1. 管理者ガイド
  2. Oracle Key Vaultエンドポイントの管理

12 Oracle Key Vaultエンドポイントの管理

Oracle Key Vaultのエンドポイントは、データベース・サーバーまたはアプリケーション・サーバーなどのコンピュータ・システムであり、ここではキーおよび資格証明を使用してデータにアクセスします。

12.1 エンドポイントの管理の概要

スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタではエンドポイントをほぼ同じ方法で管理できますが、マルチマスター・クラスタにはより多くの制限事項があります。

親トピック: Oracle Key Vaultエンドポイントの管理

12.1.1 エンドポイントの管理について

Oracle Key Vaultサーバーと通信するには、エンドポイントを登録してエンロールする必要があります。

その後、エンドポイント内のキーをOracle Key Vaultにアップロードして他のエンドポイントと共有し、ユーザーがデータにアクセスできるようにこれらのエンドポイントからキーをダウンロードできます。システム管理者ロールまたはエンドポイント作成権限を持つユーザーのみがOracle Key Vaultにエンドポイントを追加できます。エンドポイントを追加した後、エンドポイント管理者は、エンドポイントでエンドポイント・ソフトウェアをダウンロードしてインストールすることによって、エンドポイントをエンロールできます。その後、エンドポイントでは、エンドポイント・ソフトウェアとともにパッケージ化されたユーティリティを使用して、Oracle Key Vaultとの間でセキュリティ・オブジェクトをアップロードおよびダウンロードできます。

すべてのユーザーが仮想ウォレットを作成できますが、キー管理者ロールを持つユーザーのみが、仮想ウォレット内にあるセキュリティ・オブジェクトへのエンドポイント・アクセス権を付与できます。キー管理者ユーザーは、エンドポイントにどのウォレットへのアクセス権でも付与できます。キー管理者ロールまたはエンドポイント・グループ作成権限を持つユーザーは、仮想ウォレットへの共有アクセスを有効にするエンドポイント・グループも作成できます。ウォレットに対するウォレット管理権限を持つユーザー(エンドポイントを作成したユーザーを含む)は、そのウォレットへのアクセス権をエンドポイントに付与できます。仮想ウォレットへのエンドポイント・グループ・アクセス権を付与すると、すべてのメンバー・エンドポイントがその仮想ウォレットへのアクセス権を持ちます。たとえば、Oracle Real Application Clusters (Oracle RAC)データベースのすべてのノードをエンドポイント・グループに入れることによって、仮想ウォレットへのアクセス権をそれらのノードに付与できます。これにより、仮想ウォレットへのアクセス権を各ノードに付与するステップを省略できます。セキュリティの追加レイヤーとして、キー管理者ユーザーはOracle Key Vaultからの対称キーの抽出を有効または無効にできます。

大規模なデプロイメントがある場合は、少なくとも4つのOracle Key Vaultサーバーをインストールし、エンドポイントをエンロールするときにこれら4つのサーバー間でバランスをとり高可用性を確保することをお薦めします。たとえば、データ・センターに登録するデータベース・エンドポイントが1000個あり、それらに対応するための4つのOracle Key Vaultサーバーがある場合、4つのサーバーそれぞれに250個のエンドポイントをエンロールします。

クラスタ・サブグループを構成した場合は、エンドポイントのクラスタ・サブグループ設定を適切に設定できます。エンドポイントは、自分のクラスタ・サブグループのクラスタ・ノードに優先的に接続します。地理的に分散されたデプロイメントでは、1つのリージョンにデプロイされたクラスタ・ノードをクラスタ・サブグループにデプロイし、このクラスタ・サブグループを同じリージョンのエンドポイントに割り当てることができます。こうすると、新しい接続を確立するときに、エンドポイントがローカル・リージョンのクラスタ・ノードを最初に選択します。

エンドポイントに名前を付ける場合、Oracle Key Vaultのユーザー名は、エンドポイント名として使用できません。

エンドポイント・ホストとOracle Key Vaultサーバーのシステム・クロックが同期していることを確認してください。Oracle Key Vaultサーバーの場合、NTPを設定する必要があります。エンドポイント時間とOracle Key Vaultサーバー時間の間のドリフトにより、エンドポイントのエンロール時に問題が発生する可能性があります。Oracle Key Vaultがエンドポイント証明書を発行すると、エンドポイント証明書の時間がOracle Key Vaultサーバーに設定されます。Oracle Key Vaultサーバーの時間がエンドポイント証明書のエンロール時間より前である場合、エンドポイントのエンロールが問題になります。

ノート:

エンドポイントのエンロールを成功させるために、エンドポイント・ホストとOracle Key Vaultサーバーのシステム時間が同期していることを確認してください。

エンドポイント作成権限またはエンドポイント・グループ作成権限があるユーザーがエンドポイントまたはエンドポイント・グループを作成すると、Oracle Key Vaultによって間接的にそのユーザーにエンドポイント管理権限またはエンドポイント・グループ管理権限が付与されます。

エンドポイントに関連する管理ロールと権限は次のとおりです。

  • エンドポイント作成: システム管理者ロールまたはエンドポイント作成権限があるユーザーは、Oracle Key Vaultでエンドポイントを作成できます。エンドポイント作成権限があるユーザーには、自分が作成したエンドポイントに対するエンドポイント管理権限が自動的に付与されます。
  • エンドポイントの管理: システム管理者ロールを持つユーザーは、任意のエンドポイントを管理できます。エンドポイント管理権限を持つユーザーは、自分のエンドポイントのみを管理できます。これには、そのユーザーに明示的にエンドポイント管理権限が付与されているエンドポイント、またはそのユーザーが作成しそのエンドポイント管理権限を所有し続けているエンドポイントが含まれます。この管理には、次の職務が含まれます。
    • エンドポイント・メタデータ(名前、タイプ、プラットフォーム、説明、電子メール通知など)の管理
    • エンドポイント・ライフサイクル(エンドポイントのエンロール、一時停止、再エンロール、ローテーションおよび削除からなる)の管理
  • エンドポイント・グループ作成: キー管理者ロールまたはエンドポイント・グループ作成権限があるユーザーは、Oracle Key Vaultでエンドポイント・グループを作成できます。エンドポイント・グループ作成権限があるユーザーには、自分が作成したエンドポイント・グループに対するエンドポイント・グループ管理権限が自動的に付与されます。
  • エンドポイント・グループの管理: キー管理者ロールを持つユーザーは、任意のエンドポイント・グループを管理できます。エンドポイント・グループ管理権限を持つユーザーは、自分のエンドポイント・グループのみを管理できます。ユーザーが管理できるエンドポイント・グループとしては、そのユーザーにエンドポイント・グループ管理権限が明示的に付与されているエンドポイント・グループ、またはそのユーザーが作成しそのエンドポイント・グループ管理権限を所有し続けているエンドポイント・グループがあります。この管理には、次の職務が含まれます。
    • エンドポイント・グループの作成、変更および削除で構成される、エンドポイント・グループ・ライフサイクルの管理
    • セキュリティ・オブジェクトのライフサイクル(セキュリティ・オブジェクトの作成、変更および削除で構成され)の管理

関連トピック

親トピック: エンドポイントの管理の概要

12.1.2 マルチマスター・クラスタによるエンドポイントへの影響

マルチマスター・クラスタによるエンドポイントへの影響については、エンドポイントの接続方法と制限の両方に注意してください。

マルチマスター構成では、エンドポイントがOracle Key Vaultに接続すると、次の処理が実行されます。

  • 最初に、サーバーIPのリストを構成ファイル(okvclient.ora)から取得します。
  • 次に、エンドポイントと同じクラスタ・サブグループ内から優先的にランダムに1つ取得します。

マルチマスター・クラスタでのエンドポイントの動作方法に関する次の制限事項に注意してください。

  • エンドポイントは、最後に作成または再エンロールされたノードと同じノードからのみエンロールできます。
  • 1つまたは両方(ウォレットとエンドポイント)がPENDING状態にあるが、その割当てが非作成者ノードから試行されていない場合、デフォルト・ウォレットをエンドポイントに割り当てることができます。エンドポイントとウォレットの両方がACTIVE状態になると、この制限は終了します。

