1. よくある質問
  2. Oracle Database Applianceよくある質問
  3. Oracle Database Appliance上のOracle Key Vault

Oracle Database Appliance上のOracle Key Vault

Oracle Database Appliance上のOracle Key VaultにTDEキーを格納する場合の一般的なFAQをご確認ください。

Oracle Key Vaultサーバー構成とは何ですか。

Oracle Key Vaultサーバー構成は、Oracle Key Vaultサーバーに関するメタデータ(IPアドレス、ホスト名、ユーザー名、Oracle Key Vaultサーバーに関する簡単な説明など)を表すOracle Database Applianceエンティティです。Oracle Key Vaultサーバー構成オブジェクトの作成時に、Oracle Key Vaultユーザー・パスワードを指定する必要があります。クライアント自動ログイン・ウォレットは、指定したパスワードで生成されます。

Oracle Key Vaultを使用してTDEキーを格納するTDE対応データベースをOracle Database Applianceで作成する2つの異なる方法とは何ですか。

Oracle Database Applianceでは、Oracle Key Vaultを使用してTDEキーを格納するTDE対応データベースを作成する次の2つの方法がサポートされています:
  • Oracle Key VaultのエンドポイントとともにOracle Key Vaultを使用したTDE対応データベースの作成: 仮想ウォレットとエンドポイントは、Oracle Database Applianceツールによって作成されるのではなく、ユーザーによってOracle Key Vaultサーバー上に作成されます。Oracle Database Applianceツールでは、データベースの作成時に、作成されたエンドポイントに対応するokvclient.jarファイルをユーザーが指定することのみが想定されています。
  • ユーザー資格証明を使用したTDE対応データベースの作成: この場合、仮想ウォレットおよびエンドポイントは、Oracle Database ApplianceツールによってOracle Key Vaultサーバー上に作成されます。ユーザーは、必要なOracle Key Vaultサーバーに対応するOracle Key Vaultサーバー構成を作成し、データベースの作成時に指定する必要があります。

TDEデータベースのキーストア・タイプを把握するにはどうすればよいですか。

odacli describe-database -n dbname -jコマンドの出力のkeystoreTypeパラメータ値に、TDEデータベースで使用されるキーストアのタイプが表示されます。

TDE対応データベースがTDE構成にソフトウェア・キーストアまたはOracle Key Vaultのどちらを使用しているかを識別するにはどうすればよいですか。

データベースのkeystoreType属性の値がsoftwareの場合、TDEの構成にソフトウェア・キーストアが使用されたことを意味します。それ以外の場合、同属性の値がOKVである場合、TDEの構成にOracle Key Vaultが使用されたことを意味します。

Oracle Key VaultのエンドポイントとともにOracle Key Vaultを使用してTDE対応データベースを作成するオプションを選択する必要があるのはどのような場合ですか。

Oracle Database ApplianceでOracle Key Vaultユーザー資格証明を使用しない場合は、事前に作成された仮想ウォレットおよびエンドポイントを使用するTDE対応データベースの作成オプションを使用できます。

Oracle Key Vaultのユーザーの資格証明とともにOracle Key Vaultを使用してTDE対応データベースを作成するオプションを選択する必要があるのはどのような場合ですか。

Oracle Key Vaultユーザーの資格証明を使用してOracle Database ApplianceがOracle Key Vaultと直接やり取りし、仮想ウォレットおよびエンドポイントを作成する場合は、このオプションを使用します。

どのユーザーがOracle Key Vaultサーバー構成を作成できますか。

マルチユーザー・アクセス対応システムまたはパスワードなしのマルチユーザー・アクセス対応システムでは、odaadminユーザーおよびODA-OKVCONFIGADMINロールを持つユーザーがOracle Key Vaultサーバー構成を作成できます。その後、Oracle Key Vaultサーバー構成は、必要なDBユーザー(つまり、ODA-DBロールを持つユーザー)とodaadminのみで共有できるため、DBユーザーは共有Oracle Key Vaultサーバー構成オブジェクトを使用してTDEデータベースを作成できます。これにより、Oracle Key Vaultサーバー構成オブジェクトの作成に使用されるOracle Key Vaultサーバー資格証明がDBユーザーと共有されなくなります。ただし、マルチユーザー・アクセス対応システムの場合、Oracle Key Vaultサーバー構成は、データベースを作成するユーザーと同じユーザーによって作成されます。

ソフトウェア・キーストアを使用するTDEデータベースを、Oracle Key Vaultを使用するように変換できますか。

いいえ。このリリースでは、Oracle Database Applianceは、ソフトウェア・キーストアからOracle Key Vaultへのキーストアの移行をサポートしていません。

