4 アクセスの管理コマンド

アクセスの管理コマンドを使用すると、ウォレットおよびエンドポイント・グループを管理できます。

4.1 okv manage-access endpoint-group add-endpointコマンド

okv manage-access endpoint-group add-endpointコマンドでは、既存のエンドポイントをエンドポイント・グループに追加します。

必要な権限

キー管理者ロールまたはエンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限

構文

okv manage-access endpoint-group add-endpoint --endpoint-group endpoint_group_name --endpoint endpoint_member

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "endpoint-group",
    "action" : "add-endpoint",
    "options" : {
      "endpointGroup" : "#VALUE",
      "endpoint" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--endpoint-group / endpointGroup

必須

エンドポイント・グループの名前

既存のエンドポイント・グループを調べるには、okv manage-access endpoint-group listコマンドを実行します。

--endpoint / endpoint

必須

エンドポイントの名前。

既存のエンドポイントを調べるには、okv admin endpoint listコマンドを実行します。

JSONの例

  1. okv manage-access endpoint-group add-endpointコマンド用にJSON入力を生成します。
    okv manage-access endpoint-group add-endpoint --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "add-endpoint",
        "options" : {
          "endpointGroup" : "#VALUE",
          "endpoint" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、add_ep_to_group.json)に保存し、それを編集してエンドポイント・グループにエンドポイントを追加します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "add-endpoint",
        "options" : {
          "endpointGroup" : "epg_hr",
          "endpoint" : "hr_db_ep"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access endpoint-group add-endpointコマンドを実行します。
    okv manage-access endpoint-group add-endpoint --from-json add_ep_to_group.json

    出力は、次のようになります。

    {
      "result" : "Success"
    }

4.2 okv manage-access endpoint-group check-statusコマンド

okv manage-access endpoint-group check-statusコマンドでは、マルチマスター・クラスタ内のエンドポイント・グループのネーミング競合解決ステータスを確認します。

このコマンドは、主にマルチマスター・クラスタ環境に向けられています。ただし、これはその他のデプロイメントに有効であり、エンドポイント・グループの存在を確認するために使用できます。

必要な権限

キー管理者ロールまたはエンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限

構文

okv manage-access endpoint-group check-status --endpoint-group endpoint_group_name|--locator-id UUID

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "endpoint-group",
    "action" : "check-status",
    "options" : {
      "endpointGroup" : "#VALUE",
      "locatorID" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--endpoint_group / -endpointGroupまたは--locator-id / locatorID

必須

確認するエンドポイント・グループのエンドポイント・グループ名またはロケータID (UUID (universally unique ID))。--locator-id / locatorIDは、マルチマスター・クラスタ環境を使用している場合にのみ必要になります。

--endpoint-group / endpointGroup値または--locator-id / locatorID値のどちらかを指定する必要があります。その両方は指定できません。

既存のエンドポイント・グループを調べるには、okv manage-access endpoint-group listコマンドを実行します。

ロケータIDを調べるには、このエンドポイント・グループの作成に使用されたokv manage-access endpoint-group createコマンドの出力を確認します。

JSONの例

  1. okv manage-access endpoint-group check-statusコマンド用にJSON入力を生成します。
    okv manage-access endpoint-group check-status --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "check-status",
        "options" : {
          "endpointGroup" : "#VALUE",
          "locatorID" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、check-status_epg.json)に保存して、エンドポイント・グループのステータスを確認できるように編集します。endpointGroup値またはlocatorID値のどちらかを指定します。その両方は指定できません。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "check-status",
        "options" : {
          "locatorID" : "67E0906F-95EE-4A95-A496-D7DAEA5EDC5F"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access endpoint-group check-statusコマンドを実行します。
    okv manage-access endpoint-group check-status --from-json check-status_epg.json

    出力は、次のようになります。

    {
      "result" : "Success",
      "value" : {
        "status" : "ACTIVE",
        "endpointGroup" : "EPG_HR"
      }
    }

    エンドポイント・グループ・オブジェクトがACTIVE状態の場合は、出力にエンドポイント・グループの名前が含まれます。ここに示されるエンドポイント・グループ名は、エンドポイント・グループの作成時に指定したものとは異なることがあります。複数のクラスタ・ノードで同じ名前のエンドポイント・グループが作成された場合、Oracle Key Vaultはネーミング競合の解決を実行して、エンドポイント名に_OKVnode-idを追加することで、1つのエンドポイント・グループを除くすべてのエンドポイント・グループの名前を変更します。たとえば、エンドポイント・グループにEPG_HRという名前を付けたときにネーミング競合があった場合、その名前はEPG_HR_OKV01になります。

    マルチマスター・クラスタ以外のデプロイメントでは、このコマンドはエンドポイント・グループが存在している場合にSuccessを返し、出力にはエンドポイント・グループ名とその状態を示すエントリは含まれません。

4.3 okv manage-access endpoint-group createコマンド

okv manage-access endpoint-group createコマンドでは、新しいエンドポイント・グループを作成します。

必要な権限

キー管理者ロールまたはエンドポイント・グループ作成システム権限

構文

okv manage-access endpoint-group create --endpoint-group endpoint_group_name --description "endpoint group description" --unique TRUE|FALSE

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "endpoint-group",
    "action" : "create",
    "options" : {
      "endpointGroup" : "#VALUE",
      "description" : "#VALUE",
      "unique" : "#TRUE|FALSE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--endpoint-group / endpointGroup

必須

エンドポイント・グループの名前「オブジェクトのネーミング・ガイドライン」を参照してください。

既存のエンドポイント・グループを調べるには、okv manage-access endpoint-group listコマンドを実行します。

--description / description

オプション

二重引用符で囲まれたエンドポイント・グループのわかりやすい説明

--unique / unique

オプション

マルチマスター・クラスタ環境にのみ適用されます。この--uniqueパラメータにより、エンドポイント・グループが一意のエンドポイント・グループとして作成されます。マルチマスター・クラスタでは、2つの異なるノードから同じ名前のエンドポイント・グループを作成することが可能です。その場合は、エンドポイント・グループ名が競合することがあります。Oracle Key Vaultの競合解決スキームでは、1つのエンドポイント・グループに所定の名前が維持され、それ以外の競合する名前を持つエンドポイント・グループはgiven_epg_name_OKVnode_idという形式を使用して名前が付けられます。

有効な設定は次のとおりです。

  • TRUEは、所定の名前に_OKVnode_idを追加して、このウォレット名が競合しないようにします。そのエンドポイント・グループは、すぐに使用可能になります。
  • FALSE (デフォルト)にすると、Oracle Key Vaultによってエンドポイント・グループ名が一意であるかどうかを調べるチェック・プロセスが開始されます。一意のIDが返されます。このIDを使用して、エンドポイント・グループ作成のステータスが進行中(PENDING)であるか、完了している(ACTIVE)かを確認できます。ステータスがPENDINGの場合は、まだ使用できないため、エンドポイント・グループに対して実行されたアクションは失敗します。ステータスがACTIVEの場合、エンドポイント・グループを使用できます。ステータスを確認するには、okv admin endpoint-group check-statusコマンドを実行します。指定した名前が別のノードですでに使用されている場合は、このエンドポイント・グループの名前に_OKVxxが付加されます。たとえば、エンドポイント・グループにepg12という名前を付けてネーミングの競合があった場合、名前はEPG12_OKV01になります。

