源切断されます。クラスタ内の他のノードは、電源が切断されているノードとの間で情報を送信できません。ノードが再起動されると、再起動されたノードが停止中に発生したアクティビティに追い付くための時間が必要になります。

システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Status」を選択します。
「Status」ページの上部で、次のいずれかを実行してノードを再起動するか、電源を切ります。
- 再起動するには、「Reboot」をクリックします。
- 電源を切断するには、「Power Off」をクリックします。

親トピック: 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

18.3.3 Oracle Key Vaultマルチマスター・クラスタの管理

Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultのマルチマスター・クラスタを作成、構成および管理できます。

クラスタのシステム時間の構成
マルチマスター・クラスタでは、Oracle Key VaultをNTPタイム・ソースと同期できます。
クラスタのDNSの構成
クラスタのDNSを構成するときは、最大3つのDNSサーバーIPアドレスを入力できます。
クラスタの最大無効化ノード期間の構成
クラスタの最大無効化ノード継続時間を時間単位で設定できます。
クラスタのSyslogの構成
マルチマスター・クラスタ環境では、特定の宛先のsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。
クラスタのRESTfulサービスの構成
クラスタに対してRESTfulサービスを有効または無効にできます。
クラスタの監査の構成
クラスタの監査設定を有効または無効にできます。
クラスタのSNMP設定の構成
マルチマスター・クラスタのSNMPアクセスを有効または無効にできます。
クラスタのOracle Key Vault管理コンソールのWebセッション・タイムアウトの構成
マルチマスター・クラスタ内のすべてのノードに対して、Oracle Key Vault管理コンソールのタイムアウト値を分単位で構成できます。

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultの構成

18.3.3.1 クラスタのシステム時間の構成

マルチマスター・クラスタでは、Oracle Key VaultをNTPタイム・ソースと同期できます。

クラスタのすべてのノードは、ノード間レプリケーションが正しく機能するように、同じシステム時間(または調整されたシステム時間)で動作する必要があります。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Services」領域で、「NTP」をクリックします。
「System Time」ページで、左側の矢印をクリックして「Cluster Details」ページに切り替えます。
「Cluster Details」ページで、次のフィールドに値を入力します。
- Server 1: 1番目のNTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
- Server 2: 2番目のNTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。変更内容をNTP構成に保持するには、「Apply Server」をクリックします。
- Server 3: 3番目のNTPサーバーのIPアドレスを入力します。NTPサーバーをテストするには、「Test Server」をクリックします。変更内容をNTP構成に保持するには、「Apply Server」をクリックします。
「Save」をクリックします。

親トピック: Oracle Key Vaultマルチマスター・クラスタの管理

18.3.3.2 クラスタのDNSの構成

クラスタのDNSを構成するとき、DNSサーバーのIPアドレスを最大で3つ入力できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Services」領域で、「DNS」をクリックします。

「DNS」ウィンドウで、「Cluster Details」ページが表示されていることを確認します。
「Node」ページで「Node Details - Effective」が表示されている場合は、右側の矢印をクリックして「Cluster Details」ページに戻ります。
「Cluster Details」ページで、最大3つのDNS Server IPアドレスを入力します。
少なくともServer 1のDNS設定を構成する必要があります。最初の値のみ必須ですが、フォルト・トレランスのために他の2つの入力をお薦めします。
「Save」をクリックします。

親トピック: Oracle Key Vaultマルチマスター・クラスタの管理

18.3.3.3 クラスタの最大無効化ノード期間の構成

クラスタの最大無効化ノード継続時間を時間単位で設定できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「System Configuration」領域で、「Maximum Disable Node Duration」をクリックします。
「Maximum Disable Node Duration」ウィンドウで、ノードをクラスタから削除する前に無効化できる期間の値を時間単位で入力します。
この値を大きくすると、クラスタ関連のデータによって消費されるディスク領域の平均量も大きくなる点に注意してください。
「Save」をクリックします。

親トピック: Oracle Key Vaultマルチマスター・クラスタの管理

18.3.3.4 クラスタのSyslogの構成

マルチマスター・クラスタ環境では、特定の宛先に対してsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitor and Alerts」領域で、「Syslog」をクリックします。
「Syslog」ページで、左側の矢印をクリックして「Cluster Details」ページに切り替えます。
「Cluster Details」ページで、次のいずれかのプロトコルを選択します。
- TCP: TCPプロトコルを使用してsyslogを有効にします。
- UDP: UDPプロトコルを使用してsyslogを有効にします。
「Syslog Destinationsフィールドに、syslog宛先IPアドレスとポート番号をIP_address:portの形式で入力します。
複数の宛先をスペースで区切って入力できます。
「Save」をクリックします。