親トピック: エンドポイントの管理の概要

12.2 エンドポイントの管理

エンドポイントをエンロール、再エンロール、一時停止、ローテーションおよび削除できます。

親トピック: Oracle Key Vaultエンドポイントの管理

12.2.1 エンドポイント・エンロールのタイプ

エンドポイントをエンロールする最初のステップは、エンドポイントをOracle Key Vaultに追加することです。

エンドポイントを追加する(登録するともいう)には、次の2つの方法があります。

  • 管理者が開始

    システム管理者ロールを持つOracle Key Vaultユーザーが、Oracle Key Vaultにエンドポイントを追加することによって、Oracle Key Vault側からエンロールを開始します。エンドポイントが追加されると、1回限りのエンロール・トークンが生成されます。このトークンは、次の2つの方法でエンドポイント管理者に送信できます。

    • 電子メールによってOracle Key Vaultから直接。電子メール通知を使用するには、電子メール設定でSMTPを構成する必要があります。
    • 電子メールまたは電話などのバンド外の方式。

    エンドポイント管理者は、エンロール・トークンを使用してエンドポイント・ソフトウェアをダウンロードし、エンロール・プロセスを完了します。マルチマスター・クラスタでは、エンドポイントの追加に使用された同じノードを使用して、エンドポイントをエンロールする必要があります。

    エンドポイントのエンロールに使用したエンロール・トークンを別のエンロールに再度使用することはできません。エンドポイントを再エンロールする場合は、再エンロール・プロセスで、この目的のために新しい1回かぎりのエンロール・トークンを生成します。

  • 自己エンロール

    人による管理操作なしで、特定の時間中にエンドポイントがそれ自体をエンロールできます。エンドポイント自己エンロールは、エンドポイント間でセキュリティ・オブジェクトを共有せず、主にOracle Key Vaultを使用してそれ自体のセキュリティ・オブジェクトを保存およびリストアする場合に役立ちます。エンドポイント自己エンロールの別の用途は、テストです。

    自己エンロールされたエンドポイントは、ENDPT_001という形式の一般的なエンドポイント名で作成されます。クラスタでは、自己エンロールされたエンドポイントは、ENDPT_xx_001という形式で汎用エンドポイント名で作成されます。xxは2桁のノード識別子またはノード番号です。最初は、自己エンロールされたエンドポイントには、それ自体がアップロードまたは作成するセキュリティ・オブジェクトへのアクセス権のみがあります。仮想ウォレットへのアクセス権はありません。後で、そのアイデンティティを検証した後、仮想ウォレットへのエンドポイント・アクセス権を付与できます。

    エンドポイント自己エンロールはデフォルトでは無効で、システム管理者ロールを持っているユーザーによって有効化される必要があります。エンドポイントが自己エンロールすると予期される短期間に自己エンロールを有効化して、自己エンロール期間が終了したときに無効化することをお薦めします。

ノート:

エンドポイントの自己エンロール・プロセスは、Oracle Key Vault 21.5では非推奨となっています。かわりに、エンドポイント・エンロールにRESTfulサービス・ユーティリティを使用できます。

関連トピック

親トピック: エンドポイントの管理

12.2.2 マルチマスター・クラスタ内のエンドポイント・エンロール

クラスタのエンドポイントは、マルチマスター・クラスタのクライアント・システムです。

エンドポイント・エンロールは2つのステップに分かれています。最初にエンドポイントを作成してから、エンロールします。

コントローラ・ノードになるOracle Key Vaultサーバーは、特に以前のリリースからアップグレードされた場合、エンドポイントがすでにエンロールされている可能性があります。これらの既存のエンドポイントは、クラスタを初期化またはシードします。インダクション中に、クラスタにエンロールされたエンドポイントに関する情報が、新しく追加されたノードにレプリケートされます。また、Oracle Key Vaultは、クラスタに追加されたすべての候補ノードに以前にエンロールされたエンドポイントに関する情報を削除します。

エンドポイントは読取り/書込みノードにのみエンロールできます。

エンドポイントをエンロールした後、新しいエンドポイントにクラスタ全体のプレゼンスが設定されます。Oracle Key Vaultマルチマスター・クラスタのエンドポイントを読取り/書込みノードに追加できます。

ノート:

エンドポイントは、最後に追加または再エンロールされたノードと同じノードにエンロールする必要があります。

異なるノード上のマルチマスター・クラスタに同時に追加された新しいエンドポイントには、名前の競合があります。Oracle Key Vaultによってエンドポイント名の競合が自動的に解決され、「Conflicts Resolution」ページに競合が表示されます。ここから、システム管理者は名前の変更を選択できます。

関連トピック

親トピック: エンドポイントの管理

12.2.3 Oracle Key Vaultシステム管理者またはエンドポイント作成ユーザーとしてのエンドポイントの追加

システム管理者ロールまたはエンドポイント作成権限を付与されたユーザーは、「Endpoints」タブを使用してエンドポイントを追加できます。

  1. システム管理者ロールまたはエンドポイント作成権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。

    21.5_endpoint_page.pngの説明が続きます
    図21.5_endpoint_page.pngの説明

    「Endpoints」ページには、登録されエンロールされたエンドポイントのリストと、エンドポイント詳細(名前、タイプ、説明、プラットフォーム、ステータス、エンロール・トークン、アラート、エンドポイントの証明書の有効期限、証明書発行者の共通名、および最終アクティブ時間)が表示されます。このエンドポイントのリストは、ログインしているユーザーによって異なります。エンドポイント情報のリストはログインしているユーザーに応じて異なり、エンロール・トークンなどの詳細や、「Endpoints」ページ内の表の上のボタンは、そのユーザーのロールまたは権限のステータスに応じて表示されます。たとえば、システム管理者ロールがあるユーザーには「Add」、「Suspend」および「Resume」などのすべての操作に関連するボタンが表示されますが、エンドポイント作成権限のみがあるユーザーには「Add」ボタンのみが表示されます。エンドポイント・ステータスは、「Registered」または「Enrolled」のいずれかになります。

    • 「Registered」ステータス: エンドポイントが追加され、1回限りのエンロール・トークンが生成されています。このトークンは、対応する「Enrollment Token」列に表示されます。
    • 「Enrolled」ステータス: エンドポイント・ソフトウェアをダウンロードするために、1回限りのエンロール・トークンが使用されています。「Enrollment Token」列に、エンロール・トークンが使用されていることを示すダッシュ(-)が表示されます。システム管理者ロールを持っていない(つまり、エンドポイント管理権限を持っている)場合は、自分が管理できるエンドポイントのエンロール・トークンのみを表示できます。
    • Created By: エンドポイントを作成したユーザー。そのユーザーが存在しなくなった場合や、この情報が保存される前のバージョンでエンドポイントが作成されていた場合は、このフィールドにANONYMOUSと表示されます。
    • Creator Node: エンドポイントが作成されたノード。これは、マルチマスター・クラスタ環境に固有です。
    • Name Status: エンドポイントの状態。状態はACTIVEまたはPENDINGになります。これは、マルチマスター・クラスタ環境に固有です。
    • Cluster Subgroup: エンドポイントが作成されたサブグループ。これは、マルチマスター・クラスタ環境に固有です。
  3. 「Endpoints」ページで、「Add」をクリックします。
    「Register Endpoint」ページが表示されます。「Make Unique」チェック・ボックスと「Cluster Subgroup」ドロップダウンは、マルチマスター・クラスタ・モードでのみ表示されます。

    21_add_endpoint.pngの説明が続きます
    図21_add_endpoint.pngの説明

  4. 「Endpoint Name」フィールドに、エンドポイントの名前を入力します。
  5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。

    「Make Unique」は、マルチマスター・クラスタ環境全体でネーミングの競合を制御するために役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成されたエンドポイントは、ネーミング競合による影響を受けません。