JSONの例

  1. okv manage-access endpoint-group createコマンド用にJSON入力を生成します。
    okv manage-access endpoint-group create --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "create",
        "options" : {
          "endpointGroup" : "#VALUE",
          "description" : "#VALUE",
          "unique" : "#TRUE|FALSE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、create_epg.json)に保存して、エンドポイント・グループを作成できるように編集します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "create",
        "options" : {
          "endpointGroup" : "epg_hr",
          "description" : "HR endpoint group",
          "unique" : "FALSE"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access endpoint-group createコマンドを実行します。
    okv manage-access endpoint-group create --from-json create_epg.json

    マルチマスター・クラスタ環境の場合の出力は次のようになります。

    {
      "result" : "Success",
      "value" : {
        "status" : "PENDING",
        "locatorID" : "67E0906F-95EE-4A95-A496-D7DAEA5EDC5F"
      }
    }

    この出力から得られたlocatorIDokv manage-access endpoint-group check-statusコマンドに使用すると、エンドポイント・グループ・オブジェクトの現在の状態を表示できます。オブジェクト・ステータスがACTIVEの場合に、このコマンドは競合名の解決後のオブジェクト名も表示します。

4.4 okv manage-access endpoint-group deleteコマンド

okv manage-access endpoint-group deleteコマンドでは、エンドポイント・グループを削除します。

必要な権限

キー管理者ロールまたはエンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限

構文

okv manage-access endpoint-group delete --endpoint-group endpoint_group_name

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "endpoint-group",
    "action" : "delete",
    "options" : {
     "endpointGroup" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--endpoint-group / endpointGroup

必須

エンドポイント・グループの名前

既存のエンドポイント・グループを調べるには、okv manage-access endpoint-group listコマンドを実行します。

JSONの例

  1. okv manage-access endpoint-group deleteコマンド用にJSON入力を生成します。
    okv manage-access endpoint-group delete --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "delete",
        "options" : {
         "endpointGroup" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、delete_epg.json)に保存して、エンドポイント・グループを削除できるように編集します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "delete",
        "options" : {
         "endpointGroup" : "epg_hr"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access endpoint-group deleteコマンドを実行します。
    okv manage-access endpoint-group delete --from-json delete_epg.json

    出力は、次のようになります。

    {
      "result" : "Success"
    }

4.5 okv manage-access endpoint-group getコマンド

okv manage-access endpoint-group getコマンドでは、エンドポイント・グループに関する詳細情報(メンバー・エンドポイントやウォレット・アクセス権など)を取得します。

必要な権限

キー管理者ロールまたはエンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限

構文

okv manage-access endpoint-group get --endpoint-group endpoint_group_name

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "endpoint-group",
    "action" : "get",
    "options" : {
             "endpointGroup" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--endpoint-group / endpointGroup

必須

エンドポイント・グループの名前

既存のエンドポイント・グループを調べるには、okv manage-access endpoint-group listコマンドを実行します。

JSONの例

  1. okv manage-access endpoint-group getコマンド用にJSON入力を生成します。
    okv manage-access endpoint-group get --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "get",
        "options" : {
               "endpointGroup" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、get_ep_group.json)に保存し、それを編集してエンドポイント・グループを指定します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "get",
        "options" : {
               "endpointGroup" : "hr_ep_grp"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access endpoint-group getコマンドを実行します。
    okv manage-access endpoint-group get --from-json get_ep_group.json

    出力は、次のようになります。

    {
      "result" : "Success",
      "value" : {
        "createdBy" : "OKVADMIN",
        "creationTime" : "2021-07-14 13:09:14",
        "description" : "",
        "endpointGroup" : "HR_EP_GRP",
        "endpointGroupMembers" : [ {
          "description" : "",
          "endpoint" : "HR_DB_EP_1"
        }, {
          "description" : "",
          "endpoint" : "HR_DB_EP_2"
        } ],
        "walletAccess" : [ {
          "access" : "RO_MW",
          "wallet" : "hr_wallet"
        } ]
      }
    }

4.6 okv manage-access endpoint-group listコマンド

okv manage-access endpoint-group listコマンドでは、エンドポイント・グループとその関連情報のリストを取得します。

必要な権限

キー管理者ロールまたはエンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限

構文

okv manage-access endpoint-group list --limit number_of_endpoints

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "endpoint-group",
    "action" : "list",
    "options" : {
             "limit" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--limit / limit

オプション

リストするエンドポイント・グループの数。

1以上の整数を入力します。制限が指定されている場合、Oracle Key Vaultは指定された制限数までのオブジェクトをフェッチします。制限が指定されていない場合、Oracle Key Vaultは最大10,000オブジェクトをフェッチします。10,000より大きい値を指定すると、Oracle Key Vaultは、サーバー、クライアントおよびネットワーク・リソースに応じてその値のフェッチを試行します。取得された出力のfetchedObjectCount値に、フェッチされたオブジェクトの実際の数が表示されます。たとえば、制限として100を指定したがフェッチされるオブジェクトが50個しかない場合、Oracle Key VaultはfetchedObjectCount50に設定します。このパラメータを省略すると、Oracle Key Vaultは最大10,000個のオブジェクトを取得します。別の例として、制限が100でfetchedObjectCount100の場合、これはさらにオブジェクトがあることを意味します。すべてのオブジェクトをフェッチするには、--limitパラメータの値を増やしてこのコマンドを実行する必要があります。fetchedObjectCountが指定した制限よりも小さい場合、使用可能なすべてのオブジェクトを取得したことを意味します。

JSONの例

  1. okv manage-access endpoint-group listコマンド用にJSON入力を生成します。
    okv manage-access endpoint-group list --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "list",
        "options" : {
                 "limit" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、list_ep_groups.json)に保存し、それを編集して、出力のレコードの数を指定します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "list",
        "options" : {
                 "limit" : "3"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access endpoint-group listコマンドを実行します。
    okv manage-access endpoint-group list --from-json list_ep_groups.json

    出力は、次のようになります。

    {
      "result" : "Success",
    "value" : {
         "endpointGroups" : [ {
              "createdBy" : "OKVADMIN",
              "creationTime" : "2021-07-14 13:09:14",
              "description" : "",
              "endpointGroup" : "EPG_HR"
         }, {
              "createdBy" : "OKVADMIN",
              "creationTime" : "2021-07-16 19:29:03",
              "description" : "",
              "endpointGroup" : "SALES_DB_EPG"
         }, {
              "createdBy" : "OKVADMIN",
              "creationTime" : "2021-07-16 19:29:17",
              "description" : "",
              "endpointGroup" : "ORDERS_DB_EPG"
         } ]
       }
    }

4.7 okv manage-access endpoint-group remove-endpointコマンド

okv manage-access endpoint-group remove-endpointコマンドでは、エンドポイント・グループからエンドポイントを削除します。

必要な権限

キー管理者ロールまたはエンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限

構文

okv manage-access endpoint-group remove-endpoint --endpoint-group endpoint_group_name --endpoint endpoint_name

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "endpoint-group",
    "action" : "remove-endpoint",
    "options" : {
      "endpointGroup" : "#VALUE",
      "endpoint" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--endpoint-group / endpointGroup