ノート:
syslog転送を使用して、syslogメッセージ(監査レコードがsyslogに送信される場合の監査レコードを含む)をSplunkなどのSIEM (Security Information and Event Management)ソリューションに送信できます。

関連トピック

システム監査の管理

親トピック: Oracle Key Vaultマルチマスター・クラスタの管理

18.3.3.5 クラスタのRESTfulサービスの構成

クラスタのRESTfulサービスを有効または無効にできます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「System Configuration」領域で、「RESTful Services」をクリックします。
「RESTful Services」ウィンドウで、「Enable」チェック・ボックスを選択します。
「Save」をクリックします。
これらのサービスを使用するには、「Download」をクリックしてOracle Key Vault RESTfulサービス・ユーティリティokvrestclipackage.zipをダウンロードします。
クラシック・ユーティリティokvrestservices.jarをダウンロードするには、「Download Classic Utility」をクリックします。

親トピック: Oracle Key Vaultマルチマスター・クラスタの管理

18.3.3.6 クラスタの監査の構成

クラスタの監査設定を有効または無効にできます。

監査マネージャ・ロールを持っているユーザーとして任意のOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitoring and Alerts」領域で、「Auditing」をクリックします。
次の監査カテゴリを有効または無効にできます。
- Enable Auditing: この設定では、監査をオンまたはオフにします。この設定をオフにすると、監査レコードは生成されません。
- Replicate Audit Records: この設定はクラスタ構成にのみ適用されます。監査レコードがクラスタ・ノード間でレプリケートされるかどうかを示します。
- Send Audit Records to Syslog: この設定では、監査レコードをsyslogに書き込みます。この設定を有効にするには、最初にsyslog宛先を構成する必要があります。
- Auto Purge Audit Records: この設定では、自動パージ監査レコードが書き込まれます。クラスタ・レベルの設定は、「Auto Purge Audit Records」には適用されません。
「Audit Settings」ページで、これらの各カテゴリの左矢印をクリックして、「Cluster Details」ページに切り替えます。
「Cluster Details」ページで、カテゴリごとに「Yes」または「No」を選択します。
「Save」をクリックします。

関連トピック

システム監査の管理

親トピック: Oracle Key Vaultマルチマスター・クラスタの管理

18.3.3.7 クラスタのSNMP設定の構成

マルチマスター・クラスタのSNMPアクセスを有効または無効にできます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitoring and Alerts」領域で、「SNMP」をクリックします。
次のいずれかのオプションを選択して、マルチマスター・クラスタへのSNMPアクセス権を持つユーザーを選択します。
- All: すべてのIPアドレスからSNMPアクセスを許可します。
- Disabled: SNMPアクセスは許可されません。
- IP address(es): アドレス・ボックスに指定されたIPアドレスのリストからSNMPアクセスを許可します。 IPアドレスのスペース区切りリストを入力します。
次のフィールドに値を入力します。
- Username: SNMPユーザー名を入力します。
- Password: SNMPパスワードを入力します。
- Reenter Password: SNMPパスワードを再入力します。
「Save」をクリックします。
または、「Delete」を選択してSNMP設定を削除できます。

親トピック: Oracle Key Vaultマルチマスター・クラスタの管理

18.3.3.8 クラスタのOracle Key Vault管理コンソールのWebセッション・タイムアウトの構成

マルチマスター・クラスタ内のすべてのノードについて、Oracle Key Vault管理コンソールのタイムアウト値を分単位で構成できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「System Configuration」領域で、「Console Timeout」をクリックします。
「Management Console Timeout」ウィンドウで、タイムアウトの値を分単位で入力します。
デフォルト値は10です。入力できる範囲は、1から100です。
「Save」をクリックします。
「Save」をクリックすると、クラスタ内のすべてのノードに設定が適用されます。現在アクティブなユーザーWebセッションおよび他のアクティブなセッションの場合、この設定は、セッションが延長されたとき、ユーザーがページをリフレッシュしたとき、またはユーザーが別のページに移動したときに有効になります。ユーザー・セッションは、ユーザーがボタンをクリックするか、マウスを移動するか、キーを押すか、または他のアクティビティを実行しているかぎり、アクティブなままです。ユーザー・セッションが管理コンソールのタイムアウト時間を超えてアイドル状態になっている場合、ユーザーはログアウトされ、ログイン画面が表示されます。

