2 Oracle Key Vaultの概念

Oracle Key Vaultを正常にデプロイするには、デプロイメント・アーキテクチャ、ユースケース、アクセス制御、管理ロールおよびエンドポイントを理解する必要があります。

• Oracle Key Vaultの概念の概要
  エンドポイントは、データベースおよびアプリケーション・サーバーなどのコンピュータ・システムと、キーおよび資格証明がデータにアクセスするその他の情報システムです。
• Oracle Key Vaultデプロイメント・アーキテクチャ
  Oracle Key Vaultは、オペレーティング・システム、データベースおよびOracle Key Vaultアプリケーションを使用して事前構成されたソフトウェア・アプライアンスとしてパッケージ化されています。
• アクセス制御構成
  Oracle Key Vaultでは、様々なアクセス・レベルでセキュリティ・オブジェクトへのアクセスを制御できます。
• Oracle Key Vault内の管理ロールとエンドポイント権限
  Oracle Key Vaultには、企業ニーズを満たすために様々な方法で組み合せることができる義務の分離に準拠した管理ロールとエンドポイント権限が用意されています。
• オブジェクトのネーミング・ガイドライン
  このネーミング・ガイドラインは、ユーザー、ユーザー・グループ、エンドポイント、エンドポイント・グループおよび仮想ウォレットのOracle Key Vaultオブジェクトに影響します。
• 緊急時のシステム・リカバリ・プロセス
  インストール中に、Oracle Key Vaultが緊急事態からリカバリするために使用する特別なリカバリ・パスフレーズの作成が必要になります。
• rootおよびsupportユーザー・アカウント
  rootおよびsupportの両方のユーザー・アカウントが、コマンドライン・インタフェースで使用されます。
• エンドポイント・マネージャ
  エンドポイント・マネージャは、Oracle Key Vaultを使用するOracle Databaseなどのエンティティであるエンドポイントを所有および管理します。
• エンドポイント管理者
  エンドポイント管理者は、1つ以上のOracle Key Vaultエンドポイントの登録、エンロールおよび管理を担当するOracle Key Vaultユーザーです。
• FIPSモード
  FIPSモードでは、Oracle Key VaultがFIPS 140-2コンプライアンスに準拠できます。

2.1 Oracle Key Vaultの概念の概要

エンドポイントは、データベースおよびアプリケーション・サーバーなどのコンピュータ・システムと、キーおよび資格証明がデータにアクセスするその他の情報システムです。

これらのエンドポイント・システムでは暗号化キーと機密を効率的に格納および管理する必要があるため、データはセキュアでアクセスしやすく、企業の日常の活動に対応できます。既存のキーがあるか、これらを生成する機能があるエンドポイントでは、Oracle Key Vaultをセキュアな外部の長期のストレージとして使用できます。

Oracle Key Vaultと通信できるように、エンドポイントを登録およびエンロールする必要があります。エンロール済のエンドポイントは、キーをアップロードしてこれらを他のエンドポイントと共有し、これらをダウンロードしてデータにアクセスできます。Oracle Key Vaultは、エンロール済のエンドポイントをすべて追跡し、そのアクションを監査します。

マスター暗号化キーや資格証明ファイルなどのセキュリティ・オブジェクトをOracle Key Vaultの仮想ウォレットにグループ化できます。仮想ウォレットの主な目的は、関連するセキュリティ・オブジェクトをグループ化して、それらをまとめて簡単にピア間で共有できるようにすることです。権限を持つユーザーは、仮想ウォレットを作成してこの空のウォレットにキーを追加し、他のユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループにウォレットへの様々なアクセス・レベルを付与できます。これらのユーザーには、組織内での機能に適した仮想ウォレットへのアクセス権を付与できるため、セキュリティ・オブジェクトへのアクセスを、必要とするユーザーのみに制限できます。ユーザーは、同じセキュリティ・オブジェクトへのアクセス権を他のユーザーに付与する前に、セキュリティ・オブジェクトへのアクセス権を持っている必要があります。付与できるアクセス・レベルは自分自身と同等以下のものとなります。組織の、変化する複数のニーズを満たすために、このような柔軟な設計となっています。

セキュリティ・オブジェクトの所有者はセキュリティ・オブジェクトを作成したエンティティであり、セキュリティ・オブジェクトに対する完全な読取り、書込みおよび変更アクセス権を持ちます。所有者は、任意の数のウォレットにセキュリティ・オブジェクトを追加して、様々なアクセス・レベルで他のユーザーと共有できます。

エンドポイントがOracle Key Vaultに登録されている場合は、エンドポイントのデフォルト・ウォレットを指定できます。デフォルト・ウォレットは、ウォレットまたはキーのアップロード時に仮想ウォレットが指定されていない場合に、キーがアップロードされる仮想ウォレットにエンドポイントが関連付けられることを保証します。

複数のエンドポイントが共通のデフォルト・ウォレットを持つことができます。このデフォルト・ウォレットの内容は、共有デフォルト・ウォレットにアクセスできるすべてのエンドポイントで共有されます。これらのエンドポイントをエンドポイント・グループに追加する必要はありません。

Oracle Key Vaultでは、ユーザーとエンドポイントが実行するすべてのアクションが自動的に監査されます。

2.2 Oracle Key Vaultのデプロイメント・アーキテクチャ

Oracle Key Vaultは、オペレーティング・システム、データベースおよびOracle Key Vaultアプリケーションを使用して事前構成されたソフトウェア・アプライアンスとしてパッケージ化されています。

これにより、個々のコンポーネントをインストールして構成する必要はありません。オペレーティング・システムとデータベースの強化ベスト・プラクティスに応じて、セキュリティ面の強化が行われています。インストール・プロセスには不要なパッケージやソフトウェアは含まれておらず、必要なポートおよびサービスのみが有効になります。

エンドポイントは、OASIS Key Management Interoperability Protocol (KMIP)を使用して相互に認証されたトランスポート層セキュリティ(mTLS)接続を介してOracle Key Vaultと通信します。

Oracle Key Vaultマルチマスター・クラスタ構成には、16個までノードを含めることができます。そのうちの2つは読取り/書込みノードで、残りが読取り/書込みペアまたは読取り専用ノードのどちらかの組合せである必要があります。マルチマスター構成には、プライマリ・スタンバイ構成を上回る複数の利点があります。マルチマスター構成とプライマリ・スタンバイ構成は相互に排他的です。

