Oracle Database Appliance上のOracle Key Vault

Oracle Key Vaultサーバー構成とは何ですか。

Oracle Key Vaultサーバー構成は、Oracle Key Vaultサーバーに関するメタデータ(IPアドレス、ホスト名、ユーザー名、Oracle Key Vaultサーバーに関する簡単な説明など)を表すOracle Database Applianceエンティティです。Oracle Key Vaultサーバー構成オブジェクトの作成時に、Oracle Key Vaultユーザー・パスワードを指定する必要があります。クライアント自動ログイン・ウォレットは、指定したパスワードで生成されます。

Oracle Key Vaultを使用してTDEキーを格納するTDE対応データベースをOracle Database Applianceで作成する2つの異なる方法とは何ですか。

Oracle Database Applianceでは、Oracle Key Vaultを使用してTDEキーを格納するTDE対応データベースを作成する次の2つの方法がサポートされています:

Oracle Key VaultのエンドポイントとともにOracle Key Vaultを使用したTDE対応データベースの作成: 仮想ウォレットとエンドポイントは、Oracle Database Applianceツールによって作成されるのではなく、ユーザーによってOracle Key Vaultサーバー上に作成されます。Oracle Database Applianceツールでは、データベースの作成時に、作成されたエンドポイントに対応するokvclient.jarファイルをユーザーが指定することのみが想定されています。
ユーザー資格証明を使用したTDE対応データベースの作成: この場合、仮想ウォレットおよびエンドポイントは、Oracle Database ApplianceツールによってOracle Key Vaultサーバー上に作成されます。ユーザーは、必要なOracle Key Vaultサーバーに対応するOracle Key Vaultサーバー構成を作成し、データベースの作成時に指定する必要があります。

TDEデータベースのキーストア・タイプを把握するにはどうすればよいですか。

odacli describe-database -n dbname -jコマンドの出力のkeystoreTypeパラメータ値に、TDEデータベースで使用されるキーストアのタイプが表示されます。

TDE対応データベースがTDE構成にソフトウェア・キーストアまたはOracle Key Vaultのどちらを使用しているかを識別するにはどうすればよいですか。

データベースのkeystoreType属性の値がsoftwareの場合、TDEの構成にソフトウェア・キーストアが使用されたことを意味します。それ以外の場合、同属性の値がOKVである場合、TDEの構成にOracle Key Vaultが使用されたことを意味します。

Oracle Key VaultのエンドポイントとともにOracle Key Vaultを使用してTDE対応データベースを作成するオプションを選択する必要があるのはどのような場合ですか。

Oracle Database ApplianceでOracle Key Vaultユーザー資格証明を使用しない場合は、事前に作成された仮想ウォレットおよびエンドポイントを使用するTDE対応データベースの作成オプションを使用できます。

Oracle Key Vaultのユーザーの資格証明とともにOracle Key Vaultを使用してTDE対応データベースを作成するオプションを選択する必要があるのはどのような場合ですか。

Oracle Key Vaultユーザーの資格証明を使用してOracle Database ApplianceがOracle Key Vaultと直接やり取りし、仮想ウォレットおよびエンドポイントを作成する場合は、このオプションを使用します。

どのユーザーがOracle Key Vaultサーバー構成を作成できますか。

マルチユーザー・アクセス対応システムまたはパスワードなしのマルチユーザー・アクセス対応システムでは、odaadminユーザーおよびODA-OKVCONFIGADMINロールを持つユーザーがOracle Key Vaultサーバー構成を作成できます。その後、Oracle Key Vaultサーバー構成は、必要なDBユーザー(つまり、ODA-DBロールを持つユーザー)とodaadminのみで共有できるため、DBユーザーは共有Oracle Key Vaultサーバー構成オブジェクトを使用してTDEデータベースを作成できます。これにより、Oracle Key Vaultサーバー構成オブジェクトの作成に使用されるOracle Key Vaultサーバー資格証明がDBユーザーと共有されなくなります。ただし、マルチユーザー・アクセス対応システムの場合、Oracle Key Vaultサーバー構成は、データベースを作成するユーザーと同じユーザーによって作成されます。

ソフトウェア・キーストアを使用するTDEデータベースを、Oracle Key Vaultを使用するように変換できますか。

いいえ。このリリースでは、Oracle Database Applianceは、ソフトウェア・キーストアからOracle Key Vaultへのキーストアの移行をサポートしていません。

Oracle Database Applianceが通信するために開く必要があるOracle Key Vaultサーバーのポート番号は何ですか。

Oracle Database Applianceは、ポート番号5695を使用してOracle Key Vaultサーバーと通信します。Oracle Database ApplianceがOracle Key Vaultサーバーと通信できるように、ポート番号5695がOracle Key Vaultサーバーで開いていることを確認してください。