親トピック: Oracle Key Vaultマルチマスター・クラスタの管理

18.4 システム・リカバリの管理

システム・リカバリには、失われた管理パスワードのリカバリなどのタスクが含まれます。

システム・リカバリの管理について
システム・リカバリを実行するには、リカバリ・パスフレーズを使用します。
管理者の資格証明のリカバリ
管理ユーザーの資格証明を追加することで、システムをリカバリできます。
マルチマスター以外のクラスタ環境でのリカバリ・パスフレーズの変更
リカバリ・パスフレーズを定期的に変更することがセキュリティ上のよい習慣です。
マルチマスター・クラスタでのリカバリ・パスフレーズの変更
マルチマスター・クラスタでのリカバリ・パスフレーズの変更は、2ステップのプロセスです。

親トピック: Oracle Key Vaultの一般的なシステム管理

18.4.1 システム・リカバリの管理について

システム・リカバリを実行するには、リカバリ・パスフレーズを使用します。

緊急時に管理ユーザーがいない場合、または管理ユーザーのパスワードを変更する必要がある場合は、Oracle Key Vaultの現在のリカバリ・パスフレーズを使用してシステムをリカバリできます。また、セキュリティのベスト・プラクティスに従ってリカバリ・パスフレーズを変更することもできます。

親トピック: システム・リカバリの管理

18.4.2 管理者の資格証明のリカバリ

管理ユーザーの資格証明を追加して、システムをリカバリできます。

HTTPSを使用するWebブラウザで、Oracle Key VaultサーバーのIPアドレスを入力します。
Oracle Key Vaultのログイン・ページで、ログインしないでください。
ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。

「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。
「Recovery Passphrase」フィールドにリカバリ・パスフレーズを入力し、「Login」をクリックします。
表示されるページで、「Administrator Recovery」タブを選択して「Administrator Management」ページを表示します。
「User Name」フィールドにOracle Key Vault管理ユーザーの名前を入力し、「Search」をクリックします。
「Administrator Recovery」ページが展開され、ユーザーに現在付与されている各ロールの「Allow Forward Grant」チェック・ボックスが表示されます。次に例を示します。
図214_recover_admin_roles.pngの説明
管理ユーザーに付与する各ロールを選択または選択解除します。選択した各ロールについて、ユーザーがロールを他のユーザーに付与できるようにする場合は、「Allow Forward Grant」チェック・ボックスを選択します。
「Modify」をクリックします。

親トピック: システム・リカバリの管理

18.4.3 マルチマスター以外のクラスタ環境でのリカバリ・パスフレーズの変更

リカバリ・パスフレーズを定期的に変更することがセキュリティ上のよい習慣です。

リカバリ・パスフレーズを変更する場合は、常に、システム管理者ロールを持っているユーザーが新しくバックアップを行って、最新のリカバリ・パスフレーズで保護されたバックアップが常に存在する状態にする必要があります。これにより、最新のデータを含むバックアップが必ず1つ以上存在することになります。

サーバー・バックアップを実行します。
Webブラウザで、Oracle Key VaultサーバーのIPアドレスを入力します。
Oracle Key Vaultのログイン・ページで、ログインしないでください。
ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。

「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。
「Recovery Passphrase」フィールドにリカバリ・パスフレーズを入力し、「Login」をクリックします。
表示されるページで、「Administrator Recovery」タブを選択します。
「Recovery Passphrase」タブを選択します。
「Recovery Passphrase」ページで、リカバリ・パスフレーズの新しいパスワードを入力して再入力します。
「Submit」をクリックします。
サーバー・バックアップを実行します。