非推奨になっているOracle Key Vaultプライマリ・スタンバイ構成では、1台のプライマリ・サーバーと1台のスタンバイ・サーバーが定義されています。プライマリ・サーバーはアクティブで、エンドポイントからのリクエストにサービスを提供します。プライマリからスタンバイへの通信に失敗した時間が、構成された時間のしきい値を超えた場合は、スタンバイ・サーバーがプライマリを引き継ぎます。プライマリ・サーバーとスタンバイ・サーバーの間のデータ・レプリケーションに関連する通信は、相互認証TLS接続です。これは、以前のリリースのOracle Key Vaultでは、プライマリ・スタンバイ・オプション(以前は高可用性と呼ばれた)と呼ばれていました。

次の図に、Oracle Key Vaultのデプロイメント・アーキテクチャを示します。

図2-1 Oracle Key Vaultのデプロイメント・アーキテクチャ

図2-1「Oracle Key Vaultのデプロイメント・アーキテクチャ」の説明

負荷が高く高可用性の要件を備え、地理的に分散した複数のデータ・センターがある場合は、マルチマスター・クラスタ構成にOracle Key Vaultをデプロイする必要があります。読取り/書込みペアは、データ・センター間にまたがる必要があります。データ・センター内にデータを保持する単一データ・センターの場合は、プライマリ・スタンバイ・デプロイメントではなく、Oracle Key Vaultの2ノード・クラスタ・デプロイメント(1つの読取り/書込みペア)を使用することを検討してください。それにより、リソース使用率が向上します(アイドル状態のスタンバイ・サーバーがない)。これは、時間の経過とともに需要が増加する場合の、増大するOracle Key Vaultクラスタに理想的なプラットフォームです。Oracle Key Vaultのスタンドアロン・デプロイメントは、テスト環境および開発環境で役立ちます。

ノート:

Oracle Key Vaultは、強化されたソフトウェア・アプライアンスとしてパッケージ化されています。Oracle Key Vaultにサード・パーティ製ソフトウェアをインストールすることはお薦めしません。Oracle Key Vaultへの変更はサポートされておらず、アップグレードが妨げられ、アプライアンスが破棄され、使用不可になる場合があります。

2.3 アクセス制御の構成

Oracle Key Vaultでは、様々なアクセス・レベルでセキュリティ・オブジェクトへのアクセスを制御できます。

• アクセス制御の構成について
  組織における機能に適したレベルで、Oracle Key Vaultのセキュリティ・オブジェクトへのアクセス権をユーザーに付与できます。
• アクセス権
  仮想ウォレットに直接または間接的にアクセス権を付与できます。
• アクセス制御のオプション
  アクセス制御のオプションを使用すると、セキュリティ・オブジェクトの読取り、書込みおよび削除に必要なユーザーの権限のタイプを設定できます。

2.3.1 アクセス制御の構成について

ユーザーに対して、組織における機能に適したレベルで、Oracle Key Vaultのセキュリティ・オブジェクトへのアクセス権を付与できます。

セキュリティ・オブジェクトに対するアクセス制御を個別に設定したり、セキュリティ・オブジェクトを仮想ウォレットにグループ化する場合はアクセス制御を一括で設定することもできます。Oracle Key Vaultは、仮想ウォレットを使用して、一連のセキュリティ・オブジェクトを他のユーザーと共有します。仮想ウォレットでは、エンドポイントまたはユーザーに対してアクセス・レベルを設定できます。つまり、仮想ウォレットに含まれるすべてのセキュリティ・オブジェクトに対するアクセス権が同時に付与されます。

ユーザーまたはエンドポイントに対して個別にアクセス権を付与できるのに加えて、ユーザー・グループまたはエンドポイント・グループを使用して一括でアクセス権を付与することもできます。仮想ウォレットへのアクセス権が必要なエンドポイントが複数ある場合、これらのエンドポイントをエンドポイント・グループに追加し、そのエンドポイント・グループに仮想ウォレットへのアクセス権を付与するほうが簡単です。または、各エンドポイントに個別にアクセス権を付与することもできます。エンドポイント・グループに仮想ウォレットへのアクセス権を付与すると、エンドポイント・グループ内のすべてのメンバー・エンドポイントにアクセス権が付与されます。

2.3.2 アクセス権の付与

仮想ウォレットに対するアクセス権は、直接または間接的に付与できます。

• ユーザーおよびエンドポイントにアクセス権を直接付与します。

• ユーザー・グループおよびエンドポイント・グループにグループ・メンバーシップを介して間接的にアクセス権を付与します。ユーザー・グループおよびエンドポイント・グループにアクセス権を付与する場合は、グループのすべてのメンバーにアクセス権が付与されます。これは、各ユーザーまたはエンドポイントにアクセス権を個別に付与するかわりとなる便利な方法です。

Oracle Key Vault管理コンソールから、次の2つの方法で、仮想ウォレットに対するアクセス権のマッピングを付与できます。

• ユーザー、エンドポイントまたはそれぞれのグループから。ユーザー、エンドポイントまたはそれぞれのグループから開始して、ウォレットおよびこのユーザーに対するアクセス権のマッピングを追加できます。

• 仮想ウォレットから。仮想ウォレットから開始して、設定したアクセス権のマッピングでこれにアクセスできるユーザー、エンドポイントおよびそれぞれのグループを追加できます。

2.3.3 アクセス制御のオプション

アクセス制御のオプションを使用すると、セキュリティ・オブジェクトの読取り、書込みおよび削除に必要なユーザーの権限のタイプを設定できます。

仮想ウォレットに対するアクセスは、ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループに対して、組織でのロールおよび機能に応じて異なるアクセス・レベルを設定することによって制御できます。

次の3つのアクセス・レベルがあります。

• 「Read Only」は、セキュリティ・オブジェクトに対する読取り権限を付与します。

• 「Read and Modify」は、セキュリティ・オブジェクトに対する読取り権限および変更権限を付与します。

• 「Manage Wallet」は、次の権限を付与します。

  • 仮想ウォレットに対してセキュリティ・オブジェクトを追加または削除します。ユーザーは、仮想ウォレットに追加するセキュリティ・オブジェクトに対する「Read and Modify」アクセス権を持っている必要があります。