    • 「Make Unique」を選択すると、エンドポイントがただちにアクティブになり、ユーザーはこのエンドポイントを使用できます。
    • 「Make Unique」を選択しない場合、エンドポイントはPENDING状態で作成されます。その後、Oracle Key Vaultは名前解決操作を開始し、エンドポイントをクラスタ全体で一意の名前に変更できます。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。エンドポイントは一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたエンドポイント名を受け入れるか、エンドポイント名を変更する必要があります。エンドポイント名を変更すると、名前解決操作が再起動され、エンドポイントはPENDING状態に戻ります。PENDING状態のエンドポイントは、ほとんどの操作の実行に使用できません。
  6. 「Type」ドロップダウン・リストから、エンドポイントのタイプを選択します。
    サポートされているタイプは、Oracle DatabaseOracle Database Cloud ServiceOracle (non-database)Oracle ACFSMySQL DatabaseSSH ServerおよびOtherです。「Other」の例には、サード・パーティのKMIPエンドポイントがあります。Oracle Advanced Security Transparent Data Encryption (TDE)を使用していて、Oracle Key Vaultを使用してTDEマスター暗号化キーまたはウォレットを管理する場合、「Type」「Oracle Database」に設定する必要があります。
  7. 次のエンドポイント情報を入力します。
    • Platform: サポートされているプラットフォームの選択肢は、LinuxSolaris SPARCSolaris x64AIXHP-UXおよびWindowsです。
    • Description: 必要に応じて、エンドポイントのホスト名、IPアドレス、機能または場所など、実用的でわかりやすい説明を入力します。
    • Administrator Email: 必要に応じて、Oracle Key Vaultからエンロール・トークンおよびその他のエンドポイント関連のアラートを直接送信するエンドポイント管理者の電子メール・アドレスを入力します。電子メール通知機能を使用するには、SMTPを構成する必要があります。
    • Cluster Subgroup: マルチマスター・クラスタ環境の場合、エンドポイントのサブグループを選択します。「No Cluster Subgroup」を選択すると、エンドポイントはどのクラスタ・サブグループにも属しません。接尾辞が付いたオプションを(作成者ノードから)選択した場合、エンドポイントは、作成者ノードのクラスタ・サブグループが変更された場合でも、その作成者ノードが属するクラスタ・サブグループの一部になります。他のすべてのオプションは、作成者ノードのクラスタ・サブグループに関係なく、エンドポイントが属する既存のクラスタ・サブグループにエンドポイントを割り当てます。
    • SSH Server Hostname: タイプ「SSH Server」に、Oracle Key Vault Secure Shell (SSH)エンドポイントがデプロイされるSSHサーバー・ホストのホスト名またはIPアドレスを入力します。
  8. 「Register」をクリックします。
    「Endpoints」ページが表示され、そこにステータスが「Registered」の新しいエンドポイントが表示されます。「Enrollment Token」列に1回限りのエンロール・トークンが表示されます。

    21.5_endpoint_page.pngの説明が続きます
    図21.5_endpoint_page.pngの説明

  9. エンドポイント名をクリックして、エンドポイントの詳細を表示します。
    「Endpoint Details」ページが表示されます。

    21.5_endpoint_details_updated.pngの説明が続きます
    図21.5_endpoint_details_updated.pngの説明

    「Endpoint Details」ページの「Send Enrollment Token」ボタンは、「Status」「Registered」のエンドポイントに対してのみ表示されます。システム管理者ロール、またはエンドポイントに対するエンドポイント管理権限があるユーザーには、「Endpoint's enrollment token」または「Send Enrollment Token」ボタンが表示されます。

    1回限りのエンロール・トークンをエンドポイント管理者に送信するには、2つの方法があります。

    • SMTPを構成して電子メール・アドレスを入力した場合は、次のステップに示すように「Send Enrollment Token」ボタンをクリックし、Oracle Key Vaultからエンロール・トークンをエンドポイント管理者に直接送信できます。
    • SMTPを構成しなかった場合、または電子メール・アドレスを入力しなかった場合は、バンド外の方式を使用して、エンドポイント管理者にエンロール・トークンを送信する必要があります。

    エンドポイントをエンロールし、エンドポイントが最近作成または再エンロールされたノードからエンドポイントjarファイルをダウンロードする必要があります。

  10. 「Send Enrollment Token」をクリックします。
    この段階で、エンドポイントの管理者はエンドポイントのエンロール・プロセスを完了できます。エンロール・トークンがエンドポイント側でエンドポイント・ソフトウェアのダウンロードおよびインストールに使用されている場合、エンドポイント・ステータスは「Registered」から「Enrolled」に変わります。

関連トピック

親トピック: エンドポイントの管理

12.2.4 自己エンロールを使用したエンドポイントの追加

自己エンロール・プロセスでは、エンドポイントは途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスに移行します。

親トピック: エンドポイントの管理

12.2.4.1 自己エンロールを使用したエンドポイントの追加について

Oracle Key Vaultでは、エンドポイント自己エンロールでエンロールされたすべてのエンドポイントに、自己エンロール済属性が関連付けられます。

自己エンロールされたエンドポイントは、ユーザーがエンドポイント・ソフトウェアをダウンロードするときに途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスになります。自己エンロールされたエンドポイントは、ENDPT_001という形式の、システム生成の名前によって認識できます。マルチマスター・クラスタでは、システム生成エンドポイント名はENDPT_node_id_sequential_numberという形式で、node_id01または02などの値です。たとえば、ENDPT_01_001は、生成されるエンドポイントの名前になります。

エンドポイント自己エンロールはデフォルトでは無効で、システム管理者ロールを持っているユーザーによって有効化される必要があります。

エンドポイントがエンロールすると予期される限られた期間にエンドポイント自己エンロールを有効化することがベスト・プラクティスとなります。予期したエンドポイントがエンロールされた後、エンドポイント自己エンロールを無効化する必要があります。

ノート:

エンドポイントの自己エンロール・プロセスは、Oracle Key Vault 21.5では非推奨となっています。かわりに、エンドポイント・エンロールにRESTfulサービス・ユーティリティを使用できます。
12.2.4.2 自己エンロールを使用したエンドポイントの追加

Oracle Key Vault管理コンソールからエンドポイントの自己エンロール・プロセスを構成できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択し、左側のナビゲーション・バーから「Settings」を選択します。
    「Endpoint Settings」ページが表示されます。


    21_endpoint_settings.pngの説明が続きます
    図21_endpoint_settings.pngの説明

  3. 「Allow Endpoint Self-Enrollment」の右にあるボックスを選択します。
  4. 「Save」をクリックします。

12.2.5 エンドポイントの削除、一時停止、再エンロールまたはローテーション

エンドポイントでセキュリティ・オブジェクトの格納にOracle Key Vaultが使用されなくなった場合は、それらのエンドポイントを削除できます。また、必要に応じて、それらを一時停止し、後で再開できます。必要に応じて、エンドポイントを再エンロールまたはローテーションすることもできます。

  • エンドポイントの削除について
    エンドポイントを削除すると、エンドポイントはOracle Key Vaultから永久に削除されます。
  • 1つ以上のエンドポイントの削除
    「Endpoints」ページでは、Oracle Key Vaultからエンドポイントのグループを一度に削除できます。
  • 1つのエンドポイントの削除(代替方法)
    「Endpoint Details」ページには、選択したエンドポイントの統合ビューが、Oracle Key Vaultからエンドポイントを削除するメカニズムも含めて表示されます。
  • エンドポイントの一時停止
    セキュリティ上の理由からエンドポイントを一時的に停止し、脅威が去った後でエンドポイントを再開できます。使用されていないエンドポイントをCA証明書ローテーション・プロセスの間に一時停止してCA証明書ローテーション・プロセスを完了することもできます。
  • エンドポイントの再エンロール
    エンドポイントを再エンロールすると、エンロール・プロセスによってエンドポイント・ソフトウェアが自動的にアップグレードされ、新しいエンドポイント証明書も生成されます。
  • エンドポイント証明書のローテーション
    エンドポイントの証明書をローテーションすると、エンドポイントの停止時間が発生することなく、その証明書の有効期限が延長されます。

親トピック: エンドポイントの管理

12.2.5.1 エンドポイントの削除について

エンドポイントを削除すると、Oracle Key Vaultから永久に削除されます。

ただし、そのエンドポイントによって以前に作成またはアップロードされたセキュリティ・オブジェクトは、Oracle Key Vaultに残ります。同様に、そのエンドポイントに関連付けられているセキュリティ・オブジェクトも残ります。これらのセキュリティ・オブジェクトを永久に削除または再割当てするには、キー管理者ロールを持っているユーザーであるか、ウォレットの権限を管理することでこれらのオブジェクトをマージする権限を持っている必要があります。エンドポイントで以前にダウンロードされたエンドポイント・ソフトウェアも、エンドポイント管理者が削除するまで、エンドポイントに残ります。

PENDING状態のエンドポイントは、それを作成したユーザーでなければ削除できません。作成したノードで削除する必要があります。

12.2.5.2 1つ以上のエンドポイントの削除

「Endpoints」ページでは、Oracle Key Vaultからエンドポイントのグループを一度に削除できます。

このページから1つのエンドポイントを削除することもできます。
  1. そのエンドポイントにシステム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、このユーザーにエンドポイント管理権限が付与されているエンドポイントのみ削除できます。ユーザーが管理できるエンドポイントを表示するには、「Users」タブを選択し、「Manage Users」を選択します。該当するユーザーの「User Details」ページを確認し、「Access to Endpoints」領域までスクロールします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    「Endpoints」ページに、現在登録またはエンロールされているすべてのエンドポイントがリストされます。
  3. 「Endpoints」ページで、削除するエンドポイントの左側にあるチェック・ボックスを選択します。
  4. 「Delete」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。