親トピック: システム・リカバリの管理

18.4.4 マルチマスター・クラスタのリカバリ・パスフレーズの変更

マルチマスター・クラスタでのリカバリ・パスフレーズの変更は、2ステップのプロセスです。

マルチマスター・クラスタのリカバリ・パスフレーズの変更について
マルチマスター・クラスタのリカバリ・パスフレーズを変更するには、まず、クラスタ・ノードの1つからリカバリ・パスフレーズの変更を開始する必要があります。他のクラスタ・ノードは、近い将来のパスフレーズ変更について通知されます。
ステップ1: ノード間のリカバリ・パスフレーズ変更の開始
リカバリ・パスフレーズの変更を開始して、マルチマスター・クラスタのすべてのノードにその変更が通知されるようにする必要があります。
ステップ2: リカバリ・パスフレーズの変更
リカバリ・パスフレーズの変更が近いことがマルチマスター・クラスタ・ノードに通知された後に、リカバリ・パスフレーズを変更できます。

親トピック: システム・リカバリの管理

18.4.4.1 マルチマスター・クラスタのリカバリ・パスフレーズの変更について

マルチマスター・クラスタのリカバリ・パスフレーズを変更するには、まず、クラスタ・ノードの1つからリカバリ・パスフレーズの変更を開始する必要があります。他のクラスタ・ノードは、近い将来のパスフレーズ変更について通知されます。

クラスタ・ノードで新しいリカバリ・パスワードを受け入れる準備ができたら、次の順序で各ノードにリカバリ・フレーズを設定します:

リカバリ・パスフレーズ変更を開始したノード以外のすべてのノードで、新しいリカバリ・パスフレーズを設定します。
他のノードでの新しいリカバリ・パスフレーズ変更を設定したら、リカバリ・パスフレーズ変更を開始したノードの、新しいリカバリ・パスフレーズを設定します。
すべてのノードで同じパスフレーズを設定します。

親トピック: マルチマスター・クラスタのリカバリ・パスフレーズの変更

18.4.4.2 ステップ1: ノード間のリカバリ・パスフレーズ変更の開始

リカバリ・パスフレーズの変更を開始して、マルチマスター・クラスタのすべてのノードにその変更が通知されるようにする必要があります。

システム管理者ロールを持つユーザーは、リカバリ・パスフレーズが変更されるたびに新しいバックアップを実行する必要があります。これは、現在のリカバリ・パスフレーズで保護されているバックアップが常に存在するようにするためです。これにより、最新のデータを含むバックアップが必ず1つ以上存在することになります。

サーバー・バックアップを実行します。
すべてのノードがACTIVE状態で、すべてのノード間でレプリケーションが検証されていることを確認します。進行中のクラスタ操作(ノードの追加など)がないことを確認します。
Webブラウザから、読取り専用制限モードでないマルチマスター・クラスタ・ノードのIPアドレスを入力します。
Oracle Key Vaultのログイン・ページで、ログインしないでください。
ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。

「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。
「Recovery Passphrase」フィールドにリカバリ・パスフレーズを入力し、「Login」をクリックします。
「Recovery Passphrase」タブをクリックします。
「Initiate Change」ボタンをクリックします。
ログアウトします。
3分から4分待機してから続行します。

この間に、パスフレーズの変更が実行されることがすべてのノードに通知されます。パスフレーズの変更を取り消すには、「Reset」ボタンをクリックします。

すべてのノードで、複数のパスフレーズの変更が開始されたかどうかが判断されます。複数のパスフレーズの変更が開始されると、競合解決が実行されます。

「Reset」ボタンを使用してパスフレーズの変更を取り消した後、問題を修正し、パスフレーズの変更を再度開始してから、クラスタ内のすべてのノードでパスフレーズを変更することをお薦めします。

関連トピック

ステップ2: リカバリ・パスフレーズの変更

親トピック: マルチマスター・クラスタのリカバリ・パスフレーズの変更

18.4.4.3 ステップ2: リカバリ・パスフレーズの変更

リカバリ・パスフレーズの変更が近いことがマルチマスター・クラスタ・ノードに通知された後に、リカバリ・パスフレーズを変更できます。

クラスタ全体のリカバリ・パスフレーズ変更の間は、前述のガイドラインに従ってください。

新しいリカバリ・パスフレーズを各ノードで設定します。
新しいリカバリ・パスフレーズは、まず、開始ノード(つまり、リカバリ・パスフレーズ変更を開始したノード)以外のすべてのノードで設定します。
最後に、開始ノードで新しいリカバリ・パスフレーズを設定します。
すべてのノードで同じリカバリ・パスフレーズが使用されています。

リカバリ・パスフレーズを変更する前に、ノードで新しいパスフレーズの受入れ準備ができていることを確認します。これは、新しいパスワードを受け入れるフィールドが「System Recovery」ページの「Recovery Passphrase」タブに存在することによって示されます。