  • 他のユーザーにウォレットへのアクセス権を付与します

  • ウォレットの設定(説明など)を変更します

  • ウォレットを削除します

2.4 Oracle Key Vault内の管理ロールとエンドポイント権限

Oracle Key Vaultには、企業ニーズを満たすために様々な方法で組み合せることができる義務の分離に準拠した管理ロールとエンドポイント権限が用意されています。

• Oracle Key Vaultでの義務の分離
  Oracle Key Vaultのロールとシステム権限をユーザーに付与するときは、必ず義務の分離のガイドラインに従ってください。
• 管理ロール
  Oracle Key Vaultの管理ロールには、システム管理者、キー管理者および監査マネージャがあります。
• エンドポイント権限
  Oracle Key Vaultには、エンドポイントとエンドポイント・グループを作成および管理するための権限があります。

2.4.1 Oracle Key Vaultでの義務の分離

Oracle Key Vaultのロールとシステム権限をユーザーに付与するときは、必ず義務の分離のガイドラインに従ってください。

Oracle Key Vaultユーザーは、職務によって管理ロールを割り当てることができるため、システム管理者ロール、キー管理者ロールおよび監査マネージャ・ロールの間で明確な義務の分離が存在します。エンドポイント作成、エンドポイント管理、エンドポイント・グループ作成およびエンドポイント・グループ管理の各権限により、それよりも強力な権限のある管理ロールを付与することなく、ユーザーはエンドポイントまたはエンドポイント・グループのサブセットを管理できます。管理権限を持たないユーザーを作成することもできます。

厳格な義務の分離環境では、それぞれのユーザーが異なる職務を担当します。たとえば、エンドポイントの場合、エンドポイントを管理する操作とエンドポイントに権限を付与する操作は、別のユーザーが実行する必要があります。システム管理者ロールまたはエンドポイント管理権限を持つユーザーのみがエンドポイントをエンロールでき、キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーのみがエンドポイントをエンドポイント・グループに追加できます。

次の2つの方法で、義務の分離を実現できます。

• ロールまたは権限が付与されている担当者ごとに、その担当者が管理する機能領域に応じた適切な権限を付与します。たとえば、ユーザー管理、バックアップ/リカバリ管理、エンドポイント管理などのシステム関連タスクのためにシステム管理者ロールを付与します。また、暗号化キー、ウォレットおよびエンドポイント・グループを管理するためにはキー管理者ロール(Oracle Key Vaultインタフェース内)を付与し、監査関連タスクを管理するためには監査マネージャ・ロールを付与します。

• きめ細かいアクセス制御の区分を使用して、あるオブジェクトまたは機能へのアクセス権をその他すべてのオブジェクトまたは機能から独立するようにユーザーに付与します。たとえば、担当領域に基づいて、エンドポイント管理権限とエンドポイント・グループ管理権限を別のユーザーに付与します。これらのユーザーは、自分の機能を実行するために、管理ロールを持っている必要はありません。

Oracle Key Vaultとやり取りするすべてのユーザーが、独自の一意のユーザー・アカウントおよびパスワードを持つようにします。システム管理者ロールとキー管理者ロールには強力な権限が与えられているため、該当するユーザーは信頼できる人物であり、管理する領域に関する知識が豊富であることも必要です。

2.4.2 管理ロール

Oracle Key Vaultの管理ロールには、システム管理者、キー管理者および監査マネージャがあります。

• Oracle Key Vaultの管理ロールについて
  Oracle Key Vaultには、システム管理者、キー管理者、監査マネージャというロールが用意されています。
• システム管理者ロールの職務
  Oracle Key Vaultシステム管理者は、一般的なシステム関連のタスクを担当します。
• 主な管理者ロールの職務
  Oracle Key Vaultキー管理者は、セキュリティ・オブジェクトの管理を担当します。
• 監査マネージャ・ロールの職務
  Oracle Key Vault監査マネージャは、監査関連のタスクを担当します。

2.4.2.1 Oracle Key Vaultの管理ロールについて

Oracle Key Vaultには、システム管理者、キー管理者、監査マネージャというロールが用意されています。

• システム管理者ロールには、ユーザーの作成と管理、エンドポイントの作成と管理、システム設定とアラートの構成、およびOracle Key Vaultの一般的な管理を行うための権限が含まれています。これは権限が最も強いロールです。
• キー管理者ロールには、キーのライフサイクルの管理、およびOracle Key Vault内のすべてのセキュリティ・オブジェクトへのアクセスの制御を行うための権限が含まれています。
• 監査マネージャ・ロールには、監査ライフサイクルおよび監査ポリシーを管理するための権限が含まれています。

システム管理者、キー管理者および監査マネージャの各ロールは、多様な組織のニーズと構造を柔軟にサポートできるように設計されています。デフォルトでは、これらのロールを持つユーザーは、そのロールを他のユーザーに付与できません。ユーザーは、「Allow Forward Grant」オプションを使用してロールを付与されている場合にのみ、ロールを他のユーザーに付与できます。1人の管理ユーザーが2つの管理機能を実行している場合、そのユーザーはOracle Key Vaultの2つのロールを持つことになります。ユーザーが「Allow Forward Grant」オプションを使用してロールを受け取った場合、他のユーザーに1つまたは両方のロールを付与することも、取り消すこともできます。

管理者ロールの分離を強制適用するには、「System Recovery」ページの「Account Management」タブで「Enforce Separation of Administrator Roles」チェックを有効にします。これにより、複数のOracle Key Vault管理ロールをOracle Key Vaultユーザーに付与できなくなります。この制限は、付与者に「Allow Forward Grant」オプションが適用されている場合でも維持されます。「Enforce Separation of Administrator Roles」チェックが有効になっている場合、Oracle Key Vaultユーザーは、管理ロールの分離を強制適用され、最大でも1つの管理ロールを保持できます。「Enforce Separation of Administrator Roles」チェックが有効になる前に、既存のOracle Key Vaultユーザーに複数の管理ロールが付与されている場合があります。たとえば、アップグレード後に、複数の管理ロールをすべてのユーザーから削除していない場合があります。このような、複数の管理ロールがあるユーザーは、「Enforce Separation of Administrator Roles」チェックが有効になると、これらのどのロールも行使できなくなります。意図した残り1つの管理ロールを使用できるようにするには、それ以外のロールを削除する必要があります。