    ノート:

    削除したエンドポイントのエンドポイント・ソフトウェアをアンインストールするには、エンドポイント・ソフトウェアのインストール・ディレクトリまたはOKV_HOMEを削除します。それらのリンクが存在する場合は、$ORACLE_HOME/okv/$ORACLE_SIDおよび$ORACLE_BASE/okv/$ORACLE_SIDからそれらを削除する必要もあります。このマシンにOracle Key Vaultを使用する他のデータベースがない場合は、Linux x86-64、Solaris、AIXおよびHP-UX (IA)インストールでは/opt/oracle/extapi/64/hsm/oracle/1.0.0ディレクトリから、WindowsインストールではC:\oracle\extapi\64\hsm\oracle\1.0.0ディレクトリからliborapkcs.soも削除することを検討してください。
12.2.5.3 1つのエンドポイントの削除(代替方法)

「Endpoint Details」ページには、選択したエンドポイントの統合ビューが表示されます。これには、Oracle Key Vaultからエンドポイントを削除するメカニズムも含まれます。

  1. そのエンドポイントにシステム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、このユーザーにエンドポイント管理権限が付与されているエンドポイントのみ削除できます。ユーザーが管理できるエンドポイントを表示するには、「Users」タブを選択し、「Manage Users」を選択します。該当するユーザーの「User Details」ページを確認し、「Access to Endpoints」領域までスクロールします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 削除するエンドポイントの名前をクリックします。
    「Endpoint Details」ページが表示されます。
  4. 「Delete」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。
12.2.5.4 エンドポイントの一時停止

セキュリティ上の理由からエンドポイントを一時的に停止し、脅威が去った後でエンドポイントを再開できます。使用されていないエンドポイントをCA証明書ローテーション・プロセスの間に一時停止してCA証明書ローテーション・プロセスを完了することもできます。

エンドポイントを一時停止すると、ステータスが「Enrolled」から「Suspended」に変わります。PENDING状態のエンドポイントは、それを作成したユーザーでなければ一時停止できません。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限があるユーザーは、自分が管理可能なエンドポイントのみを一時停止できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、一時停止するエンドポイントの左側にあるチェック・ボックスを選択します。
  4. 「Suspend」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。
    エンドポイントを一時停止すると、「Endpoints」ページの「Status」「Suspended」になります。
  6. エンドポイントを有効化するには、ステップ1-3. を実行します
    「Endpoint Details」ペインから、「Enable」をクリックします。「Endpoints」ページのエンドポイントの「Status」「Enrolled」になります。

マルチマスター・クラスタ内のエンドポイントの一時停止には、次のルールが適用されます。

  • 通常のエンドポイントの場合、すべての一時停止操作リクエストがクラスタ内のすべてのノードに到達するまで、エンドポイントは引き続き動作します。
  • 任意のノードのエンドポイントを一時停止できます。
  • クラウドベースのエンドポイントの場合、一時停止操作がリバースSSHトンネルの確立元であるすべてのノードに達するまで、エンドポイントは引き続き動作します。
  • リバースSSHトンネルの確立元から、クラウドベースのエンドポイントの任意のノードのエンドポイントを一時停止できます。
12.2.5.5 エンドポイントの再エンロール

エンドポイントを再エンロールすると、エンロール・プロセスによってエンドポイント・ソフトウェアが自動的にアップグレードされ、新しいエンドポイント証明書も生成されます。

プライマリ・スタンバイ構成でプライマリOracle Key Vaultサーバーと新しいセカンダリ・サーバーのペアなどの変更に対応するために、エンドポイントを再エンロールする必要もあります。エンドポイントを再エンロールする処理は、エンドポイントの古いデプロイメントからの接続をただちに禁止します。エンドポイントを再エンロールする場合は、okvclient.jarをダウンロードして、既存のデプロイメントとは別のディレクトリにデプロイすることをお薦めします。ソフトウェアをデプロイする場合は、-oオプションを使用して、古いokvclient.oraを指すシンボリック・リンクを上書きします。PENDING状態のエンドポイントは、そのエンドポイントを作成したユーザーでなければ再エンロールできません。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、自分が作成したエンドポイントのみを再エンロールできます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、再エンロールするエンドポイントの左側にあるボックスを選択します。
  4. 「Reenroll」をクリックします。

    エンドポイントの再エンロールごとに新しいエンロール・トークンが生成され、対応する「Enrollment Token」列に表示されます。この1回限りのトークンを使用して、エンドポイントを再エンロールできます。エンドポイントjarファイルは、エンドポイントが再エンロールされた同じノードからダウンロードする必要があります。

    ノート:

    okvclient.jarファイルをデプロイすると、「The endpoint software for Oracle Key Vault installed successfully」というメッセージが表示されます。かわりに「The endpoint software for Oracle Key Vault upgraded successfully」というメッセージが表示された場合は、古いデプロイメント・ディレクトリで再エンロールが実行されたため、エンドポイントのソフトウェアはアップグレードされましたが、正常に再エンロールされませんでした。

    okvclient.jarオプション-oを使用して、新しいディレクトリ内のokvclient.oraを指すシンボリック・リンク参照を上書きできます。

    エンドポイントの再エンロールごとに新しいエンロール・トークンが生成され、対応する「Enrollment Token」列に表示されます。この1回限りのトークンを使用して、エンドポイントを再エンロールできます。エンドポイントjarファイルは、エンドポイントが再エンロールされた同じノードからダウンロードする必要があります。

12.2.5.6 エンドポイント証明書のローテーション

エンドポイントの証明書をローテーションすると、エンドポイントの停止時間が発生することなく、その証明書の有効期限が延長されます。

エンドポイントはTLS証明書を使用してOracle Key Vaultと通信します。エンドポイントの証明書の有効期限が近づいたら、停止時間が発生することなく新しい証明書が発行されるように、そのエンドポイントをローテーションできます。

ノート:

Oracle Key Vault管理コンソールからエンドポイント証明書の有効期限までの時間を特定するには、「Endpoints」ページに移動し、「Endpoint Certificate Expiration」フィールドを確認します。

関連項目:

CA証明書の有効期限の確認
エンドポイント証明書の有効期限が切れたときにリマインダを受信するように「Endpoint Certificate Expiration」アラートを構成することで、エンドポイント証明書の有効期限をモニタリングすることもできます。


関連項目:

Oracle Key Vaultアラートの構成

エンドポイントは、その証明書の有効期限が切れるまでにローテーションしないと、停止時間が発生します。その場合は、そのエンドポイントを再エンロールする必要があります。1つのエンドポイント、または同時に複数のエンドポイントをローテーションできます。エンドポイントをローテーションすると、Oracle Key Vaultに新しい証明書が生成されます。その後、エンドポイントは、Oracle Key Vaultにアクセスしてこの新しい証明書を受け取ってから、Oracle Key Vaultに対してその証明書の受取りの確認応答を送信して証明書ローテーションをすべて完了する必要があります。

エンドポイント証明書をローテーションするには、次の手順を実行します。

  1. システム管理者ロール、または指定したエンドポイントに対するエンドポイント管理権限があるユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、ローテーションするエンドポイントの左側にあるボックスを選択します。
  4. 「Rotate」をクリックします。

    このプロセスは、ローテーションするエンドポイントの数によっては、完了までに数分かかることがあります。数分後、「One or more endpoints rotated successfully」というメッセージが表示されます。ローテーションされた各エンドポイントについて、「Endpoints」ページ内の「Common Name of Certificate Issuer」フィールドが「Updating to Current Certificate Issuer」に変わります。バックエンドで、Oracle Key Vaultによって、ローテーションされたエンドポイントごとに新しい証明書が生成されました。