Webブラウザで、Oracle Key Vaultインストールのマルチマスター・クラスタ・ノードのIPアドレスを入力します。
Oracle Key Vault管理コンソールで使用可能なノードのリストを確認するには、「Clusters」タブを選択し、「Cluster Details」セクションをチェックします。
Oracle Key Vaultのログイン・ページで、ログインしないでください。
ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。

「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。
「Recovery Passphrase」フィールドにリカバリ・パスフレーズを入力し、「Login」をクリックします。
「Recovery Passphrase」タブをクリックします。
2つのフィールドに新しいリカバリ・パスフレーズを入力します。
「Submit」をクリックします。
クラスタ内の各ノードに対して前述のステップを繰り返します。必ず最後に開始ノードでこれらの手順を実行します。

ノート:
リカバリ・パスフレーズの変更中は、HSM逆移行を実行できません。

注意:
ユーザーは、クラスタ内のすべてのノードでリカバリ・パスフレーズを同一に保つ必要があります。クラスタ・ノード間で異なるリカバリ・パスフレーズを設定すると、クラスタ機能(ノードやHSM対応ノードの追加など)に悪影響を及ぼすことがあります。ノードおよびHSM対応ノードの追加に加えて、マルチマスター・クラスタ内の証明書のローテーションでも、同じリカバリ・パスフレーズをすべてのノードに設定しておく必要があります。

関連トピック

ステップ1: ノード間のリカバリ・パスフレーズ変更の開始

親トピック: マルチマスター・クラスタのリカバリ・パスフレーズの変更

18.5 プライマリ・スタンバイ環境のサポート

Oracle Key Vaultが常にセキュリティ・オブジェクトにアクセスできるように、Oracle Key Vaultをプライマリ/スタンバイ(可用性の高い)構成にデプロイできます。

この構成は、障害時リカバリ・シナリオもサポートします。

プライマリ/スタンバイ構成では、2台のOracle Key Vaultサーバーをデプロイできます。プライマリ・サーバーは、エンドポイントからのリクエストにサービスを提供します。プライマリ・サーバーで障害が発生した場合、事前に設定された構成可能な遅延の後にスタンバイ・サーバーが引き継ぎます。この構成可能な遅延によって、通信が短時間断絶した場合にスタンバイ・サーバーによる不必要な引継ぎが発生しないようにできます。

プライマリ・スタンバイ構成は、以前は高可用性構成と呼ばれていました。プライマリ・スタンバイ構成とマルチマスター・クラスタ構成は相互に排他的です。

Oracle Key Vaultでは、プライマリ・スタンバイ読取り専用制限モードをサポートしています。プライマリOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合、プライマリ/スタンバイ読取り専用制限モードでは、Oracle Key Vaultサーバーはエンドポイントにサービスを提供できるため、操作の継続性が保証されます。ただし、監査ログの生成などの操作は影響を受けませんが、キーの生成などの重要で機密性の高い操作は無効になります。

計画外停止によってスタンバイ・サーバーにアクセスできなくなった場合でも、エンドポイントは読取り専用モードでプライマリ・サーバーを使用できます。

関連トピック

Oracle Key Vaultプライマリ・スタンバイ構成について

親トピック: Oracle Key Vaultの一般的なシステム管理

18.6 Commercial National Security Algorithmスイートのサポート

スクリプトを使用して、Oracle Key Vault HSMのバックアップおよびアップグレード操作のためにCommercial National Security Algorithm (CNSA)操作を実行できます。

Commercial National Security Algorithm (CNSA)のサポートについて
Commercial National Security Algorithm (CNSA)スイートに準拠するようにOracle Key Vaultを構成できます。
Commercial National Security Algorithmスクリプトの実行
CNSAスクリプトを実行して、Commercial National Security Algorithm (CNSA)スイートを使用するようにOracle Key Vaultを構成します。
CNSAを使用したバックアップ・リストア操作の実行
拡張されたCommercial National Security Algorithm (CNSA)スイートを使用するように構成されたOracle Key Vaultのバックアップをリストアしたら、/usr/local/okv/bin/okv_cnsaを使用してCNSA準拠を再構成します。
CNSAを使用したスタンドアロンOracle Key Vaultサーバーのアップグレード
okv_cnsaスクリプトをアップグレードして実行することで、Commercial National Security Algorithm (CNSA)準拠を使用しながら、スタンドアロンOracle Key Vaultをアップグレードできます。
CNSAを使用するためのプライマリ/スタンバイOracle Key Vaultサーバーのアップグレード
okv_cnsaスクリプトをアップグレードして実行することで、Commercial National Security Algorithm (CNSA)準拠を使用しながら、Oracle Key Vaultプライマリ/スタンバイ・サーバーをアップグレードできます。