ノート:

「Enforce Separation of Administrator Roles」オプションが有効になっている場合、ユーザーには、引き続きエンドポイント権限およびエンドポイント・グループ権限を付与できます。

インストール後タスクの1つは、この3つの管理ロールに対応する3人の管理ユーザーを作成することです。また、インストール・プロセスでは、リカバリ・パスフレーズの作成も求められます。管理ユーザーが存在しない場合には、Oracle Key Vaultの操作と管理を確実に継続できるように、リカバリ・パスフレーズを使用してインストール後の構成を繰り返し、3人の管理ユーザーを作成します。

管理コンソール・インタフェースを使用する場合、様々なタブ、メニューおよびアクションへのアクセス権は、アクセス権を持っているロールやオブジェクトによって異なります。

2.4.2.2 システム管理者ロールの職務

Oracle Key Vaultのシステム管理者は、一般的なシステム関連のタスクを担当します。

• ユーザーの作成および管理

• エンドポイントの追加と管理(エンドポイントを処理する権限は、個々の通常ユーザーに付与することもできます)

• アラートとキー・ローテーションのリマインダの構成

• バックアップのスケジューリング

• Oracle Key Vaultの開始と停止

• 電子メール通知のSMTPサーバー設定の構成

• FIPSモードの有効化または無効化

• ハードウェア・セキュリティ・モジュールを使用するためのOracle Key Vaultの構成

• リモート・モニタリング用のSNMPの構成

• RESTfulサービス・ユーティリティを介した自動エンドポイント・エンロールおよびキー管理の有効化

• Oracle Audit Vaultのモニタリング・プロセスが実行されているかどうかの確認

• Oracle Cloud Database as a Serviceのエンドポイントに対するSSHトンネルの作成

• クラスタの設定

• クラスタの管理およびモニタリング

• クラスタ構成の管理

• 別のユーザーに対するシステム管理者ロールの付与と取消し

• 別のユーザーに対するエンドポイント作成権限とエンドポイント管理権限の付与と取消し

2.4.2.3 キー管理者ロールの職務

Oracle Key Vaultのキー管理者は、セキュリティ・オブジェクトの管理を担当します。

• セキュリティ・オブジェクトのライフサイクルの管理

• すべての仮想ウォレットおよびセキュリティ・オブジェクトに対する完全なアクセス権の保有

• エンドポイント・グループの追加と管理(エンドポイント・グループを処理する権限は、個々の通常ユーザーに付与することもできます)

• ユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループの仮想ウォレットに対するアクセス権の制御

• 別のユーザーに対するキー管理者ロールの付与と取消し

• 別のユーザーに対するエンドポイント・グループ作成権限とエンドポイント・グループ管理権限の付与と取消し

• Oracle Key Vaultクラスタの境界から離れることを許可または禁止するための秘密キーおよび対称キーの抽出可能属性設定の管理

2.4.2.4 監査マネージャ・ロールの職務

Oracle Key Vaultの監査マネージャは、監査関連のタスクを担当します。

• Oracle Key Vault監査レコードをエクスポートまたは削除する権限を持っている唯一のユーザーとしての監査証跡の管理

• すべてのセキュリティ・オブジェクトに対する読取りアクセス権の保有

• 監査設定の管理

• 他のユーザーへの監査マネージャ・ロールの付与

• Oracle Key VaultとのOracle Audit Vault統合の管理

2.4.3 エンドポイント権限

Oracle Key Vaultには、エンドポイントとエンドポイント・グループを作成および管理するための権限があります。

• Oracle Key Vaultのエンドポイント権限について
  Oracle Key Vaultには、システム管理者ロールとキー管理者ロールを持たないユーザーが、エンドポイントとエンドポイント・グループを作成および管理できるようにするためのきめ細かいエンドポイント管理権限が用意されています。
• エンドポイント作成権限の職務とスコープ
  エンドポイント作成システム権限によって、ユーザーはエンドポイントを作成できるようになります。
• エンドポイント管理権限の職務とスコープ
  エンドポイントに対するエンドポイント管理オブジェクト権限によって、ユーザーはそのエンドポイントに対するすべてのエンドポイント管理操作を実行できるようになります。
• エンドポイント・グループ作成権限の職務とスコープ
  エンドポイント・グループ作成システム権限によって、ユーザーはエンドポイント・グループを作成できるようになります。
• エンドポイント・グループ管理権限の職務とスコープ
  エンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限によって、ユーザーはそのエンドポイント・グループに対するすべてのエンドポイント・グループ管理操作を実行できるようになります。

2.4.3.1 Oracle Key Vaultのエンドポイント権限について

Oracle Key Vaultには、システム管理者ロールとキー管理者ロールを持たないユーザーが、エンドポイントとエンドポイント・グループを作成および管理できるようにするためのきめ細かいエンドポイント管理権限が用意されています。

これに該当する権限は次のとおりです。

• エンドポイント作成システム権限により、ユーザーがエンドポイントを作成できるようになります。
• エンドポイント管理オブジェクト権限により、ユーザーがそのエンドポイントに対するすべての管理操作を実行できるようになります。
• エンドポイント・グループ作成システム権限により、ユーザーがエンドポイント・グループを作成できるようになります。
• エンドポイント・グループ管理オブジェクト権限により、ユーザーがそのエンドポイント・グループに対するすべての管理操作を実行できるようになります。

システム管理者ロールまたはキー管理者ロールがあるユーザーのみが、次のように、他のユーザーへのエンドポイント権限の付与および取消しを実行できます:

• エンドポイントの作成およびエンドポイント管理権限: システム管理者ロール
• エンドポイント・グループの作成およびエンドポイント・グループ管理権限: キー管理者ロール