必須

削除するエンドポイント・グループの名前。

既存のエンドポイントを調べるには、okv admin endpoint listコマンドを実行します。

--endpoint / endpoint

必須

エンドポイント・グループに関連付けられているエンドポイントの名前。

既存のエンドポイントを調べるには、okv admin endpoint listコマンドを実行します。

JSONの例

  1. okv manage-access endpoint-group remove-endpointコマンド用にJSON入力を生成します。
    okv manage-access endpoint-group remove-endpoint --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "remove-endpoint",
        "options" : {
          "endpointGroup" : "#VALUE",
          "endpoint" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、remove_ep_from_epg.json)に保存し、それを編集してエンドポイント・グループからエンドポイントを削除します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "remove-endpoint",
        "options" : {
          "endpointGroup" : "epg_hr",
          "endpoint" : "hr_db_ep"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access endpoint-group remove-endpointコマンドを実行します。
    okv manage-access endpoint-group remove-endpoint --from-json remove_ep_from_epg.json

    出力は、次のようになります。

    {
      "result" : "Success"
    }

4.8 okv manage-access endpoint-group updateコマンド

okv manage-access endpoint-group updateコマンドでは、エンドポイント・グループの名前と説明を変更します。エンドポイント・グループ名が一意になるようにするために使用できます。

必要な権限

キー管理者ロールまたはエンドポイント・グループに対するエンドポイント・グループ管理オブジェクト権限

構文

okv manage-access endpoint-group update --endpoint-group endpoint_group_name --description "description" --name new_endpoint_group_name --unique TRUE|FALSE 

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "endpoint-group",
    "action" : "update",
    "options" : {
      "endpointGroup" : "#VALUE",
      "name" : "#VALUE",
      "description" : "#VALUE",
      "unique" : "#TRUE|FALSE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--endpoint-group / endpointGroup

必須

エンドポイント・グループの現在の名前

既存のエンドポイント・グループを調べるには、okv manage-access endpoint-group listコマンドを実行します。

--description / description

オプション

二重引用符で囲まれたエンドポイント・グループのわかりやすい説明

--name / name

オプション

新しいエンドポイント・グループ名。「オブジェクトのネーミング・ガイドライン」を参照してください。

--unique / unique

オプション

マルチマスター・クラスタ環境にのみ適用されます。この--uniqueパラメータにより、エンドポイント・グループが一意のエンドポイント・グループとして作成されます。マルチマスター・クラスタでは、2つの異なるノードから同じ名前のエンドポイント・グループを作成することが可能です。その場合は、エンドポイント・グループ名が競合することがあります。Oracle Key Vaultの競合解決スキームでは、1つのエンドポイント・グループに所定の名前が維持され、それ以外の競合する名前を持つエンドポイント・グループはgiven_epg_name_OKVnode_idという形式を使用して名前が付けられます。

有効な設定は次のとおりです。

  • TRUEは、所定の名前に_OKVnode_idを追加して、このウォレット名が競合しないようにします。そのエンドポイント・グループは、すぐに使用可能になります。
  • FALSE (デフォルト)にすると、Oracle Key Vaultによってエンドポイント・グループ名が一意であるかどうかを調べるチェック・プロセスが開始されます。一意のIDが返されます。このIDを使用して、エンドポイント・グループ作成のステータスが進行中(PENDING)であるか、完了している(ACTIVE)かを確認できます。ステータスがPENDINGの場合は、まだ使用できないため、エンドポイント・グループに対して実行されたアクションは失敗します。ステータスがACTIVEの場合、エンドポイント・グループを使用できます。ステータスを確認するには、okv admin endpoint-group check_statusコマンドを実行します。指定した名前が別のノードですでに使用されている場合は、このエンドポイント・グループの名前に_OKVxxが付加されます。たとえば、エンドポイント・グループにepg12という名前を付けてネーミングの競合があった場合、名前はEPG12_OKV01になります。

JSONの例

  1. okv manage-access endpoint-group updateコマンド用にJSON入力を生成します。
    okv manage-access endpoint-group update --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "update",
        "options" : {
          "endpointGroup" : "#VALUE",
          "name" : "#VALUE",
          "description" : "#VALUE",
          "unique" : "#TRUE|FALSE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、epg_update.json)に保存して、エンドポイント・グループを更新できるように編集します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "endpoint-group",
        "action" : "update",
        "options" : {
          "endpointGroup" : "epg_hr",
          "name" : "epg_hr_global",
          "description" : "Global HR Endpoint Group",
          "unique" : "FALSE"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access endpoint-group updateコマンドを実行します。
    okv manage-access endpoint-group update --from-json epg_update.json

    出力は、次のようになります。

    {
      "result" : "Success",
      "value" : {
        "status" : "PENDING",
        "locatorID" : "67E0906F-95EE-4A95-A496-D7DAEA5EDC5F"
      }
    }

    この例は、マルチマスター・クラスタのエンドポイント・グループの名前を変更した場合の出力を示しています。名前の変更時、エンドポイント・グループはネーミング競合解決の間PENDING状態になります。

    この出力から得られたlocatorIDokv manage-access endpoint-group check-statusコマンドに使用すると、エンドポイント・グループ・オブジェクトの現在の状態を表示できます。オブジェクト・ステータスがACTIVEの場合に、このコマンドは競合名の解決後のオブジェクト名も表示します。

    マルチマスター・クラスタではエンドポイント・グループの名前を変更しないかぎり、ステータスとlocatorIDのエントリは出力に含まれません。

4.9 okv manage-access wallet add-accessコマンド

okv manage-access wallet add-accessコマンドでは、エンドポイントまたはエンドポイント・グループにウォレットへのアクセス・レベルを付与します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

キー管理者ロールまたはウォレットに対するウォレット管理(MW)権限

構文

okv manage-access wallet add-access --wallet wallet_name --endpoint endpoint_name|--endpoint-group endpoint_group_name --access RO|RM|RO_MW|RM_MW

JSON入力ファイル・テンプレート

{
  "service": {
    "category": "manage-access",
    "resource": "wallet",
    "action": "add-access",
    "options": {
      "wallet": "#VALUE",
      "endpointGroup": "#VALUE",
      "endpoint": "#VALUE",
      "access": "#RO|RM|RO_MW|RM_MW"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

--endpoint / endpoint

または

--endpoint-group / endpointGroup

必須

エンドポイントまたはエンドポイント・グループの名前。エンドポイントまたはエンドポイント・グループどちらかのみを指定できます。その両方は指定できません。

登録済のエンドポイントを調べるには、okv admin endpoint listコマンドを実行します。エンドポイント・グループを調べるには、okv manage-access endpoint-group listを実行します。

--access / access

必須

次のいずれかの値を入力します。

  • RO: 読取り専用アクセス
  • RM: 読取りおよび変更アクセス
  • RO_MW: 読取り専用およびウォレット管理アクセス
  • RM_MW:読取りおよび変更アクセスおよびウォレット管理アクセス

JSONの例

  1. okv manage-access wallet add-accessコマンド用にJSON入力を生成します。
    okv manage-access wallet add-access --generate-json-input