    ローテーションされたエンドポイントは、Oracle Key Vaultに次回アクセスしたときに、その新しい証明書を受け取ります。マルチマスター・クラスタにおいては、エンドポイントは、新しい証明書を受け取るために、そのエンドポイント証明書のローテーションが実行されたOracle Key Vaultクラスタ・ノードにアクセスする必要があります。エンドポイントは、その新しい証明書を受け取った後、Oracle Key Vaultに対して受取りの確認応答を送信する必要があります。それが実行されると、そのエンドポイントはローテーションが完了したとみなされ、その「Common Name of Certificate Issuer」「Updating to Current Certificate Issuer」から、現在のOracle Key VaultのCA証明書の共通名に変わります。その「Endpoint Certificate Expiration」フィールドに、その証明書の新しい有効期限が表示されます。
    • 1つ以上のエンドポイントがローテーションされると、「Endpoints」ページに「Certificate Rotation In Progress」というメッセージを含むバナーが表示されます。マルチマスター・クラスタにおいては、このバナーが、すべてのクラスタ・ノードの「Endpoints」ページに表示されます。それは、ローテーションされたすべてのエンドポイントがその新しい証明書を正常に受け取り、受取りの確認応答を送信するまで(つまり、証明書ローテーションが完了するまで)残ります。「Endpoints」ページ内の「Common Name of Certificate Issuer」フィールドで、まだローテーション中のエンドポイントの数を確認できます。まだローテーションが完了していないエンドポイントについては、このフィールドに「Updating to Current Certificate Issuer」と表示されたままになります。
    • マルチマスター・クラスタ環境においては、エンドポイントは、その証明書のローテーションが実行されたクラスタ・ノードにアクセスしたときにのみ、その新しい証明書を受け取ります。エンドポイントはエンドポイント・ノード・スキャン・リスト内の任意のノードと通信できるため、エンドポイントがローテーション・ノードにアクセスして証明書を受信する前に多くの操作を実行する可能性があります。エンドポイントは、クラスタ内のノードにアクセスすることによって、新しい証明書の受信の確認応答をする必要もあります。
    • エンドポイント証明書のローテーション時間は、クラスタ内のノード数によって増加します。エンドポイントではローカル・サブグループ内のノードが優先されるため、そのクラスタ・サブグループ内のノードでエンドポイント証明書をローテーションすることを検討してください。


    • マルチマスター・クラスタ環境では、エンドポイントは新しい証明書を受信するためにローテーション・ノードにアクセスする必要があります。多数のノードがあるクラスタでは、エンドポイントがスキャン・リスト内の任意のノードにアクセスする可能性があります。証明書のローテーション中にこれが発生した場合、可能なかぎり少ない操作でその新しい証明書を受信するために、エンドポイントはベストエフォートでローテーション・ノードにもアクセスしようとします。ただし、クラスタ内のノード数およびエンドポイントがOracle Key Vaultにアクセスする周期によっては、エンドポイント証明書のローテーションの完了に時間がかかる場合があります。エンドポイントを再エンロールするための停止時間が発生しないようにするために、エンドポイント証明書は、その有効期限前にかなり早めにローテーションすることをお薦めします。
    • マルチマスター・クラスタ環境で、エンドポイントのローテーション・ノードを表示するには、「Endpoints」ページに移動し、「Actions」ドロップダウン・リストから「Select Columns」を選択します。表示する列のリストに「Rotating Node」列を追加し、「Apply」をクリックします。別の方法として、特定のエンドポイントの「Endpoint Details」ページに、ローテーション・ノードを表示することもできます。

      ノート:

      ローテーション・ノードは、証明書のローテーション進行中の間のみ、「Endpoints」および「Endpoint Details」ページに表示できます。
    • エンドポイントがローテーションされた場合の、その新しい証明書の有効期限は、Oracle Key Vaultデプロイメントの「Endpoint Certificate Validity」構成パラメータ、およびOracle Key VaultのCA証明書の有効期限までの時間によって異なります。



12.2.5.6.1 エンドポイント証明書のローテーションに関するガイドライン

エンドポイント証明書をローテーションする前に、これらのOracle Key Vaultガイドラインについて検討してください。

エンドポイント証明書ローテーションのガイドライン

  • CA証明書のローテーションの進行中は、エンドポイント証明書をローテーションしないでください。
  • サーバーまたはノード証明書のローテーションの進行中は、エンドポイント証明書をローテーションしないでください。
  • エンドポイント証明書のローテーションの進行中は、「Endpoint Certificate Validity」パラメータを変更しないでください。
  • エンドポイントが関連付けられているクラスタ・サブグループ内のノードからそのエンドポイントをローテーションすることを検討してください。
  • エンドポイントは、その証明書がすでに期限切れの場合はローテーションしないでください。かわりに、それを再エンロールすることを検討してください。
  • ネットワークの問題やその他の問題が原因でエンドポイントがその新しい証明書を受け取れない場合は、そのエンドポイントを再エンロールすることを検討してください。
  • エンドポイントをローテーションする前に、そのエンドポイント・ソフトウェアをバージョン21.5.0.0.0以降にアップグレードしてあることを確認してください。

12.3 エンドポイント詳細の管理

エンドポイント詳細は、エンドポイント名、タイプ、説明、プラットフォームおよび電子メール、グループへのエンドポイントの追加、またはエンドポイント・ソフトウェアのアップグレードを指します。

親トピック: Oracle Key Vaultエンドポイントの管理

12.3.1 エンドポイント詳細について

エンドポイント詳細ページには、エンドポイントの統合ビューが表示されます。

このページにアクセスするには、「Endpoints」タブを選択し、エンドポイントの名前をクリックします。ここから、エンドポイント詳細を変更したり、エンドポイント管理タスクを完了することができます。(次の画面に一部のビューを示します。)

21.5_endpoint_details.pngの説明が続きます
図21.5_endpoint_details.pngの説明

親トピック: エンドポイント詳細の管理

12.3.2 エンドポイント詳細の変更

エンドポイント名、エンドポイント・タイプ、説明、プラットフォームおよび電子メールを変更できます。

マルチマスター・クラスタでは、エンドポイントの詳細を変更できるのは、そのエンドポイントが作成されたノードで、エンドポイントがPENDING状態にある場合のみです。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、このユーザーが作成したエンドポイントのみを変更できます。ユーザーが管理できるエンドポイントを表示するには、「Users」タブを選択し、「Manage Users」を選択します。該当するユーザーの「User Details」ページを確認し、「Access to Endpoints」領域までスクロールします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、エンドポイントの名前をクリックします。
    「Endpoint Details」ページが表示されます。21.5_endpoint_details.pngの説明が続きます
    図21.5_endpoint_details.pngの説明
  4. 「Endpoint Details」ページで、「Endpoint Name」「Type」「Description」「Platform」「Administrator Email」「Cluster Subgroup」(マルチマスター・クラスタ環境のみ)または「Strict IP Check」のいずれかを変更します。
    「Strict IP Check」設定は、Oracle Key Vaultで作成された任意のエンドポイントに対してデフォルトで有効になっています。このチェック・ボックスを選択すると、Oracle Key Vaultは、エンドポイント・ソフトウェアが最初にデプロイされたときに使用されたものと同じIPを使用してエンドポイントが接続しているかどうかを確認します。このチェック・ボックスを無効にすると、Oracle Key Vaultによってエンドポイントは任意のIPアドレスを使用して接続できます。特に指定がないかぎり、この設定を有効にすることをお薦めします。
  5. 「Save」をクリックします。

親トピック: エンドポイント詳細の管理

12.4 グローバルおよびエンドポイントごとの構成パラメータおよび設定の管理

Oracle Key Vaultでは、Oracle Key Vault管理コンソールで設定できるグローバルおよびエンドポイントごとの構成パラメータと設定が提供されています。

親トピック: Oracle Key Vaultエンドポイントの管理

12.4.1 グローバルおよびエンドポイントごとの構成パラメータおよび設定の管理について

システム管理者ロールまたはキー管理者ロールを持つユーザーは、Oracle Key Vault管理コンソールで特定のエンドポイント構成パラメータおよび設定を集中的に更新できます。

エンドポイント構成パラメータおよび設定をグローバル(すべてのエンドポイントが対象)またはエンドポイント単位で設定すると、システム管理者およびキー管理者の複数のエンドポイントを管理するプロセスが簡略化されます。