システム管理者ロールとキー管理者ロールは、強力なロールです。これらのロールを持つユーザーは、別ユーザーに帰属するOracle Key Vaultのオブジェクトを変更または削除できるようになります。エンドポイント権限とエンドポイント・グループ権限を使用することで、そうしたロールを持たない通常のユーザーが特定のエンドポイントおよびエンドポイント・グループのセットを作成および管理できるようにします。ユーザーには任意のエンドポイントまたはエンドポイント・グループの管理権限を付与できます。そのユーザーがエンドポイントとエンドポイント・グループのどちらを作成したかは関係ありません。そうしたユーザーは、その他の管理権限のないエンドポイントやエンドポイント・グループに対する操作を実行できません。これらの権限は、それぞれのユーザーによって管理される異なるエンドポイントとエンドポイント・グループのセットの間の分離を実装するために役立ちます。たとえば、あるユーザーの集団がすべてのクラウド・データベース・エンドポイントの管理を担当し、それ以外のユーザーがすべてのオンプレミス・データベース・エンドポイントの管理を担当できるようになります。

これらの権限は、エンドポイントまたはエンドポイント・グループ操作がOracle Key Vault管理コンソールから、またはOracle Key Vault RESTfulサービス・ユーティリティのコマンドライン・インタフェースを使用して実行されたときに適用されます。

2.4.3.2 エンドポイント作成権限の職務とスコープ

エンドポイント作成システム権限により、ユーザーがエンドポイントを作成できるようになります。

エンドポイント作成権限を付与されたユーザーがエンドポイントを作成すると、Oracle Key Vaultによって自動的にそのエンドポイントでのエンドポイント管理権限がそのユーザーに付与されます。これにより、そのユーザーは、それ以上の権限付与の必要なく、自分が作成したエンドポイントを管理できるようになります。ただし、ユーザーが作成したエンドポイントに対する、そのユーザーのエンドポイント管理権限は、後で取り消すことができます。

エンドポイント作成権限の付与または取消しを実行できるユーザー

システム管理者ロールを持つユーザーのみが、エンドポイント作成権限の付与または取消しを実行できます。エンドポイント作成権限を持つユーザーは、どのユーザーに対してもこの権限を付与または取消しすることはできません。

エンドポイント作成権限とエンドポイント管理権限の連動について

エンドポイント管理権限はエンドポイントを作成したときにエンドポイント作成権限が付与されたユーザーに自動的に付与されますが、このユーザーのエンドポイント管理権限はいつでも取り消すことができます。そうすることで、このユーザーをエンドポイントの作成のみに制限して、エンドポイントの変更または削除ができないようにします。

システム管理者ロールとエンドポイント作成権限

システム管理者ロールがあるユーザーは、エンドポイントを作成および管理できます。ユーザーからシステム管理者ロールが取り消されると、そのユーザーはエンドポイントを管理できなくなります。ただし、システム管理者ロールとエンドポイント・グループ作成権限があるユーザーがエンドポイントを作成した場合、Oracle Key Vaultによって、そのエンドポイントに対するエンドポイント管理権限がそのユーザーに付与されます。その後、そのユーザーからシステム管理者ロールが取り消された場合でも、そのユーザーは、自分が作成したエンドポイントを引き続き管理できます。

エンドポイント作成権限の取消し

エンドポイント作成権限を取り消すと、ユーザーはそれ以上のエンドポイントを作成できなくなります。ユーザーは、自分自身からエンドポイント作成権限を取り消すことはできません。エンドポイント作成権限は、1つ以上のエンドポイントに対するユーザーのエンドポイント管理権限に影響を与えることなく、ユーザーから取消しできます。

エンドポイント作成権限が付与されているユーザーの削除

エンドポイント作成者には、エンドポイントの永久的な所有権はありません。エンドポイントの作成者に付与されたそのエンドポイントに対するエンドポイント管理権限は取消しできます。この権限を取り消すことで、エンドポイント作成者はそのエンドポイントを管理できなくなります。エンドポイントの作成者を削除することは、このユーザーにエンドポイントを作成したときのエンドポイント管理権限が付与されている可能性があることを除いて特別な意味はありません。そのエンドポイントに対するエンドポイント管理権限を持つ別のユーザーが存在しない場合は、システム管理者がそのエンドポイントの管理を担当するようになります。

2.4.3.3 エンドポイント管理権限の職務とスコープ

エンドポイントに対するエンドポイント管理オブジェクト権限では、ユーザーがそのエンドポイントに対するすべての管理操作を実行できるようにします。

エンドポイントに対するエンドポイント管理権限を持つユーザーは、次のタスクを実行できます。

• エンドポイントに対するすべてのエンドポイント管理操作(再エンロール、一時停止、再開、削除など)を実行します。
• ユーザーがサブジェクト・ウォレットに対する完全なアクセス権も持っている場合は、そのエンドポイントのデフォルト・ウォレットを設定します。

エンドポイント管理権限の付与または取消しを実行できるユーザー

システム管理者ロールがあるユーザーは、エンドポイント管理権限の付与または取消しができます。エンドポイント作成権限があるユーザーがエンドポイントを作成すると、Oracle Key Vaultによって自動的にこのエンドポイントに対するエンドポイント管理権限がそのユーザーに付与されます。

システム管理者ロールとエンドポイント管理権限を持つユーザー

システム管理者ロールがあるユーザーは、エンドポイント作成権限があるユーザーが作成したエンドポイントを含め、どのエンドポイントでも管理できます。ユーザーからシステム管理者ロールが取り消されると、そのユーザーは、どのエンドポイントも管理できなくなります(そのユーザーにエンドポイント作成時またはその後にエンドポイント作成権限も付与されていた場合を除き、そのユーザーが作成したエンドポイントも含まれる)。ユーザーは、エンドポイントを管理するには、システム管理者ロール、またはそのエンドポイントに対するエンドポイント管理権限を付与されている必要があります。

エンドポイントに関連付けられたオブジェクトとウォレット

エンドポイントで作成されたオブジェクトは、そのエンドポイントによって常に所有されます。エンドポイント作成者またはエンドポイント管理権限を持つユーザーが、エンドポイントで作成されたオブジェクトへの自動的または暗黙的なアクセス権を取得することはありません。

エンドポイント管理権限を持つユーザーがウォレットに対する完全なアクセス権も持っている場合は、エンドポイントのデフォルト・ウォレットを設定できます。その後で、ユーザーからウォレットのアクセス権を取り消しても、エンドポイントのデフォルト・ウォレット設定に影響はありません。