    次のような入力が生成されます。この出力には、エンドポイントとエンドポイント・グループの両方のウォレット・アクセス設定が含まれています。編集するときには、エンドポイント設定またはエンドポイント・グループ設定の両方ではなく、どちらかを含める必要があります。

    {
      "service": {
        "category": "manage-access",
        "resource": "wallet",
        "action": "add-access",
        "options": {
          "wallet": "#VALUE",
          "endpointGroup": "#VALUE",
          "endpoint": "#VALUE",
          "access": "#RO|RM|RO_MW|RM_MW"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、add_access_wallet.json)に保存し、エンドポイントまたはエンドポイント・グループにウォレット・アクセス権を追加できるように編集します。次の例は、エンドポイントのみへのウォレット・アクセスの場合です。
    {
      "service": {
        "category": "manage-access",
        "resource": "wallet",
        "action": "add-access",
        "options": {
          "wallet": "hr_wallet",
          "endpoint": "hr_db_ep",
          "access": "RO"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet add-accessコマンドを実行します。
    okv manage-access wallet add-access --from-json add_access_wallet.json

    出力は、次のようになります。

    {
      "result": "Success"
    }

4.10 okv manage-access wallet add-objectコマンド

okv manage-access wallet add-objectコマンドでは、ウォレットにセキュリティ・オブジェクトを追加します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

キー管理者ロールまたはオブジェクトに対する読取り変更権限とウォレットに対するウォレット管理(MW)権限。

構文

okv manage-access wallet add-object --wallet wallet_name --uuid uuid

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "add-object",
    "options" : {
           "wallet" : "#VALUE",
           "uuid" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

--uuid / uuid

必須

セキュリティ・オブジェクトのUUID (Universally Unique ID)

オブジェクトの一意識別子を調べるには、Oracle Key Vault管理コンソールで、「Keys & Wallets」タブをクリックして、左側のナビゲーション・ウィンドウで「Keys & Secrets」をクリックします。「Keys & Secrets」表で、「Unique Identifier」列を確認します。

JSONの例

  1. okv manage-access wallet add-objectコマンド用にJSON入力を生成します。
    okv manage-access wallet add-object --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "add-object",
        "options" : {
               "wallet" : "#VALUE",
               "uuid" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、add_obj_wallet.json)に保存し、それを編集して、ウォレットに追加するオブジェクトを指定します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "add-object",
        "options" : {
               "wallet" : "hr_wallet",
               "uuid" : "7432AED6-6628-4F43-BF7C-9D30023A4301"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet add-objectコマンドを実行します。
    okv manage-access wallet add-object --from-json add_object_wallet.json

    出力は、次のようになります。

    {
      "result": "Success"
    }

4.11 okv manage-access wallet check-statusコマンド

okv manage-access wallet check-statusコマンドでは、マルチマスター・クラスタ内のウォレットのネーミング競合解決ステータスを確認します。

このコマンドは、主にマルチマスター・クラスタ環境に向けられています。ただし、これはその他のデプロイメントに有効であり、ウォレットの存在を確認するために使用できます。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

なし。ただし、ユーザーがアクセス権を持つウォレットのステータスのみが取得されます。

構文

okv manage-access wallet check-status --wallet wallet_name|--locator-id UUID

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "check-status",
    "options" : {
      "wallet" : "#VALUE",
      "locatorID" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / walletまたは--locator-id / locatorID

オプション

確認するウォレットのウォレット名またはロケータID (UUID (universally unique ID))。--locator-id / locatorIDは、マルチマスター・クラスタ環境を使用している場合にのみ必要になります。

--wallet / wallet値または--locator-id / locatorID値のどちらかを指定する必要があります。その両方は指定できません。

アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

ロケータIDを確認するには、このウォレットの作成に使用されたokv manage-access wallet createコマンドの出力を確認します。

JSONの例

  1. okv manage-access wallet check-statusコマンド用にJSON入力を生成します。
    okv manage-access wallet check-status --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "check-status",
        "options" : {
          "wallet" : "#VALUE",
          "locatorID" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、check_wallet.json)に保存して、ウォレットのステータスを確認できるように編集します。wallet値またはlocatorID値のどちらかを指定します。その両方は指定できません。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "check-status",
        "options" : {
          "locatorID" : "81800CE6-6AAF-4EF5-A0FD-446ED6625F6A"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet check-statusコマンドを実行します。
    okv manage-access wallet check-status --from-json check_wallet.json

    出力は、次のようになります。

    {
      "result" : "Success",
      "value" : {
        "status" : "ACTIVE",
        "wallet" : "hr_wallet"
      }
    }

    ウォレット・オブジェクトがACTIVE状態の場合は、出力にウォレットの名前が含まれます。ここに示されるウォレット名は、ウォレットの作成時に指定したものとは異なることがあります。複数のクラスタ・ノードで同じ名前のウォレットが作成された場合、Oracle Key Vaultはネーミング競合の解決を実行して、ウォレット名に_OKVnode-idを追加することで、1つのウォレットを除くすべてのウォレットの名前を変更します。たとえば、ウォレットにHR_WALLETという名前を付けたときにネーミング競合があった場合、その名前はHR_WALLET_OKV01になります。

    マルチマスター・クラスタ以外のデプロイメントでは、このコマンドはウォレットが存在している場合にSuccessを返し、出力にはウォレット名とその状態を示すエントリは含まれません。

4.12 okv manage-access wallet createコマンド

okv manage-access wallet createコマンドでは、ウォレットを作成します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

なし

構文

okv manage-access wallet create [--description <description>] [--ssh-server-host-user <ssh-server-host-user>] [--type <type>] [--unique <unique>] --wallet <wallet>

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "create",
    "options" : {
      "wallet" : "#VALUE",
      "type" : "#GENERAL|SSH_SERVER",
      "description" : "#VALUE",
      "unique" : "#TRUE|FALSE",
      "sshServerHostUser" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

オブジェクトのネーミング・ガイドラインに従っていることを確認します。

--description / description

オプション

二重引用符で囲まれたウォレットのわかりやすい説明

--unique / unique

オプション

マルチマスター・クラスタ環境にのみ適用されます。この--uniqueパラメータにより、ウォレットが一意のウォレットとして作成されます。マルチマスター・クラスタでは、2つの異なるノードから同じ名前のウォレットを作成することが可能です。その場合は、ウォレット名が競合することがあります。Oracle Key Vaultの競合解決スキームでは、1つのウォレットに所定の名前が維持され、それ以外の競合する名前を持つウォレットはgiven_wallet_name_OKVnode_idという形式を使用して名前が付けられます。

有効な設定は次のとおりです。

  • TRUEは、所定の名前に_OKVnode_idを追加して、このウォレット名が競合しないようにします。そのウォレットは、すぐに使用可能になります。
  • FALSEにすると、Oracle Key Vaultによってウォレット名が一意であるかどうかを調べるチェック・プロセスが開始されます。一意のIDが返されます。このIDを使用して、ウォレット作成のステータスが進行中(PENDING)であるか、完了している(ACTIVE)かを確認できます。ステータスがPENDINGの場合、まだ使用できないため、ウォレットに対して実行されたアクションは失敗します。ステータスがACTIVEの場合は、この名前の名前解決をOracle Key Vaultが実行した後のウォレット名を確認するために、okv manage-access wallet check-statusコマンドを実行します。指定した名前が別のノードですでに使用されている場合は、このウォレットの名前に_OKVxxが付加されます。たとえば、ウォレットにwallet12という名前を付けたときにネーミング競合があった場合、その名前はWALLET12_OKV01になります。指定した名前にネーミング競合がない場合は、現状のままウォレット名として受け入れられます。
--ssh-server-host-user / sshServerHostUser オプション