Oracle Database Applianceで推奨されるOracle Key Vaultサーバーの最小バージョンは何ですか。

Oracle Database Applianceで推奨されるOracle Key Vaultサーバーの最小バージョンは21.7です。

Oracle Database ApplianceでOracle Key Vault機能をサポートするデータベース・バージョンは何ですか。

Oracle Database ApplianceのOracle Key Vault機能は、ベア・メタル・システムとDBシステムの両方で、Oracle Database 19cでサポートされています。

Oracle Database Applianceで使用できるデータベース・ライフサイクル管理操作のうち、Oracle Key Vaultを使用してTDEキーを格納するTDEデータベースでサポートされていない操作は何ですか。

データベースのクローニング、アップグレード、登録などのデータベース・ライフサイクル管理操作は、現在、Oracle Key Vaultを使用してTDEキーを格納するTDEデータベースではサポートされていません。

Oracle Key Vaultを使用してTDEキーを格納するデータベースの作成中に、TDEパスワードを指定する必要がありますか。

いいえ。TDEパスワードは必要ありません。TDEパスワードは、Oracle Database Applianceツールによってランダムに生成されます。TDEパスワードは、Oracle Key Vaultで手動で作成されたエンドポイントおよびウォレットを使用してデータベースを作成するときに指定する必要があります。

ODA-DBロールを持つユーザーにOracle Key Vaultサーバー構成オブジェクトへのアクセス権が付与されると、Oracle Key Vaultサーバー構成オブジェクトを削除できますか。

いいえ。Oracle Key Vaultサーバー構成オブジェクトは、そのオブジェクトを作成したユーザーまたはodaadminユーザーのみが削除できます。ODA-DBロールを持つユーザーは、共有Oracle Key Vaultサーバー構成オブジェクトを使用してTDEデータベースを作成することのみ可能で、共有Oracle Key Vaultサーバー構成オブジェクトを削除することはできません。また、Oracle Key Vaultサーバー構成オブジェクトを削除する前に、作成時にOracle Key Vaultサーバー構成オブジェクトを使用したデータベースを削除する必要があります。

Oracle Database Applianceツールでは、Oracle Key Vaultを使用してTDEキーを格納するデータベースのTDEウォレットのバックアップおよびリカバリはサポートされていますか。

いいえ。Oracle Database Applianceツールでは、TDEウォレットがOracle Database Applianceシステムの外部のOracle Key Vaultサーバーに存在するため、TDEウォレットのバックアップおよびリカバリをサポートしていません。Oracle Key VaultサーバーのOKV ADMINは、TDEウォレットのバックアップおよびリカバリを管理する必要があります。Oracle Key Vaultサーバーを選択すると、クライアント外部のOracle Key VaultサーバーでTDEウォレットを管理することを選択できます。

Oracle Database Applianceツールは、指定されたOracle Key Vault資格証明が、Oracle Key Vaultサーバーで最小権限Create Endpointを持つユーザーに属しているかどうかを識別しますか。

いいえ。Oracle Database Applianceツールは、指定されたOracle Key Vault資格証明が、Oracle Key Vaultサーバーで最小権限Create Endpointを持つユーザーに属しているかどうかを識別しません。必ず最小権限が付与されたユーザーの資格証明を使用してください。この最小権限Create Endpointをお薦めするのは、指定された資格証明がOracle Key Vaultサーバーへのデータベースのオンボードにのみ使用でき、Oracle Key Vaultサーバーに対して他の操作が実行されないようにするためです。

Oracle Key Vaultキーストアを使用してTDEデータベースをリストアする前に、TDEウォレットのコピーを作成する必要があるのはなぜですか。

Oracle Database Applianceツールでは、ウォレットがアプライアンスの外部に存在するため、Oracle Key Vaultサーバーにウォレットが格納されている場合、TDEウォレットのバックアップ、リカバリおよびリストアをサポートしません。ただし、Oracle Data Guard構成でデータベースをスタンバイとしてリストアする場合は、プライマリ・データベースのウォレットを指定する必要があります。

Oracle Key Vaultを使用してTDE構成でデータベースを作成するには、Oracle Database ApplianceでNTP構成が必要ですか。

Oracle Database ApplianceとOracle Key Vaultサーバーのクロックが同期していない場合、データベースの作成またはリストア操作が失敗する可能性があるため、Oracle Database ApplianceでNTPを設定することをお薦めします。したがって、時間がサーバー全体で一致していることを確認するか、Oracle Database ApplianceでNTPを使用する必要があります。