エンドポイント管理権限の取消し

エンドポイントに対するエンドポイント管理権限は、ユーザーのエンドポイント作成権限ステータスに影響を与えることなく、ユーザーから取消しできます。ユーザーは、自分自身からエンドポイント管理権限を取り消すことはできません。エンドポイントに対するエンドポイント管理権限を持つユーザーが存在しない場合は、システム管理者ロールを持つユーザーがそのエンドポイントの管理を担当するようになります。

エンドポイント管理権限が付与されているユーザーの削除

エンドポイントを管理するユーザーが削除されても、システム管理者またはそのエンドポイントに対するエンドポイント管理権限を持つ別のユーザーはエンドポイントを引き続き管理できます。

2.4.3.4 エンドポイント・グループ作成権限の職務とスコープ

エンドポイント・グループ作成システム権限では、ユーザーがエンドポイント・グループを作成できるようにします。

エンドポイント・グループ作成権限を付与されたユーザーがエンドポイント・グループを作成すると、Oracle Key Vaultによって自動的にそのエンドポイント・グループでのエンドポイント・グループ管理権限がそのユーザーに付与されます。これにより、そのユーザーは、それ以上の権限付与の必要なく、自分が作成したエンドポイント・グループを管理できるようになります。ただし、ユーザーが作成したエンドポイント・グループに対する、そのユーザーのエンドポイント・グループ管理権限は、後で取り消すことができます。

エンドポイント・グループ作成権限の付与または取消しを実行できるユーザー

キー管理者ロールを持つユーザーのみが、エンドポイント・グループ作成権限の付与または取消しを実行できます。エンドポイント・グループ作成権限を持つユーザーが、この権限を別のユーザーに対して付与または取消しすることはできません。

エンドポイント・グループ作成権限とエンドポイント・グループ管理権限の連動について

エンドポイント・グループ管理権限はエンドポイント・グループを作成したときにユーザーに自動的に付与されますが、このユーザーのエンドポイント管理権限はいつでも取り消すことができます。そうすることで、このユーザーがそのエンドポイント・グループの変更または削除をできないようにします。

キー管理者ロールとエンドポイント・グループ作成権限を持つユーザー

キー管理者ロールがあるユーザーは、エンドポイント・グループを作成および管理できます。ユーザーからキー管理者ロールが取り消されると、そのユーザーはエンドポイント・グループを作成および管理できなくなります。ただし、キー管理者ロールとエンドポイント・グループ作成権限があるユーザーがエンドポイント・グループを作成した場合、Oracle Key Vaultによって、そのエンドポイント・グループに対するエンドポイント・グループ管理権限がそのユーザーに付与されます。その後、そのユーザーからキー管理者ロールが取り消された場合でも、そのユーザーは、自分が作成したエンドポイント・グループを引き続き管理できます。

エンドポイント・グループ作成権限の取消し

エンドポイント・グループ作成権限を取り消すと、ユーザーはそれ以上のエンドポイント・グループを作成できなくなります。ユーザーは、自分自身からエンドポイント・グループ作成権限を取り消すことはできません。エンドポイント・グループ作成権限は、1つ以上のエンドポイント・グループに対するユーザーのエンドポイント・グループ管理権限に影響を与えることなく、ユーザーから取消しできます。

エンドポイント・グループ作成権限が付与されているユーザーの削除

エンドポイント・グループ作成者には、エンドポイント・グループの永久的な所有権はありません。エンドポイント・グループの作成者に付与されたそのエンドポイント・グループに対するエンドポイント・グループ管理権限は取消しできます。この権限を取り消すことで、エンドポイント・グループ作成者はそのエンドポイント・グループを管理できなくなります。エンドポイント・グループの作成者を削除することは、このユーザーにはエンドポイント・グループを作成したときのエンドポイント・グループ管理権限が付与されている可能性があることを除いて特別な意味はありません。そのエンドポイント・グループに対するエンドポイント・グループ管理権限を持つ別のユーザーが存在しない場合は、キー管理者がそのエンドポイント・グループの管理を担当するようになります。

2.4.3.5 エンドポイント・グループ管理権限の職務とスコープ

エンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限では、ユーザーがそのエンドポイント・グループに対するすべての管理操作を実行できるようにします。

エンドポイント・グループに対するエンドポイント・グループ管理権限があるユーザーは、そのエンドポイント・グループに対するすべてのエンドポイント・グループ管理操作(エンドポイント・グループに対するエンドポイントの追加や削除、エンドポイント・グループの削除など)を実行できます。このユーザーは、ウォレットへのアクセス権をエンドポイント・グループから継承します。このウォレットへのアクセス権限の継承は、エンドポイントまたはユーザーが、それぞれエンドポイント・グループまたはユーザー・グループからウォレット権限を継承するのと同様に動作します。

エンドポイント・グループ管理権限の付与または取消しを実行できるユーザー

キー管理者ロールを持つユーザーのみが、エンドポイント・グループ管理権限の付与または取消しを実行できます。エンドポイント・グループ管理権限を持つユーザーが、この権限を別のユーザーに対して付与または取消しすることはできません。

キー管理者ロールとエンドポイント・グループ管理権限を持つユーザー

キー管理者ロールがあるユーザーは、エンドポイント・グループ作成権限があるユーザーが作成したエンドポイントを含め、どのエンドポイント・グループでも管理できます。ユーザーからキー管理者ロールが取り消されると、そのユーザーは、どのエンドポイント・グループも管理できなくなります(そのユーザーにエンドポイント・グループ作成時またはその後にエンドポイント・グループ作成権限も付与されていた場合を除き、そのユーザーが作成したエンドポイント・グループも含まれる)。ユーザーは、エンドポイント・グループを管理するには、キー管理者ロール、またはそのエンドポイント・グループに対するエンドポイント・グループ管理権限を付与されている必要があります。

エンドポイント・グループからのウォレット・アクセス権の継承

• エンドポイント・グループに対するエンドポイント・グループ管理権限を付与されているユーザー(このユーザーはエンドポイント・グループ・マネージャとも呼ばれます)は、そのエンドポイント・グループからウォレットへのアクセス権を継承します。このウォレットへのアクセス権限の継承は、エンドポイントまたはユーザーが、それぞれエンドポイント・グループまたはユーザー・グループからウォレット権限を継承するのと同様に動作します。