このウォレットがSSHアクセスを認可するSSHサーバー上のユーザー。SSH_SERVERタイプのウォレットにのみ使用できます。

--type / <type> オプション
作成するウォレットのタイプ:
  • GENERAL: 任意のタイプのセキュリティ・オブジェクトを保持します。
  • SSH_SERVER: SSH公開キーを保持し、Oracle Key Vault SSHサーバー・エンドポイントに関連付けられます。
    デフォルト値は次のとおりです。
    • General

JSONの例

  1. okv manage-access wallet createコマンド用にJSON入力を生成します。
    okv manage-access wallet create --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "create",
        "options" : {
          "wallet" : "#VALUE",
          "type" : "#GENERAL|SSH_SERVER",
          "description" : "#VALUE",
          "unique" : "#TRUE|FALSE",
          "sshServerHostUser" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、create_wallet.json)に保存して、ウォレットを作成できるように編集します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "create",
        "options" : {
          "wallet" : "hr_wallet",
          "description" : "wallet for HR endpoint",
          "unique" : "FALSE"
         }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet createコマンドを実行します。
    okv manage-access wallet create --from-json create_wallet.json

    マルチマスター・クラスタ環境の場合の出力は次のようになります。

    {
      "result" : "Success",
      "value" : {
        "status" : "PENDING",
        "locatorID" : "81800CE6-6AAF-4EF5-A0FD-446ED6625F6A"
      }
    }

    この出力から得られたlocatorIDokv manage-access wallet check-statusコマンドに使用すると、ウォレット・オブジェクトの現在の状態を表示できます。オブジェクト・ステータスがACTIVEの場合に、このコマンドは競合名の解決後のオブジェクト名も表示します。

4.13 okv manage-access wallet deleteコマンド

okv manage-access wallet deleteコマンドでは、ウォレットを削除します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

キー管理者ロールまたはウォレットに対するウォレット管理(MW)権限

構文

okv manage-access wallet delete --wallet wallet_name 

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "delete",
    "options" : {
      "wallet" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

JSONの例

  1. okv manage-access wallet deleteコマンド用にJSON入力を生成します。
    okv manage-access wallet delete --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "delete",
        "options" : {
          "wallet" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、del_wallet.json)に保存し、それを編集して、Oracle Key Vaultから削除するウォレットを指定します。
    {
      "service" : {
        "category" : "manage-access",
        "resource ": "wallet",
        "action" : "delete",
        "options" : {
          "wallet" : "hr_wallet"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet deleteコマンドを実行します。
    okv manage-access wallet delete --from-json del_wallet.json

    出力は、次のようになります。

    {
      "result" : "Success"
    }

4.14 okv manage-access wallet getコマンド

okv manage-access wallet getコマンドでは、デフォルトのウォレット名やウォレット・アクセス権など、指定されたウォレットに関する情報を取得します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

なし

構文

okv manage-access wallet get --wallet wallet_name

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "get",
    "options" : {
      "wallet" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

JSONの例

  1. okv manage-access wallet getコマンド用にJSON入力を生成します。
    okv manage-access wallet get --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "get",
        "options" : {
               "wallet" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、get_wallet.json)に保存し、それを編集してウォレットの名前を指定します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "get",
        "options" : {
               "wallet" : "hr_wallet"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet getコマンドを実行します。
    okv manage-access wallet get --from-json get_wallet.json

    出力は、次のようになります。

    {
      "result" : "Success",
      "value" : {
        "createdBy" : "OKVADMIN",
        "creationTime" : "2021-07-30 19:40:59",
        "description" : "",
        "wallet" : "hr_wallet",
        "walletAccess" : {
          "endpointAccess" : [ {
            "access" : "RO_MW",
            "defaultWallet" : "",
            "subjectName" : "HR_DB_EP1",
            "type" : "Direct"
          }, {
            "access" : "RO",
            "defaultWallet" : "TRUE",
            "subjectName" : "HR_DB_EP2",
            "type" : "Direct"
          } ],
          "endpointGroupAccess" : [ {
            "access" : "RO_MW",
            "subjectName" : "HR_DB_EPG"
          } ],
          "userAccess" : [ {
            "access" : "RO",
            "subjectName" : "Paul Hill"
          } ],
          "userGroupAccess" : [ {
            "access" : "RO",
            "subjectName" : "HR_GROUP_1"
          } ]
        }
      }
    }

4.15 okv manage-access wallet get-defaultコマンド

okv manage-access wallet get-defaultコマンドでは、エンドポイントに関連付けられているデフォルト・ウォレットを取得します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

なし。ただし、ユーザーがウォレットに対するなんらかのアクセス権を持っている場合に、エンドポイントのデフォルト・ウォレット情報が返されます。

構文

okv manage-access wallet get-default --endpoint endpoint_name

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "get-default",
    "options" : {
      "endpoint" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--endpoint / endpoint

必須

エンドポイントの名前。

既存のエンドポイントを調べるには、okv admin endpoint listコマンドを実行します。

JSONの例

  1. okv manage-access wallet get-defaultコマンド用にJSON入力を生成します。
    okv manage-access wallet get-default --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "get-default",
        "options" : {
          "endpoint" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、get_def_wallet.json)に保存し、それを編集して、指定したエンドポイントに関連付けられたデフォルト・ウォレットを取得します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "get-default",
        "options" : {
          "endpoint" : "hr_db_ep"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet get-defaultコマンドを実行します。
    okv manage-access wallet get-default --from-json get_def_wallet.json

    出力は、次のようになります。

    {
      "result" : "Success",
      "value" : {
        "defaultWallet" : "HR_WALLET"
      }
    }

4.16 okv manage-access wallet listコマンド

okv manage-access wallet listコマンドでは、あるレベルのアクセスがユーザーに付与されるウォレットをリストします。

必要な権限

なし

構文

okv manage-access wallet list --limit number_of_wallets

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "list",
    "options" : {
      "type" : "#GENERAL|SSH_SERVER",
      "limit" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--limit / limit

オプション

リストするウォレットの数。

1以上の整数を入力します。制限が指定されている場合、Oracle Key Vaultは指定された制限数までのオブジェクトをフェッチします。制限が指定されていない場合、Oracle Key Vaultは最大10,000オブジェクトをフェッチします。10,000より大きい値を指定すると、Oracle Key Vaultは、サーバー、クライアントおよびネットワーク・リソースに応じてその値のフェッチを試行します。取得された出力のfetchedObjectCount値に、フェッチされたオブジェクトの実際の数が表示されます。たとえば、制限として100を指定したがフェッチされるオブジェクトが50個しかない場合、Oracle Key VaultはfetchedObjectCount50に設定します。このパラメータを省略すると、Oracle Key Vaultは最大10,000個のオブジェクトを取得します。別の例として、制限が100でfetchedObjectCount100の場合、これはさらにオブジェクトがあることを意味します。すべてのオブジェクトをフェッチするには、--limitパラメータの値を増やしてこのコマンドを実行する必要があります。fetchedObjectCountが指定した制限よりも小さい場合、使用可能なすべてのオブジェクトを取得したことを意味します。