親トピック: Oracle Key Vaultの一般的なシステム管理

18.6.1 Commercial National Security Algorithmスイートのサポートについて

Commercial National Security Algorithm (CNSA)スイートに準拠するようにOracle Key Vaultを構成できます。

この準拠は、Oracle Key Vaultアプライアンスとの間のTLS接続に適用されます。

CNSAスイートは強力な暗号化アルゴリズムとキー長のリストで、将来のセキュリテイおよび関連性を高めます。

Oracle Key Vaultリリース12.2 BP3以降では、システム内のすべてのコンポーネントにわたり完全に準拠しているわけではありません。CNSAアルゴリズム(入手できる場合)には、Oracle Key Vault ISOでパッケージ化されている次のスクリプトによって切り替えることができます。

/usr/local/okv/bin/okv_cnsaは構成ファイルを変更し、できるだけ多くのコンポーネントを更新して拡張されたアルゴリズムを使用します。
/usr/local/okv/bin/okv_cnsa_certは、CNSA準拠の公開キー・ペアと証明書を再生成します。
ノート:
/usr/local/okv/bin/okv_cnsaスクリプトと/usr/local/okv/bin/okv_cnsa_certスクリプトはいずれも破壊的で、これは古いキー・ペアを新しいもので置き換えるためです。このため、次の操作を実行します。
- エンドポイントのエンロール: 可能な場合、このスクリプトの実行後にエンドポイントをエンロールします。CNSAスクリプトを実行する前にエンドポイントがエンロールされている場合、これらを再度エンロールして、CNSAアルゴリズムを使用してCNSA準拠の新しいキーを生成します。
- プライマリ/スタンバイ: 可能な場合、両方のOracle Key VaultインスタンスでCNSAスクリプトを実行してからプライマリ/スタンバイ構成でこれらをペアにします。CNSAスクリプトの実行前にプライマリ/スタンバイを設定していた場合、次のようにプライマリ/スタンバイを再構成する必要があります: プライマリおよびスタンバイのサーバーのペアを解除し、スタンバイ・サーバーを再インストールし、サーバーごとにCNSAスクリプトを個々に実行してから、それらを再度ペアにします。

制限事項:

CNSA準拠は、Oracle Key Vaultインフラストラクチャの一部のコンポーネント(SSHやTransparent Data Encryption (TDE)など)ではサポートされていません。
Firefoxブラウザでは、CNSAを有効化している場合にOracle Key Vault管理コンソールでの使用がサポートされていません。これは、FirefoxブラウザがCNSAで承認されている暗号スイートをサポートしていないためです。

親トピック: Commercial National Security Algorithmスイートのサポート

18.6.2 Commercial National Security Algorithmスクリプトの実行

CNSAスクリプトを実行して、Commercial National Security Algorithm (CNSA)スイートを使用するようにOracle Key Vaultを構成します。

Oracle Key Vaultをバックアップします。
必要に応じて、SSHアクセスを有効にします。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。
supportユーザーとしてOracle Key VaultサーバーにSSHし、プロンプトが表示されたら、インストール後に作成したsupportユーザー・パスワードを入力します。
```
 $ ssh support@okv_instance
```
rootユーザーに変更します。
```
$  su root
```

次のようにスクリプトを実行します。

root#  /usr/local/okv/bin/okv_cnsa
root#  /usr/local/okv/bin/okv_cnsa_cert

SSHアクセスを無効にして、Oracle Key Vaultサーバーを再起動します。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。「System」タブ、「Status」の順に選択して、Oracle Key Vaultサーバーを再起動します。

スクリプトにより、/usr/local/okv/etc/okv_security.confが次の行で更新されます。

USE_ENHANCED_ALGORITHMS_ONLY="1"