  エンドポイント・グループにウォレット・アクセス権を付与することで、そのエンドポイント・グループに対するエンドポイント・グループ管理権限を持つすべてのユーザーに同じウォレット・アクセス権を暗黙的に付与することになります。このようにエンドポイント・グループから継承したウォレット・アクセス権は、ユーザーがエンドポイント・グループのエンドポイント・グループ・マネージャであるかぎり有効となります。このルールにより、エンドポイント・グループのすべてのエンドポイント・グループ・マネージャが、そのエンドポイント・グループと同等以上のウォレットへのアクセス権を持っていることを保証します。これにより、エンドポイントがエンドポイント・グループに追加されたときに、そのエンドポイント・グループ・マネージャが、エンドポイントのメンバーシップがエンドポイント・グループに追加されることでそのエンドポイントに暗黙的に付与されているウォレット・アクセス権を、すべて把握した状態でいることができます。

• ユーザーの実際のウォレット・アクセス権は、次の項目を結合したものです。
  • ユーザーへの直接ウォレット・アクセス権の付与
  • このユーザーがメンバーになっているユーザー・グループから継承したウォレット・アクセス権の付与
  • このユーザーが管理を認可されているエンドポイント・グループから継承したウォレット・アクセス権

取消し操作がウォレットに与える影響

• エンドポイント・グループからウォレットのアクセス権を取り消すと、そのエンドポイント・グループのマネージャが、それぞれのエンドポイント・グループから継承したウォレット・アクセス権のみを失うことになります。エンドポイント・グループのマネージャは、直接付与またはユーザー・グループや別のエンドポイント・グループからのウォレット・アクセス権の継承から、同じウォレットに引き続きアクセスできます。
• エンドポイント・グループに対するエンドポイント・グループ管理権限をユーザー(エンドポイント・グループ・マネージャ)から取り消すと、そのエンドポイント・グループから今後のウォレット・アクセス権を継承できなくなります。
• エンドポイント・グループのマネージャは、該当するウォレットに対するウォレット管理アクセス権限を持っている場合、ウォレット・アクセスエンドポイント・グループから(または別のユーザー、ユーザー・グループ、エンドポイントまたはエンドポイント・グループから)ウォレットへのアクセス権を取り消すことができます。このアクセス権がエンドポイント・グループ自体から継承されていたとしても同じです。

エンドポイント・グループ管理権限の取消し

エンドポイント・グループ管理権限は、ユーザーのエンドポイント・グループ作成権限ステータスに影響を与えることなく、ユーザーから取消しできます。ユーザーは、自分自身からエンドポイント・グループ管理権限を取り消すことはできません。エンドポイントに対するエンドポイント・グループ管理権限を持つユーザーが存在しない場合は、キー管理者ロールを持つユーザーがそのエンドポイント・グループの管理を担当するようになります。

エンドポイント・グループ管理権限が付与されているユーザーの削除

エンドポイント・グループの作成者を削除しても、そのユーザーが作成したエンドポイント・グループには影響しません。エンドポイント・グループを管理するユーザーが削除されても、そのエンドポイント・グループに対するエンドポイント・グループの管理権限を持つ別のユーザーはエンドポイント・グループを引き続き管理できます。そのようなユーザーが存在しない場合は、キー管理者ロールを持つユーザーがエンドポイント・グループの管理を担当するようになります。

2.5 オブジェクトのネーミング・ガイドライン

このネーミング・ガイドラインは、ユーザー、ユーザー・グループ、エンドポイント、エンドポイント・グループおよび仮想ウォレットのOracle Key Vaultオブジェクトに影響します。

該当するオブジェクトのネーミング規則は次のとおりです。

• エンドポイント、エンドポイント・グループ、ユーザー・グループおよび仮想ウォレットの名前に使用できる文字は、文字(a–z、A–Z)、数字(0-9)、アンダースコア(_)、ピリオド(.)およびハイフン(-)です。
• ユーザー名に使用できる文字は、文字(a–z、A–Z)、数字(0-9)およびアンダースコア(_)です。
• ほとんどの環境で、許容されている名前の長さの最大バイト数は120バイトです。
• ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループの名前は、大/小文字が区別されません。たとえば、psmithとPSMITHは、Oracle Key Vaultでは同じユーザーとみなされます。
• 仮想ウォレットの名前は、大文字と小文字が区別されます。たとえば、wallet_hrとWALLET_HRは、Oracle Key Vaultでは異なる2つのウォレットと見なされます。

2.6 緊急時のシステム・リカバリのプロセス

インストール中に、緊急事態からのリカバリのためにOracle Key Vaultで使用する特別なリカバリ・パスフレーズを作成する必要があります。

これらの状況は、管理ユーザーがすぐに対応できない場合や、パスワードを忘れるなどのより日常的な事柄によって発生します。

リカバリ・パスフレーズは、次の状況で必要になります。

• Oracle Key Vaultにログインする管理ユーザーが不在の場合は、リカバリ・パスフレーズを使用してインストール後タスクを繰り返し、システム、キーおよび監査を管理する新しい管理ユーザーを作成できます。
• 以前のバックアップからOracle Key Vaultをリストアする場合は、そのバックアップに関連付けられたリカバリ・パスフレーズが必要です。
• クラスタ・モードでのノード・インダクション・プロセス中に、リカバリ・パスフレーズを要求されます。
• リカバリ・パスフレーズを定期的にリセットする場合は、これが必要になります。

これらの理由から、リカバリ・パスフレーズを安全かつアクセス可能な場所に保存し、以前のリカバリ・パスフレーズの記録を取ることが非常に重要です。リカバリ・パスフレーズは、マルチマスター・クラスタにノードを追加する場合に使用するパスフレーズと同じです。