--type / type

オプション

ウォレットのタイプ。使用可能な値は次のとおりです。
  • GENERAL
  • SSH_SERVER

カンマ区切り値の組合せを指定することもできます。フィルタは各値に個別に適用され、OR演算が効果的にサポートされて、結合された結果が返されます。

JSONの例

  1. okv manage-access wallet listコマンド用にJSON入力を生成します。
    okv manage-access wallet list --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "list",
        "options" : {
          "type" : "#GENERAL|SSH_SERVER",
          "limit" : "#VALUE"
        }
      }
    }
    
  2. 生成された入力をファイル(たとえば、list_wallets.json)に保存し、それを編集してレコードの数を指定します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "list",
        "options" : {
               "limit" : "3"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet listコマンドを実行します。
    okv manage-access wallet list --from-json list_wallets.json

    出力は、次のようになります。

    {
      "result" : "Success",
      "value" : {
        "fetchedObjectCount" : "3",
        "wallets" : [ {
          "createdBy" : "OKVADMIN",
          "creationTime" : "2021-07-13 15:22:02",
          "description" : "",
          "wallet" : "HR_WALLET",
          "type" : "GENERAL"
        }, {
          "createdBy" : "OKVADMIN",
          "creationTime" : "2021-07-30 19:40:59",
          "description" : "",
          "wallet" : "sales_wallet",
          "type" : "GENERAL"
        }, {
          "createdBy" : "OKVADMIN",
          "creationTime" : "2021-09-13 04:55:06",
          "description" : "",
          "wallet" : "ORDERS_WALLET",
          "type" : "GENERAL"
        } ]
      }
    }

4.17 okv manage-access wallet list-objectsコマンド

okv manage-access wallet list-objectsコマンドでは、指定されたウォレットのメンバーであるセキュリティ・オブジェクトを取得します。

必要な権限

ユーザーは、ウォレットに対するなんらかのレベルのアクセス権を持っている必要があります。

構文

okv manage-access wallet  list-objects [--exclude-wallet-membership  <exclude-wallet-membership>]
[--limit <limit>] [--state  <state>] [--type <type>] --wallet <wallet>

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "list-objects",
    "options" : {
      "wallet" : "#VALUE",
      "state" : "#PRE-ACTIVE|ACTIVE|DEACTIVATED|COMPROMISED|DESTROYED|DESTROYED_COMPROMISED",
      "type" : "#CERTIFICATE|OPAQUE|PRIVATE_KEY|PUBLIC_KEY|SECRET|SYMMETRIC_KEY",
      "limit" : "#VALUE",
      "excludeWalletMembership" : "#TRUE|FALSE"
    }
  }
} 

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

--limit / limit

オプション

指定されたウォレットの、リストするオブジェクトの数。

1以上の整数を入力します。制限が指定されている場合、Oracle Key Vaultは指定された制限数までのオブジェクトをフェッチします。制限が指定されていない場合、Oracle Key Vaultは最大10,000オブジェクトをフェッチします。10,000より大きい値を指定すると、Oracle Key Vaultは、サーバー、クライアントおよびネットワーク・リソースに応じてその値のフェッチを試行します。取得された出力のfetchedObjectCount値に、フェッチされたオブジェクトの実際の数が表示されます。たとえば、制限として100を指定したがフェッチされるオブジェクトが50個しかない場合、Oracle Key VaultはfetchedObjectCount50に設定します。このパラメータを省略すると、Oracle Key Vaultは最大10,000個のオブジェクトを取得します。別の例として、制限が100でfetchedObjectCount100の場合、これはさらにオブジェクトがあることを意味します。すべてのオブジェクトをフェッチするには、--limitパラメータの値を増やしてこのコマンドを実行する必要があります。fetchedObjectCountが指定した制限よりも小さい場合、使用可能なすべてのオブジェクトを取得したことを意味します。

--exclude-wallet-membership / excludeWalletMembership

オプション

各オブジェクトのウォレット・メンバーシップ情報を出力に含めるかどうかを制御します。

  • TRUEは、各オブジェクトのウォレット・メンバーシップ情報を除外します。ウォレットに多数のオブジェクトがある場合、ウォレット・メンバーシップ情報を除外すると、このコマンドのパフォーマンスが向上する可能性があります。
  • FALSE (デフォルト)は、各オブジェクトのウォレット・メンバーシップ情報を含めます。
--type / type

オプション

セキュリティ・オブジェクトのタイプ。使用可能な値は次のとおりです。

  • CERTIFICATE
  • OPAQUE
  • PRIVATE_KEY
  • PUBLIC_KEY
  • SECRET
  • SYMMETRIC_KEY

カンマ区切り値の組合せを指定することもできます。フィルタは各値に個別に適用され、OR演算が効果的にサポートされて、結合された結果が返されます。

--state / state

オプション

セキュリティ・オブジェクトの状態。使用可能な値は次のとおりです。

  • PRE-ACTIVE
  • ACTIVE
  • DEACTIVATED
  • COMPROMISED
  • DESTROYED
  • DESTROYED_COMPROMISED

カンマ区切り値の組合せを指定することもできます。フィルタは各値に個別に適用され、OR演算が効果的にサポートされて、結合された結果が返されます。

JSONの例

  1. okv manage-access wallet list-objectsコマンド用にJSON入力を生成します。
    okv manage-access wallet list-objects --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "list-objects",
        "options" : {
          "wallet" : "#VALUE",
          "state" : "#PRE-ACTIVE|ACTIVE|DEACTIVATED|COMPROMISED|DESTROYED|DESTROYED_COMPROMISED",
          "type" : "#CERTIFICATE|OPAQUE|PRIVATE_KEY|PUBLIC_KEY|SECRET|SYMMETRIC_KEY",
          "limit" : "#VALUE",
          "excludeWalletMembership" : "#TRUE|FALSE"
        }
      }
    } 
    
  2. 生成された入力をファイル(たとえば、list_wallet_obj.json)に保存し、それを編集して、ウォレットのオブジェクトの数を指定します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "list-objects",
        "options" : {
               "wallet" : "hr_wallet",
               "limit" : "2"
               "excludeWalletMembership" : "FALSE"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet list-objectsコマンドを実行します。
    okv manage-access wallet list-objects --from-json list_wallet_obj.json

    出力は、次のようになります。

    {
      "result" : "Success",
      "value" : {
        "fetchedObjectCount" : "2",
        "managedObjects" : [ {
          "creatingEndpoint" : "HR_DB_EP",
          "creationDate" : "2021-07-26 20:19:32",
          "deactivationDate" : "2029-12-25 15:11:11",
          "displayName" : "X.509 Certificate: DN EMAILADDRESS=psmith@example.com, CN=vienna, OU=Security, O=Oracle, L=Reston, ST=VA, C=US",
          "name" : "ps1009",
          "protectStopDate" : "2029-12-25 15:11:11",
          "state" : "Pre-Active",
          "type" : "Certificate",
          "uuid" : "975F17DF-11C1-4F16-BFBC-28E9C200C99F"
        }, {
          "creatingEndpoint" : "EMP_DB_EP",
          "creationDate" : "2021-06-30 21:01:48",
          "deactivationDate" : "",
          "displayName" : "Symmetric Key: Name psc7",
          "name" : "ps100,ps3,psa5,psb6,psc7",
          "protectStopDate" : "",
          "state" : "Active",
          "type" : "Symmetric Key",
          "uuid" : "7432AED6-6628-4F43-BF7C-9D30023A4301"
        } ]
      }
    }