関連トピック

バックアップおよびリストア操作

親トピック: Commercial National Security Algorithmスイートのサポート

18.6.3 CNSAを使用したバックアップ・リストア操作の実行

拡張されたCommercial National Security Algorithm (CNSA)スイートを使用するように構成されたOracle Key Vaultのバックアップをリストアしたら、/usr/local/okv/bin/okv_cnsaを使用してCNSA準拠を再構成します。

バックアップ・リストア操作を実行します。
リストア操作が完了し、システムが再起動するまで待機します。
このステップを完了することなく先に進まないでください。
supportユーザーとしてOracle Key VaultサーバーにSSHします。
```
 $ ssh support@okv_instance
```
rootユーザーに切り替えます。
```
$ su root
```
次のCNSAスクリプトを実行します。
```
 root#  /usr/local/okv/bin/okv_cnsa
```

関連トピック

バックアップおよびリストア操作

親トピック: Commercial National Security Algorithmスイートのサポート

18.6.4 CNSAを使用したスタンドアロンOracle Key Vaultサーバーのアップグレード

okv_cnsaスクリプトをアップグレードして実行することで、Commercial National Security Algorithm (CNSA)準拠を使用しながら、スタンドアロンのOracle Key Vaultをアップグレードできます。

データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
このステップを完了することなく先に進まないでください。
システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
必要に応じて、SSHアクセスを有効にします。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。
宛先ディレクトリ内に、アップグレードISOファイルに十分な領域があることを確認します。
SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。
セキュア・コピー・プロトコルか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。
```
scp remote_host:remote_path/okv-upgrade-disc-new_software_release_number.iso /var/lib/oracle/destination_directory_for_iso_file
```
このように指定した場合:
- remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
- remote_pathはISOアップグレード・ファイルの場所です。

mountコマンドを使用して、アップグレードをアクセス可能にします。

root# /bin/mount -o loop,ro /var/lib/oracle/okv-upgrade-disc-new_software_release_number.iso /images

clean allコマンドを使用してキャッシュをクリアします。
```
root# yum -c /images/upgrade.repo clean all
```
次のアップグレードのrubyスクリプトを実行します:
```
root# /usr/bin/ruby/images/upgrade.rb --confirm
```
システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。
```
Remove media and reboot now to fully apply changes
```
エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。
最初のCNSAスクリプトを実行します。これは、Oracle Key Vault ISOファイルの場所から入手できます。
```
 root#  /usr/local/okv/bin/okv_cnsa
```
Oracle Key Vaultサーバーを再起動します。
```
root# /sbin/reboot
```
アップグレード後にコンピュータを初めて再起動すると、必要な変更が適用されます。これには数時間かかる場合があります。この間システムを停止しないでください。

アップグレードは、画面の見出しがOracle Key Vault Server release_number installation has completedになると完了します。release_number値は、アップグレードされたリリースを反映する必要があります。
Oracle Key Vaultが正しいバージョンにアップグレードされていることを確認します。
1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「Status」を選択します。
3. 表示されたバージョンが、新しいソフトウェア・リリースのバージョンになっていることを確認します。
  リリース番号は、各ページ下部の著作権情報の右側にも表示されます。
SSHアクセスを無効にします。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。

関連トピック

https://cryptome.org/2016/01/CNSA-Suite-and-Quantum-Computing-FAQ.pdf

親トピック: Commercial National Security Algorithmスイートのサポート

18.6.5 CNSAを使用するためのプライマリ/スタンバイOracle Key Vaultサーバーのアップグレード

okv_cnsaスクリプトをアップグレードして実行することで、Commercial National Security Algorithm (CNSA)準拠を使用しながら、Oracle Key Vaultプライマリ/スタンバイ・サーバーをアップグレードできます。

スタンバイ・サーバーとプライマリ・サーバーは1つのセッションでアップグレードを実行し、スタンバイのアップグレードとプライマリのアップグレードの間に時間をできるだけ空けないようにする必要があります。アップグレード時間は概算であり、Oracle Key Vaultで格納および管理されているデータのボリュームに応じて変化します。データ量が多いと、アップグレード時間が数時間を超える場合があります。