次のタイプのグローバル・エンドポイント設定およびエンドポイントごとの設定を実行できます。

  • エンドポイント構成パラメータ: これには、証明書が有効である時間の長さ、様々なPKCS 11設定のタイムアウト、クライアントのOracle Key Vaultサーバーへの接続試行のタイムアウト(秒単位)などの機能を制御する設定が含まれます。システム管理者ロールまたは特定のエンドポイントのエンドポイント管理権限を持つユーザーのみが、これらのパラメータを変更できます。システム管理者ロールを持つユーザーは、すべてのエンドポイントのエンドポイント構成パラメータを変更できます。エンドポイント管理権限を持つユーザーは、アクセス権を持つ各エンドポイントごとに構成パラメータを変更できます。そうするには、このユーザーが、エンドポイントの「Details」ページに移動し、下部までスクロールした場所でエンドポイントを変更する必要があります。
  • キーおよびシークレット: これには、対称キーの抽出可能属性値の設定が含まれます。この設定を変更できるのは、キー管理者ロールを持つユーザーのみです。

グローバル値およびエンドポイントごとの値の変更が有効になるタイミング

Oracle Key Vault管理コンソールで設定された構成パラメータ値は、エンドポイントに動的に適用されます。次回エンドポイントがOracle Key Vaultサーバーに接続すると、更新された構成パラメータがエンドポイントに適用されます。エラーがある場合、更新は適用されません。

RESTfulサービス・ユーティリティを使用する場合は、Oracle Key Vaultによってエンドポイント構成が更新されません。この場合は、okvutil、C SDK、JAVA SDKまたはPKCS11ライブラリを使用してエンドポイント構成の更新を適用します。

マルチマスター・クラスタでは、構成パラメータおよび設定のレプリケーションはレプリケーション・ラグに依存します。接続先のノードがまだパラメータまたは設定の新しい値を受信していないため、エンドポイントはすぐに更新を取得できない可能性があります。新しい値が設定されたノードに接続した場合、または過去1時間その構成がリフレッシュされなかった場合は、エンドポイントの構成がリフレッシュされます。

グローバル値とエンドポイントごとの値の優先順位と継承

個々のエンドポイントに設定される値は、グローバルに設定される同じ値よりも優先されます。グローバル・パラメータおよび設定は、エンドポイント固有のパラメータおよび設定がクリアされると有効になります。Oracle Key Vaultでは、グローバルおよびエンドポイント固有のパラメータがクリアされるか、Oracle Key Vault管理コンソールから設定されていない場合は、デフォルトのシステム・パラメータおよび設定が使用されます。

キーおよびシークレットの場合、新しい対称キーまたは秘密キーを作成しますが、対称キーまたは秘密キーの作成時に抽出可能属性値を指定しないとします。キーは、対称キーまたは秘密キーが作成された個々のエンドポイントに設定されているデフォルト値を継承します。デフォルトの抽出可能属性値がこのエンドポイントに設定されていない場合、キーは抽出可能属性のグローバル・エンドポイント値を継承します。このグローバル・エンドポイント値が設定されていない場合、抽出可能属性値はtrueにデフォルト設定されます。後でグローバル・エンドポイントの抽出可能属性値を変更して、将来のエンドポイントがこの値を使用するとします。構成パラメータと同様に、すでに存在する個々のエンドポイントに設定された値は、グローバルに設定された同じ値よりも優先されます。

関連トピック

親トピック: グローバルおよびエンドポイントごとの構成パラメータおよび設定の管理

12.4.2 グローバル・エンドポイントの構成パラメータおよび設定

Oracle Key Vault管理コンソールで、すべてのエンドポイントについて、エンドポイントの構成パラメータおよび設定をグローバルに設定できます。

親トピック: グローバルおよびエンドポイントごとの構成パラメータおよび設定の管理

12.4.2.1 グローバル・エンドポイント構成パラメータの設定

グローバル・エンドポイント構成パラメータは、Oracle Key Vault管理コンソールで設定できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択し、左側のナビゲーション・バーから「Settings」を選択します。

    「Endpoint Settings」ページが表示されます。

    21_endpoint_settings.pngの説明が続きます
    図21_endpoint_settings.pngの説明

  3. 「グローバル・エンドポイント構成パラメータ」セクションで、次の設定を構成します。
    • Endpoint Certificate Validity ( in days ): 現在のエンドポイント証明書が有効である日数を指定します。有効な設定は365から1095です。デフォルトは365です。エンドポイントがエンロールされると、エンドポイント証明書の有効期間は、常にCA証明書の有効期間よりも短くなります。
    • PKCS 11 In-Memory Cache Timeout ( in minutes ): インメモリー・キャッシュにキャッシュされた後にマスター暗号化キーを使用できる期間を分単位で指定します。

      PKCS 11 Persistent Cache Timeout ( in minutes ): 永続マスター暗号化キー・キャッシュにキャッシュされた後のマスター暗号化キーの使用可能期間を分単位で指定します。

    • PKCS 11 Persistent Cache Refresh Window ( in minutes ): 永続マスター暗号化キー・キャッシュにキャッシュされた後のマスター暗号化キーの使用可能期間を延長するために期間を分単位で指定します。
    • PKCS11 Configuration Parameter Refresh Interval ( in minutes ): 長時間実行されるプロセスがokvclient.ora構成ファイルを再読込みする頻度を指定します。
    • Server Poll Timeout ( in milliseconds ): リスト内の次のサーバーを試行する前に、クライアントがOracle Key Vaultサーバーに接続しようとするタイムアウトを秒単位で指定します。デフォルト値は300 (ミリ秒)です。Oracle Key Vaultでは、クライアントは最初にアクセス不可能なサーバーを迅速に検出するように、Oracle Key Vaultへの非ブロッキングのTCP接続を確立します。最初の試行後、クライアントは、サーバーへの第2および最終試行を実行しますが、今度はSERVER_POLL_TIMEOUTパラメータで指定された期間の2倍まで待機します。これは、考えられるネットワークの輻輳や遅延を克服するために行われます。
    • PKCS 11トレース・ディレクトリ・パス: トレース・ファイルを保存するディレクトリを指定します。
    • Expire PKCS11 Persistent Cache on Database Shutdown: 指定したエンドポイント・データベースのPKCS#11永続キャッシュがエンドポイント・データベースの停止時に自動的に期限切れになるように有効にするか、または無効にします。

    ノート:

    「Global Endpoints Configuration Parameters」の値が空の場合、okvclient.oraファイル内の手動でカスタマイズされた値が有効であることを示します。これらの値をOracle Key Vault管理コンソールで設定した後は、これらの値はOracle Key Vault管理コンソールからのみ編集する必要があります。空の値は設定できません。
  4. 「Save」をクリックします。
12.4.2.2 キーおよびシークレットのグローバル・エンドポイント設定の構成

エンドポイント構成で作成または登録する新しい対称キーに対して、デフォルトの抽出可能属性値を設定できます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択し、左側のナビゲーション・バーから「Settings」を選択します。
    「Endpoint Settings」ページが表示されます。
  3. 「Global Endpoint Settings for Keys & Secrets」セクションまでスクロール・ダウンします。
  4. 「Symmetric Key」メニューから、次のいずれかの選択肢を選択します。

    • 「True」(デフォルト)の場合、オブジェクト値をOracle Key Vaultから抽出できます。

    • 「False」の場合、オブジェクト値がOracle Key Vaultから抽出されなくなります。

  5. 「Private Key」メニューから、次のいずれかの選択肢を選択します。

    • 「True」(デフォルト)の場合、オブジェクト値をOracle Key Vaultから抽出できます。

    • 「False」の場合、オブジェクト値がOracle Key Vaultから抽出されなくなります。
  6. 次の選択肢を使用してこれらの設定を保存します。
    • 「Save Defaults」の場合、デフォルト値または抽出可能属性として使用されるデフォルト値(「TRUE」)が設定されます。
    • 「Save」の場合、抽出可能属性のデフォルト値として使用される値が設定されます。

12.4.3 エンドポイントごとの構成パラメータおよび設定

Oracle Key Vault管理コンソールで、個々のエンドポイントに対して異なるエンドポイント構成パラメータおよび設定を設定できます。

親トピック: グローバルおよびエンドポイントごとの構成パラメータおよび設定の管理

12.4.3.1 エンドポイントごとの構成パラメータの変更

システム管理者ロールまたはエンドポイント管理権限を持つユーザーは、エンドポイントごとの構成パラメータを設定できます。

  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    システム管理者ロールを持つユーザーは、任意のエンドポイントの構成パラメータを設定できます。エンドポイント管理権限を持つユーザーは、そのユーザーがエンドポイント管理権限を持つエンドポイントの構成パラメータのみを設定できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーから「Endpoints」を選択します。
  3. 「Endpoints」ページで、変更するエンドポイントを選択します。
  4. 「Endpoint Details」ページで、「Endpoint Configuration Parameters」領域までスクロール・ダウンします。
  5. 構成パラメータを必要に応じて変更します。
    この構成パラメータは、グローバルに変更できる構成パラメータと同じです。