リカバリ・パスフレーズの紛失からリカバリする唯一の方法は、Oracle Key Vaultを再インストールすることです。

2.7 ルートおよびサポート・ユーザー・アカウント

rootおよびsupportの両方のユーザー・アカウントが、コマンドライン・インタフェースで使用されます。

rootユーザー・アカウントは、Oracle Key Vaultをホストするオペレーティング・システムのスーパーユーザー・アカウントです。通常のOracle Key Vault管理ではrootアカウントは必要ありません。しかし、新しいバンドル・パッチにアップグレードする場合や、ディスク領域の追加などのコマンドライン操作を実行する場合は、rootアカウントを使用する必要があります。supportユーザーは、SSHが有効な場合にOracle Key Vaultをホストするオペレーティング・システムにリモートでログインできる唯一のアカウントです。

rootまたはsupportパスワードを誤って3回入力した場合、アカウントは短時間ロックされることに注意してください。

2.8 エンドポイント・マネージャ

エンドポイント・マネージャは、Oracle Key Vaultを使用するOracle Databaseなどのエンティティであるエンドポイントを所有および管理します。

このユーザーは通常、システム、セキュリティまたはデータベースの管理者ですが、エンドポイントのセキュリティのデプロイ、管理および維持を担当するユーザーである場合もあります。エンドポイント・マネージャは、エンドポイントのプロビジョニングを担当します。エンドポイント・マネージャ・ユーザーは、エンドポイント管理権限とエンドポイント・グループ管理権限を持つOracle Key Vaultユーザーであるエンドポイント管理者とは異なります。

Oracle Databaseエンドポイントのエンドポイント・マネージャは、データベースのセキュリティ管理者です。

2.9 エンドポイント管理者

エンドポイント管理者は、1つ以上のOracle Key Vaultエンドポイントの登録、エンロールおよび管理を担当するOracle Key Vaultユーザーです。

異なるビジネス・ユニット、オンプレミスおよびクラウドにデプロイされたエンドポイントの間を確実に分離するために、それぞれのエンドポイントを管理するエンドポイント管理者を指名できます。Oracle Key Vaultシステム管理者が、エンドポイント作成権限またはエンドポイント管理権限をエンドポイント管理者に付与します。

管理しやすいように、エンドポイント・グループ作成権限やエンドポイント・グループ管理権限をエンドポイント管理者に付与することもできます。このようにすれば、Oracle Key Vault管理者が関与しなくても、エンドポイント管理者がOracle Key Vaultのエンドポイントとその構成をすべて管理できます。

2.10 FIPSモード

FIPSモードでは、Oracle Key VaultがFIPS 140-2コンプライアンスに準拠できます。

Federal Information Processing Standards (FIPS)とは、連邦情報セキュリティ・マネジメント法(FISMA)に従ってUS National Institute of Standards and Technology (NIST)によって開発された連邦政府のコンピュータ・システムの標準およびガイドラインです。FIPSは連邦政府で使用するために開発されましたが、多くの民間団体が自主的にこれらの基準を使用しています。

FIPS 140-2には、暗号化モジュールによって満たされるセキュリティ要件が規定されており、幅広い潜在的なアプリケーションと環境をカバーするための、4つの拡大する定性的なレベルが示されています。セキュリティ・レベル1では、暗号化モジュールの基本的なセキュリティ要件を示しています。FIPS 140-2のセキュリティ・レベル1では、本番グレードの設備の要件を超える、モジュールの物理的なセキュリティ・メカニズムは必要ありません。そのため、このレベルでは、指定したオペレーティング環境で実行されている汎用コンピュータでソフトウェア暗号化機能を実行できます。

FIPSモードでは、Oracle Key VaultがFIPS 140-2レベル1のコンプライアンスに準拠できます。FIPS 140-2設定がOracle Key Vault用に構成されている場合、FIPS 140-2レベル1の検証済の暗号化ライブラリを使用して、保存されているキーおよびデータとネットワークで転送中のキーおよびデータを保護します。データベースPKCS#11ライブラリ、okvutil、C-SDK、Java-SDK、RESTfulサービス・ユーティリティなどのOracle Key Vaultクライアントは、Oracle Key Vaultサーバーへのキー管理リクエストを実行します。KMIPサービス、Oracle Key Vaultアプリケーション、埋込みOracleデータベース、Oracle GoldenGateなどのOracle Key Vaultコンポーネントは、リクエストを処理し、クライアントに応答します。Oracle Key Vaultの管理は、Webコンソール(管理コンソール)またはREST管理APIを使用して行います。Oracle Key Vault管理コンソールは、ApacheとOracleデータベースでサポートされているOracle APEXを使用して実装されます。RESTfulサービス・ユーティリティ・リクエストはTomcatサーバーによって処理されます。Oracle Key Vaultバックアップは、セキュア・コピー・プロトコル(SCP)またはSSHファイル転送プロトコル(SFTP)を使用して行われます。Oracle Linuxで、Oracle Key Vaultシステム全体が稼働します。これらのOracle Key Vaultコンポーネントは、暗号化操作にDELL BSAFEまたはOpenSSLライブラリを使用します。これらの各コンポーネントは、Oracle Key VaultでFIPSモードが有効になっている場合に、FIPSモードで暗号化ライブラリを操作します。

現在、Oracle Key Vaultでは次のものが使用されます。

• FIPS 140-2レベル1の検証済の暗号化ライブラリとして、以前はRSA BSAFEと呼ばれていたDell BSAFE: 使用されるモジュールの具体的なバージョンはDell BSAFE Micro Edition Suite 4.6であり、これには、その基礎となるFIPSとしてDell BSAFE Crypto-C Micro Edition (CCME) 4.6.1.0.1が統合されています。
• openssl-1.1.1k-12.el8_9.x86_64 : Oracle Linuxで動作保証されているFIPSであるopensslモジュールの具体的なバージョンは、openssl-libs-1.1.1g-15.el8_3.x86_64.rpmです

Oracle Key VaultのFIPSモードでは、Oracle Key Vaultのみに対してFIPS承認済アルゴリズムが使用されます。ルート・オブ・トラストをサポートするためにデプロイされたHSMクライアント・ソフトウェアなど、Oracle Key Vaultで使用されるサード・パーティ・ベンダー・ソフトウェアは、FIPSで動作できますが、FIPS承認済アルゴリズムを使用する必要があります。そうしないと、ベンダー・ソフトウェアは、Oracle Key VaultがFIPSモードの場合や障害が発生した場合に動作しません。