アップグレードの準備をします。
- アップグレードが進行している間に、設定を変更したり、次に示すアップグレード手順の一部ではない他の操作を実行しないでください:
- 永続キャッシュを構成していない場合は、アップグレード中にエンドポイントを停止する必要があるため、計画されたメンテナンス・ウィンドウ期間にOracle Key Vaultサーバーをアップグレードしてください。永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。
- プライマリとスタンバイの両方のシステムに8GBのメモリーがあることを確認してください。
データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
Oracle Key Vaultサーバーをバックアップしてから停止するまでの時間に、データベースでキーの設定または更新操作(ADMINISTER KEY MANAGEMENT文など)を実行すると、それらの新しいキーがバックアップに含まれないため、これらの操作をしないでください。

このステップを完了することなく先に進まないでください。
最初に、プライマリ・サーバーの実行中にスタンバイ・サーバーをアップグレードします。

CNSAのスタンドアロン・サーバーのアップグレード・プロセスのステップ2から11を実行します。
アップグレードされたスタンバイOracle Key Vaultサーバーが再起動し、実行されていることを確認します。
スタンドアロン・サーバーのアップグレードのステップ1から11を実行して、プライマリOracle Key Vaultサーバーをアップグレードします。

スタンバイおよびプライマリの両方のOracle Key Vaultサーバーがアップグレードされた後、2つのサーバーは自動的に同期されます。
システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、「Status」を選択します。
「Version」フィールドに、新しいソフトウェア・バージョンのリリース番号が表示されていることを確認します。

関連トピック

CNSAを使用したスタンドアロンOracle Key Vaultサーバーのアップグレード

親トピック: Commercial National Security Algorithmスイートのサポート

18.7 停止時間の最小化

業務上重大な操作には、データにアクセスしやすいことと、最小限の停止時間でリカバリできることが必要です。

次の方法で、停止時間を最小限に抑えるようにOracle Key Vaultを構成できます。

マルチマスター・クラスタの構成: 追加のノードの形式で冗長性を追加することで、マルチマスター・クラスタを構成できます。クライアントは使用可能な任意のノードにアクセスできます。いずれかのノードが失敗した場合、クライアントはエンドポイント・ノード・スキャン・リストの別のノードに自動的に接続します。これにより、停止時間が減少したり、停止時間がなくなる可能性もあります。
プライマリ・スタンバイ環境の構成: プライマリ・スタンバイ環境は、スタンバイ・サーバーの形式で冗長性を追加することで構成されます。障害発生時にはスタンバイ・サーバーがプライマリ・サーバーから後を引き継ぐことで、単一障害点を排除し、停止時間を最小限に抑えます。
読取り専用制限モードの有効化: プライマリまたはスタンバイOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合、プライマリ・スタンバイ読取り専用制限モードにより、エンドポイントの操作の継続性が保証されます。計画外停止によってスタンバイ・サーバーにアクセスできなくなった場合でも、エンドポイントはプライマリ・サーバーを使用できます。

プライマリ・スタンバイ読取り専用制限モードが無効になっている場合、スタンバイでの障害発生時に、プライマリ・サーバーは使用できなくなり、リクエストの受け入れは停止されます。プライマリ・サーバーとスタンバイ・サーバーの間で接続が復元されるまで、Oracle Key Vaultに接続されたエンドポイントはキーを取得できません。

プライマリ・サーバーまたはスタンバイ・サーバーに障害が発生した場合のエンドポイントの操作の継続性を保証するには、読取り専用制限モードを有効にします。
永続マスター暗号化キー・キャッシュの有効化: 永続マスター暗号化キー・キャッシュにより、プライマリまたはスタンバイ・サーバーに障害が発生した場合にエンドポイントが確実にキーにアクセスできます。障害が発生したピアから存続するサーバーが後を引き継ぐため、エンドポイントは永続キャッシュからキーを取得して、正常に操作を続行できます。
エンドポイントでのTDE Heartbeatデータベース・パッチの適用: バグ22734547のデータベース・パッチを適用してOracle Key Vaultのハートビートを調整します。

Oracle Key Vaultデータを定期的にバックアップすることをお薦めします。このようにすることで、バックアップとそのデータが最新に保たれます。このバックアップを使用して、新規または既存のOracle Key Vaultサーバーをリストアし、最小限の停止時間とデータ消失で完全稼働させることができます。

Oracle Key Vaultインストールでオンライン・マスター暗号化キー(旧称: TDE直接接続)を使用する場合、合計の停止時間を短縮するために、アップグレード時にはデータベース・エンドポイントも同時にアップグレードしてください。

関連トピック

永続マスター暗号化キー・キャッシュの使用

親トピック: Oracle Key Vaultの一般的なシステム管理