    ノート:

    「Endpoints Configuration Parameters」の値が空の場合、okvclient.oraファイル内の手動でカスタマイズされた値が有効であることを示します。これらの値をOracle Key Vault管理コンソールで設定した後は、これらの値はOracle Key Vault管理コンソールからのみ編集する必要があります。空の値は設定できません。
  6. 「Save」をクリックします。
12.4.3.2 個々のエンドポイントのキーおよびシークレットのエンドポイント設定の構成

キー管理者ロールを持つユーザーは、個々のエンドポイントのキーおよびシークレットの値を設定できます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーから「Endpoints」を選択します。
  3. 「Endpoints」ページで、変更するエンドポイントを選択します。
  4. 「Endpoint Details」ページで、「Endpoint Settings for Keys & Secrets」領域までスクロール・ダウンします。
  5. 「Symmetric Key」メニューから、次のいずれかの設定を選択します。
    • 「True」の場合、オブジェクト値をOracle Key Vaultから抽出できます。
    • 「False」の場合、オブジェクト値がOracle Key Vaultから抽出されなくなります。
    • 「Use Global Settings」(デフォルト)の場合、「Extractable」属性のグローバル・エンドポイント設定が使用されます。
  6. 「Private Key」メニューから、次のいずれかの設定を選択します。
    • 「True」の場合、オブジェクト値をOracle Key Vaultから抽出できます。
    • 「False」の場合、オブジェクト値がOracle Key Vaultから抽出されなくなります。
  7. 「Save」をクリックします。

12.5 デフォルト・ウォレットとエンドポイント

エンドポイントでは、仮想ウォレットの1タイプであるデフォルト・ウォレットを使用できます。

親トピック: Oracle Key Vaultエンドポイントの管理

12.5.1 デフォルト・ウォレットとエンドポイントの関連付け

デフォルト・ウォレットは、ウォレットが明示的に指定されていない場合にセキュリティ・オブジェクトがアップロードされる仮想ウォレットのタイプです。

デフォルト・ウォレットは、Oracle Real Application Clusters (Oracle RAC)のノードやOracle Data Guardのプライマリおよびスタンバイ・ノードなど、他のエンドポイントと共有し、すべてのエンドポイントで同じデフォルト・ウォレットを使用できるので便利です。

デフォルト・ウォレットを使用する場合は、エンドポイントを登録した後、エンロールする前にこのウォレットを設定する必要があります。エンロール後にデフォルト・ウォレットを使用することを決定した場合は、デフォルト・ウォレットを削除してから、エンドポイントを再エンロールする必要があります。

エンロール・ステータス「registered」は、エンドポイントはOracle Key Vaultに追加されているが、エンドポイント・ソフトウェアがダウンロードおよびインストールされていないことを意味します。ステータスが「registered」の場合は、デフォルト・ウォレットをエンドポイントに関連付ける必要があります。

エンドポイント・エンロール・ステータスは、エンドポイント・ソフトウェアをエンドポイントにダウンロードおよびインストールすると「enrolled」になります。エンドポイントのエンロール後にデフォルト・ウォレットを設定する場合は、エンドポイントを再エンロールして、エンドポイントで今後作成されるすべてのセキュリティ・オブジェクトがそのウォレットに自動的に関連付けられるようにしてください。

マルチマスター・クラスタでは、作成されたエンドポイントおよびウォレットのいずれかがPENDING状態の場合、デフォルト・ウォレットはそれらが作成された同じノードでのみ割り当てることができます。両方がACTIVE状態の場合、制限はありません。デフォルト・ウォレットが割り当てられ、エンドポイントがエンロールされると、両方がACTIVE状態で、そのノードに情報がレプリケートされているかぎり、どのノードからもデフォルト・ウォレットにアクセスできます。

Parent topic: デフォルト・ウォレットとエンドポイント

12.5.2 エンドポイントのデフォルト・ウォレットの設定

エンドポイントのデフォルト・ウォレットを設定すると、別のウォレットが明示的に指定されていないかぎり、エンドポイントのセキュリティ・オブジェクトがウォレットに自動的にアップロードされます。

エンドポイントを登録した直後で、エンドポイント・ソフトウェアをダウンロードする前に、デフォルト・ウォレットを設定する必要があります。
  1. キー管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーとしてログオンしている場合は、エンドポイントのデフォルト・ウォレットとして設定するウォレットに対する完全なウォレット・アクセス権(読取り/書込み/管理ウォレット)が必要です。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、必要なエンドポイントの名前をクリックします。
  4. 「Default Wallet」ペインで「Choose Wallet」を選択します。

    21_wallet_default_none.pngの説明が続きます
    図21_wallet_default_none.pngの説明

    「Add Default Wallet」ページが表示され、使用可能なウォレットのリストが示されます。

    21_wallet_default_select.pngの説明が続きます
    図21_wallet_default_select.pngの説明

  5. デフォルト・ウォレットにするウォレットをリストから選択するには、ウォレットの左にあるオプションをクリックして「Select」をクリックします。
    選択したウォレットの名前が「Default Wallet」ペインに表示されます。

    21_wallet_default_selected.pngの説明が続きます
    図21_wallet_default_selected.pngの説明

  6. 「Save」をクリックします。

Parent topic: デフォルト・ウォレットとエンドポイント

12.6 仮想ウォレットへのエンドポイント・アクセス権の管理

仮想ウォレットへのエンドポイント・アクセス権を付与し、必要でなくなった場合にアクセス権を取り消したり変更することができます。

親トピック: Oracle Key Vaultエンドポイントの管理

12.6.1 仮想ウォレットへのエンドポイント・アクセス権の付与

セキュリティ・オブジェクトをアップロードまたはダウンロードする前に、エンドポイントにはウォレットに対する読取り権限、変更権限およびウォレット管理権限が必要です。

Oracle Key Vaultにエンドポイントを追加した直後で、まだ「registered」ステータスのときに、仮想ウォレットへのエンドポイント・アクセス権を付与できます。
  1. エンドポイントにキー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
  3. 「Endpoints」ページで、仮想ウォレットへのアクセス権が必要なエンドポイントを選択します。
    「Endpoint Details」ページが表示されます。「Access to Wallets」ペインまでページをスクロールします。

    217_access_to_wallets1.pngの説明が続きます
    図217_access_to_wallets1.pngの説明

  4. 「Access to Wallets」ペインに、エンドポイントがすでにアクセス権を持っているウォレットがリストされます。このリストに別のウォレットを追加するには、「Add」をクリックします。
    「Select Wallet」ページが表示されます。エンドポイント管理権限を持つユーザーは、このユーザーがアクセスできるウォレットのみを表示できます。

    21_wallet_default_select.pngの説明が続きます
    図21_wallet_default_select.pngの説明

  5. 「Add Access to Endpoint」ページに表示されているウォレットの使用可能なリストからウォレットを選択します。
  6. 「Select Access Level」ペインで、適切なアクセス・レベルを選択します。
  7. 「Save」をクリックします。

関連トピック

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

12.6.2 仮想ウォレットへのエンドポイント・アクセス権の取消し

「Endpoints」タブを使用して、エンドポイントの仮想ウォレットへのアクセス権を取り消すことができます。

  1. キー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
    指定されたエンドポイントに対するエンドポイント管理権限がある場合は、ウォレットへのアクセス権のレベルが同じかそれ以上である必要があります。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
  3. 「Endpoints」ページで、エンドポイント名を選択して、「Endpoint Details」ページを表示します。
    このページで、「Access to Wallets」ペインを探します。「Access to Wallets」ペインに、エンドポイントがアクセス権を持っているウォレットのリストが表示されます。
  4. アクセス権を取り消すウォレットを選択します。
  5. 「Remove」をクリックします。
  6. 確認のウィンドウで、「OK」をクリックします。

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

12.6.3 エンドポイントによってアクセスされるウォレット項目の表示

ウォレット項目という用語は、エンドポイントがアクセスできるセキュリティ・オブジェクトを指します。

  1. キー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、エンドポイントの名前をクリックして「Endpoint Details」ページにアクセスし、「Access to Wallet Items」ペインまでスクロールします。
    「Access to Wallet Items」ペインには、エンドポイントがアクセス権を持っているウォレット項目がリストされます。