4.18 okv manage-access wallet list-endpoint-walletsコマンド

okv manage-access wallet list-endpoint-walletsコマンドでは、エンドポイントに関連付けられているウォレットをリストします。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

なし。ただし、このコマンドは、ユーザーがなんらかのレベルのアクセス権を持つウォレットのみに関する情報を返します。

構文

okv manage-access wallet list-endpoint-wallets --endpoint endpoint_name

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "list-endpoint-wallets",
    "options" : {
      "endpoint" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--endpoint / endpoint

必須

エンドポイントの名前。

既存のエンドポイントを調べるには、okv admin endpoint listコマンドを実行します。

JSONの例

  1. okv manage-access wallet list-endpoint-walletsコマンド用にJSON入力を生成します。
    okv manage-access wallet list-endpoint-wallets --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "list-endpoint-wallets",
        "options" : {
          "endpoint" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、list_ep_wallets.json)に保存し、指定したエンドポイントに関連付けられたウォレットを検索できるように編集します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "list-endpoint-wallets",
        "options" : {
          "endpoint" : "hr_db_ep"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet list-endpoint-walletsコマンドを実行します。
    okv manage-access wallet list-endpoint-wallets --from-json list_ep_wallets.json

    出力は、次のようになります。

    {
      "result" : "Success",
      "value" : {
        "wallets" : [ "WALLET10", "WALLET11" ]
      }
    }

4.19 okv manage-access wallet remove-accessコマンド

okv manage-access wallet remove-accessコマンドでは、エンドポイントまたはエンドポイント・グループのウォレットに対するアクセス権を削除します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

キー管理者ロールまたはウォレットに対するウォレット管理(MW)権限

構文

okv manage-access wallet remove-access --wallet wallet_name --endpoint endpoint_name|--endpoint-group endpoint_group_name 

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "remove-access",
    "options" : {
      "wallet" : "#VALUE",
      "endpointGroup" : "#VALUE",
      "endpoint" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

--endpoint / endpoint

または

--endpoint-group / endpointGroup

必須

エンドポイントまたはエンドポイント・グループの名前。

既存のエンドポイントを調べるには、okv admin endpoint listコマンドを実行します。エンドポイント・グループを調べるには、okv manage-access endpoint-group listを実行します。

JSONの例

  1. okv manage-access wallet remove-accessコマンド用にJSON入力を生成します。
    okv manage-access wallet remove-access --generate-json-input

    次のような入力が生成されます。この出力には、エンドポイントとエンドポイント・グループの両方の全体出力が含まれています。編集するときには、エンドポイントまたはエンドポイント・グループの両方のエントリではなく、どちらかのエントリを含める必要があります。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "remove-access",
        "options" : {
          "wallet" : "#VALUE",
          "endpointGroup" : "#VALUE",
          "endpoint" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、remove_wallet_access_ep.json)に保存し、それを編集して、エンドポイントまたはエンドポイント・グループからウォレット・アクセス権を削除します。次の例では、エンドポイントからアクセス権を削除する方法を示します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "remove-access",
        "options" : {
          "wallet" : "hr_wallet",
          "endpoint" : "hr_db_ep"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet remove-accessコマンドを実行します。
    okv manage-access wallet remove-access --from-json remove_wallet_access_ep.json

    出力は、次のようになります。

    {
      "result" : "Success"
    }

4.20 okv manage-access wallet remove-objectコマンド

okv manage-access wallet remove-objectコマンドでは、ウォレットからセキュリティ・オブジェクトを削除します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

キー管理者ロールまたはオブジェクトに対する読取り変更権限とウォレットに対するウォレット管理(MW)権限。

構文

okv manage-access wallet remove-object --wallet wallet_name --uuid uuid

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "remove-object",
    "options" : {
           "wallet" : "#VALUE",
           "uuid" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

--uuid / uuid

必須

セキュリティ・オブジェクトのUUID (Universally Unique ID)

オブジェクトの一意識別子を調べるには、Oracle Key Vault管理コンソールで、「Keys & Wallets」タブをクリックして、左側のナビゲーション・ウィンドウで「Keys & Secrets」をクリックします。「Keys & Secrets」表で、「Unique Identifier」列を確認します。

JSONの例

  1. okv manage-access wallet remove-objectコマンド用にJSON入力を生成します。
    okv manage-access wallet remove-object --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "remove-object",
        "options" : {
               "wallet" : "#VALUE",
               "uuid" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、remove_wallet_obj.json)に保存し、それを編集して、ウォレットから削除するオブジェクトを指定します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "remove-object",
        "options" : {
               "wallet" : "hr_wallet",
               "uuid" : "7432AED6-6628-4F43-BF7C-9D30023A4301"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet remove-objectコマンドを実行します。
    okv manage-access wallet remove-object --from-json remove_wallet_obj.json

    出力は、次のようになります。

    {
      "result": "Success"
    }

4.21 okv manage-access wallet set-defaultコマンド

okv manage-access wallet set-defaultコマンドでは、エンドポイントのデフォルト・ウォレットを設定します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

キー管理者ロールまたはエンドポイントのエンドポイント管理権限とウォレットのフル・ウォレット権限

構文

okv manage-access wallet set-default --wallet wallet_name --endpoint endpoint_name 

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "set-default",
    "options" : {
      "wallet" : "#VALUE",
      "endpoint" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

--endpoint / endpoint

必須

エンドポイントの名前。

既存のエンドポイントを調べるには、okv admin endpoint listコマンドを実行します。

JSONの例

  1. okv manage-access wallet set-defaultコマンド用にJSON入力を生成します。
    okv manage-access wallet set-default --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "set-default",
        "options" : {
          "wallet" : "#VALUE",
          "endpoint" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、set_def_wallet.json)に保存し、それを編集してエンドポイントのデフォルト・ウォレットを設定します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "set-default",
        "options" : {
          "wallet" : "hr_wallet",
          "endpoint" : "hr_db_ep"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet set-defaultコマンドを実行します。
    okv manage-access wallet set-default --from-json set_def_wallet.json

    出力は、次のようになります。

    {
      "result" : "Success"
    }

4.22 okv manage-access wallet updateコマンド

okv manage-access wallet updateコマンドでは、ウォレットを更新します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

キー管理者ロールまたはウォレットに対するウォレット管理(MW)権限

構文

okv manage-access wallet update --wallet wallet_name --name new_wallet_name --description description --unique TRUE|FALSE  

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "update",
    "options" : {
      "wallet" : "#VALUE",
      "name" : "#VALUE",
      "description" : "#VALUE",
      "unique" : "#TRUE|FALSE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