    217_access_to_wallets.pngの説明が続きます
    図217_access_to_wallets.pngの説明

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

12.7 エンドポイント・グループの管理

エンドポイント・グループは、ウォレットの共通セットを共有するエンドポイントの名前付きグループです。

親トピック: Oracle Key Vaultエンドポイントの管理

12.7.1 マルチマスター・クラスタによるエンドポイント・グループへの影響

任意のノードでエンドポイント・グループを作成し、クラスタ全体のプレゼンスを設定できます。

いずれのノードでもエンドポイント・グループを追加、更新または削除できますが、読取り/書込みモードのみです。

初期ノードになるOracle Key Vaultサーバーは、すでに作成されているエンドポイント・グループを保持できます。これらのエンドポイント・グループは、クラスタの初期化またはシードに使用されます。インダクション中に、クラスタ内のエンドポイント・グループが新しく追加されたノードにレプリケートされます。クラスタに追加された他のすべてのノードで作成されたエンドポイント・グループは、インダクション中に削除されます。

異なるノード上のマルチマスター・クラスタに同時に追加された新しいエンドポイント・グループには、名前の競合があります。Oracle Key Vaultは、すべてのエンドポイント・グループ名の競合を自動的に解決します。これらの競合は競合解決ページに表示され、キー管理者は名前を変更できます。

関連トピック

親トピック: エンドポイント・グループの管理

12.7.2 エンドポイント・グループの作成

ウォレットに格納されたセキュリティ・オブジェクトの共通セットを共有する必要がある複数のエンドポイントを、1つのエンドポイント・グループにまとめることができます。

たとえば、Oracle Real Application Clusters (Oracle RAC)、GoldenGateまたはOracle Active Data Guardを使用するエンドポイントが、共有データにアクセスするためのキーを共有する必要がある場合があります。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを管理できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。

    21_endpoint_groups.pngの説明が続きます
    図21_endpoint_groups.pngの説明

  3. 「Create」をクリックします。
    「Create Endpoint Group」ページが表示されます。

    21_create_endpoint_group.pngの説明が続きます
    図21_create_endpoint_group.pngの説明

  4. 新しいグループの名前と簡単な説明を入力します。
    オブジェクトの正しいネーミング・ガイドラインに従っていることを確認します。
  5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。
    「Make Unique」は、マルチマスター・クラスタ環境全体でネーミングの競合を制御するために役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成されたエンドポイント・グループは、名前の競合による影響を受けません。
    • 「Make Unique」を選択すると、エンドポイント・グループがただちにアクティブになり、ユーザーはこのエンドポイント・グループを使用できます。「Make Unique」をクリックすると、エンドポイント・グループに追加できるエンドポイントのリストも表示されます。
    • 「Make Unique」を選択しない場合、エンドポイント・グループはPENDING状態で作成されます。その後、Oracle Key Vaultは名前解決操作を開始し、クラスタ全体で一意の名前にエンドポイント・グループ名を変更できます。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。エンドポイント・グループ名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたエンドポイント・グループ名を受け入れるか、エンドポイント・グループ名を変更する必要があります。エンドポイント・グループ名を変更すると、名前解決操作が再起動され、エンドポイント・グループがPENDING状態に戻ります。PENDING状態のエンドポイント・グループは、ほとんどの操作の実行に使用できません。
  6. 「Save」をクリックして、エンドポイント・グループの作成を完了します。
    これで、新しいエンドポイント・グループが「Endpoint Groups」ページに表示されます。

関連トピック

親トピック: エンドポイント・グループの管理

12.7.3 エンドポイント・グループ詳細の変更

エンドポイント・グループの作成後、エンドポイントおよびアクセス権のマッピングをエンドポイント・グループに追加できます。

1つのエンドポイントは複数のエンドポイント・グループに属することができます。1つのエンドポイント・グループを別のエンドポイント・グループに追加することはできません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを変更できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. エンドポイント・グループに対応する「Edit」列の編集の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。

    21_endpoint_group_details.pngの説明が続きます
    図21_endpoint_group_details.pngの説明

  4. 必要に応じてエンドポイント名を変更します。
  5. 必要に応じて、説明を変更します。
  6. 「Add」または「Remove」をクリックして、ウォレットまたはエンドポイント・グループ・メンバーに対するアクセス権を追加または削除します。
  7. 「Save」をクリックします。

親トピック: エンドポイント・グループの管理

12.7.4 仮想ウォレットへのエンドポイント・グループ・アクセス権の付与

エンドポイント・グループに仮想ウォレットへのアクセス権を付与できます。

マルチマスター・クラスタでは、PENDING状態のエンドポイント・グループに仮想ウォレットへのアクセス権は付与できません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、ユーザーが作成したエンドポイント・グループに対してのみ、ウォレットへのエンドポイント・グループ・アクセス権を付与できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. エンドポイント・グループに対応する「Edit」列の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。
  4. 「Access to Wallets」ペインで、「Add」をクリックします。
  5. 使用可能リストから仮想ウォレットを選択します。
  6. 次のように、「Access Level」を選択します。
    • Read Only: このレベルでは、仮想ウォレットとその項目へのエンドポイント・グループ読取りアクセス権が付与されます。
    • Read and Modify: このレベルでは、仮想ウォレットとその項目へのエンドポイント・グループ読取りおよび書込みアクセス権が付与されます。
  7. エンドポイントで次の操作を実行する場合は、「Manage Wallet」チェック・ボックスを選択します。
    • 仮想ウォレットでのオブジェクトの追加または削除。
    • その他のエンドポイントまたはエンドポイント・グループに対する仮想ウォレットへのアクセス権の付与。
  8. 「Save」をクリックします。

関連トピック

親トピック: エンドポイント・グループの管理

12.7.5 エンドポイント・グループへのエンドポイントの追加

名前付きエンドポイント・グループにエンドポイントを追加できます。

マルチマスター・クラスタでは、PENDING状態のエンドポイントをエンドポイント・グループに追加することはできません。また、PENDING状態のエンドポイント・グループにエンドポイントを追加することはできません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループにのみエンドポイントを追加できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    「Endpoints」ページが表示されます。
  3. グループに追加するエンドポイントを選択します。
    「Endpoint Details」ページが表示されます。
  4. 「Endpoint Group Membership」までスクロールし、「Add」をクリックします。

    「Add Endpoint Group Membership」ページが表示されます。

    21_add_endpoint_group_membership.pngの説明が続きます
    図21_add_endpoint_group_membership.pngの説明

    エンドポイント・グループのリストが「Endpoint Group Name」の下に表示されます。

  5. エンドポイントを追加するエンドポイント・グループの左にあるボックスを選択します。
  6. 「Save」をクリックします。

    「Endpoint Group Membership」ペインに、選択されたエンドポイント・グループが表示されます。

    21_added_endpoint_group_membership.pngの説明が続きます
    図21_added_endpoint_group_membership.pngの説明

関連トピック

親トピック: エンドポイント・グループの管理

12.7.6 エンドポイント・グループからのエンドポイントの削除

エンドポイント・グループからエンドポイントを削除すると、そのエンドポイント・グループに関連付けられているウォレットへのアクセス権が削除されます。

削除プロセスは、エンドポイントに対してウォレットへのアクセス権が別途、直接または別のエンドポイント・グループを介して付与されていないかぎり、削除を完了します。マルチマスター・クラスタでは、複数のエンドポイントを同時に削除できます。マルチマスター・クラスタでは、PENDING状態のエンドポイント・グループのエンドポイントを削除できません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループからのみエンドポイントを削除できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. 「Endpoint Groups」で、エンドポイント・グループに対応する「Edit」列の横にある編集の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。
  4. 「Endpoint Group Members」ペインで、削除するエンドポイントの名前の左にあるボックスをチェックします。
  5. 「Remove」をクリックします。
  6. 確認のウィンドウで、「OK」をクリックします。

親トピック: エンドポイント・グループの管理

12.7.7 エンドポイント・グループの削除

メンバー・エンドポイントで、同じ仮想ウォレットへのアクセス権が必要がなくなった場合、エンドポイント・グループを削除できます。

このアクションでは、エンドポイント自体ではなく、ウォレットに対するメンバー・エンドポイントの共有アクセス権が削除されます。PENDING状態のエンドポイント・グループを削除できるのは、グループにメンバーがないか、またはウォレットへのアクセス権がない場合のみです。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを削除できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. 削除するエンドポイント・グループ名の左にあるボックスを選択します。
  4. 「Delete」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。

親トピック: エンドポイント・グループの管理