--name / name

オプション

ウォレットの新しい名前。「オブジェクトのネーミング・ガイドライン」を参照してください。

--description / description

オプション

二重引用符で囲まれたウォレットのわかりやすい説明

--unique / unique

オプション

マルチマスター・クラスタ環境にのみ適用されます。この--uniqueパラメータにより、ウォレットが一意のウォレットとして作成されます。マルチマスター・クラスタでは、2つの異なるノードから同じ名前のウォレットを作成することが可能です。その場合は、ウォレット名が競合することがあります。Oracle Key Vaultの競合解決スキームでは、1つのウォレットに所定の名前が維持され、それ以外の競合する名前を持つウォレットはgiven_wallet_name_OKVnode_idという形式を使用して名前が付けられます。

有効な設定は次のとおりです。

  • TRUEは、所定の名前に_OKVnode_idを追加して、このウォレット名が競合しないようにします。そのウォレットは、すぐに使用可能になります。
  • FALSEにすると、Oracle Key Vaultによってウォレット名が一意であるかどうかを調べるチェック・プロセスが開始されます。一意のIDが返されます。このIDを使用して、ウォレット作成のステータスが進行中(PENDING)であるか、完了している(ACTIVE)かを確認できます。ステータスがPENDINGの場合、まだ使用できないため、ウォレットに対して実行されたアクションは失敗します。ステータスがACTIVEの場合は、この名前の名前解決をOracle Key Vaultが実行した後のウォレット名を確認するために、okv manage-access wallet check-statusコマンドを実行します。指定した名前が別のノードですでに使用されている場合は、このウォレットの名前に_OKVxxが付加されます。たとえば、ウォレットにwallet12という名前を付けたときにネーミング競合があった場合、その名前はWALLET12_OKV01になります。

JSONの例

  1. okv manage-access wallet updateコマンド用にJSON入力を生成します。
    okv manage-access wallet update --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "update",
        "options" : {
          "wallet" : "#VALUE",
          "name" : "#VALUE",
          "description" : "#VALUE",
          "unique" : "#TRUE|FALSE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、update_wallet.json)に保存し、それを編集してウォレットの名前と説明を更新します。この例では、ウォレットの名前を更新する方法を示します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "update",
        "options" : {
          "wallet" : "hr_wallet",
          "name" : "global_hr_wallet",
          "unique" : "FALSE"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet updateコマンドを実行します。
    okv manage-access wallet update --from-json update_wallet.json

    出力は、次のようになります。

    {
      "result" : "Success",
      "value" : {
        "status" : "PENDING",
        "locatorID" : "81800CE6-6AAF-4EF5-A0FD-446ED6625F6A"
      }
    }

    この例は、マルチマスター・クラスタのウォレットの名前を変更した場合の出力を示しています。名前の変更時、ウォレットはネーミング競合解決の間PENDING状態になります。

    マルチマスター・クラスタではウォレットの名前を変更しないかぎり、ステータスとlocatorIDのエントリは出力に含まれません。

4.23 okv manage-access wallet update-accessコマンド

okv manage-access wallet update-accessコマンドでは、エンドポイントまたはエンドポイント・グループのウォレットに対するアクセス権のレベルを更新します。

このコマンドは、認証のためにユーザー名とパスワードを使用します。

必要な権限

キー管理者ロールまたはウォレットに対するウォレット管理(MW)権限

構文

okv manage-access wallet update-access --wallet wallet_name --endpoint endpoint_name|--endpoint-group endpoint_group_name --access RO|RM|RO_MW|RM_MW 

JSON入力ファイル・テンプレート

{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "update-access",
    "options" : {
      "wallet" : "#VALUE",
      "endpointGroup" : "#VALUE",
      "endpoint" : "#VALUE",
      "access" : "#RO|RM|RO_MW|RM_MW"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--wallet / wallet

必須

ウォレット名。アクセスできる既存のウォレットの名前を調べるには、okv manage-access wallet listコマンドを実行します。

--endpoint / endpoint

または

--endpoint-group / endpointGroup

必須

エンドポイントまたはエンドポイント・グループの名前。エンドポイントまたはエンドポイント・グループどちらかのみを指定できます。その両方は指定できません。既存のエンドポイントを調べるには、okv admin endpoint listコマンドを実行します。エンドポイント・グループを調べるには、okv manage-access endpoint-group listを実行します。

--access / access

必須

次のいずれかの値を入力します。

  • RO: 読取り専用アクセス
  • RM: 読取りおよび変更アクセス
  • RO_MW: 読取り専用およびウォレット管理アクセス
  • RM_MW:読取りおよび変更アクセスおよびウォレット管理アクセス

JSONの例

  1. okv manage-access wallet update-accessコマンド用にJSON入力を生成します。
    okv manage-access wallet update-access --generate-json-input

    次のような入力が生成されます。この出力には、エンドポイントとエンドポイント・グループの両方のウォレット・アクセス設定が含まれています。編集するときには、エンドポイント設定またはエンドポイント・グループ設定の両方ではなく、どちらかを含める必要があります。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "update-access",
        "options" : {
          "wallet" : "#VALUE",
          "endpointGroup" : "#VALUE",
          "endpoint" : "#VALUE",
          "access" : "#RO|RM|RO_MW|RM_MW"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、update_wallet_access_ep.json)に保存し、それを編集して、エンドポイントまたはエンドポイント・グループに対するウォレット・アクセス権を更新します。この例では、エンドポイントに対するウォレットのアクセス権を更新する方法を示します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "update-access",
        "options" : {
          "wallet" : "hr_wallet",
          "endpoint" : "hr_db_ep",
          "access" : "RM"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet update-accessコマンドを実行します。
    okv manage-access wallet update-access --from-json update_wallet_access_ep.json

    出力は、次のようになります。

    {
      "result" : "Success"
    }

4.24 okv manage-access wallet list-objects-walletsコマンド

必要な権限

なし

構文

okv manage-access wallet list-object-wallets --uuid uuid

JSON入力ファイル・テンプレート

okv manage-access wallet list-object-wallets --generate-json-input
{
  "service" : {
    "category" : "manage-access",
    "resource" : "wallet",
    "action" : "list-object-wallets",
    "options" : {
      "uuid" : "#VALUE"
    }
  }
}

パラメータ

パラメータ/テンプレート・パラメータ 必須かどうか 説明

--uuid / uuid

必須

セキュリティ・オブジェクトのUUID (Universally Unique ID)

JSONの例

  1. okv manage-access wallet list-objects-walletsコマンド用にJSON入力を生成します。
    okv manage-access wallet list-object-wallets --generate-json-input

    次のような入力が生成されます。

    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "list-object-wallets",
        "options" : {
          "uuid" : "#VALUE"
        }
      }
    }
  2. 生成された入力をファイル(たとえば、list_object_by_wallet.json)に保存し、指定したエンドポイントに関連付けられたウォレットを検索できるように編集します。
    {
      "service" : {
        "category" : "manage-access",
        "resource" : "wallet",
        "action" : "list-object-wallets",
        "options" : {
          "uuid" : "23ED3089-B341-43BF-8FB3-432ADFC7511F"
        }
      }
    }
  3. 生成されたJSONファイルを使用して、okv manage-access wallet list-objects-walletsコマンドを実行します。
     okv manage-access wallet list-objects-wallets --from-json list_object_by_wallet.json

    出力は、次のようになります。

    {
       "result" : "Success",
       "value" : {
         "wallets" : [ "okv_rac_wallet1" ]
       }
    }