Oracle Database Applianceが通信するために開く必要があるOracle Key Vaultサーバーのポート番号は何ですか。

Oracle Database Applianceは、ポート番号5695を使用してOracle Key Vaultサーバーと通信します。Oracle Database ApplianceがOracle Key Vaultサーバーと通信できるように、ポート番号5695がOracle Key Vaultサーバーで開いていることを確認してください。

Oracle Database Applianceで推奨されるOracle Key Vaultサーバーの最小バージョンは何ですか。

Oracle Database Applianceで推奨されるOracle Key Vaultサーバーの最小バージョンは21.7です。

Oracle Database ApplianceでOracle Key Vault機能をサポートするデータベース・バージョンは何ですか。

Oracle Database ApplianceのOracle Key Vault機能は、ベア・メタル・システムとDBシステムの両方で、Oracle Database 19cでサポートされています。

Oracle Database Applianceで使用できるデータベース・ライフサイクル管理操作のうち、Oracle Key Vaultを使用してTDEキーを格納するTDEデータベースでサポートされていない操作は何ですか。

データベースのクローニング、アップグレード、登録などのデータベース・ライフサイクル管理操作は、現在、Oracle Key Vaultを使用してTDEキーを格納するTDEデータベースではサポートされていません。

Oracle Key Vaultを使用してTDEキーを格納するデータベースの作成中に、TDEパスワードを指定する必要がありますか。

いいえ。TDEパスワードは必要ありません。TDEパスワードは、Oracle Database Applianceツールによってランダムに生成されます。TDEパスワードは、Oracle Key Vaultで手動で作成されたエンドポイントおよびウォレットを使用してデータベースを作成するときに指定する必要があります。

ODA-DBロールを持つユーザーにOracle Key Vaultサーバー構成オブジェクトへのアクセス権が付与されると、Oracle Key Vaultサーバー構成オブジェクトを削除できますか。

いいえ。Oracle Key Vaultサーバー構成オブジェクトは、そのオブジェクトを作成したユーザーまたはodaadminユーザーのみが削除できます。ODA-DBロールを持つユーザーは、共有Oracle Key Vaultサーバー構成オブジェクトを使用してTDEデータベースを作成することのみ可能で、共有Oracle Key Vaultサーバー構成オブジェクトを削除することはできません。また、Oracle Key Vaultサーバー構成オブジェクトを削除する前に、作成時にOracle Key Vaultサーバー構成オブジェクトを使用したデータベースを削除する必要があります。

Oracle Database Applianceツールでは、Oracle Key Vaultを使用してTDEキーを格納するデータベースのTDEウォレットのバックアップおよびリカバリはサポートされていますか。

いいえ。Oracle Database Applianceツールでは、TDEウォレットがOracle Database Applianceシステムの外部のOracle Key Vaultサーバーに存在するため、TDEウォレットのバックアップおよびリカバリをサポートしていません。Oracle Key VaultサーバーのOKV ADMINは、TDEウォレットのバックアップおよびリカバリを管理する必要があります。Oracle Key Vaultサーバーを選択すると、クライアント外部のOracle Key VaultサーバーでTDEウォレットを管理することを選択できます。

Oracle Database Applianceツールは、指定されたOracle Key Vault資格証明が、Oracle Key Vaultサーバーで最小権限Create Endpointを持つユーザーに属しているかどうかを識別しますか。

いいえ。Oracle Database Applianceツールは、指定されたOracle Key Vault資格証明が、Oracle Key Vaultサーバーで最小権限Create Endpointを持つユーザーに属しているかどうかを識別しません。必ず最小権限が付与されたユーザーの資格証明を使用してください。この最小権限Create Endpointをお薦めするのは、指定された資格証明がOracle Key Vaultサーバーへのデータベースのオンボードにのみ使用でき、Oracle Key Vaultサーバーに対して他の操作が実行されないようにするためです。

Oracle Key Vaultキーストアを使用してTDEデータベースをリストアする前に、TDEウォレットのコピーを作成する必要があるのはなぜですか。

Oracle Database Applianceツールでは、ウォレットがアプライアンスの外部に存在するため、Oracle Key Vaultサーバーにウォレットが格納されている場合、TDEウォレットのバックアップ、リカバリおよびリストアをサポートしません。ただし、Oracle Data Guard構成でデータベースをスタンバイとしてリストアする場合は、プライマリ・データベースのウォレットを指定する必要があります。

Oracle Key Vaultを使用してTDE構成でデータベースを作成するには、Oracle Database ApplianceでNTP構成が必要ですか。

Oracle Database ApplianceとOracle Key Vaultサーバーのクロックが同期していない場合、データベースの作成またはリストア操作が失敗する可能性があるため、Oracle Database ApplianceでNTPを設定することをお薦めします。したがって、時間がサーバー全体で一致していることを確認するか、Oracle Database ApplianceでNTPを使用する必要があります。NTPサーバーを使用する場合は、アプライアンスからサーバーにアクセスでき、/etc/chrony.confファイルのchrony設定がOracle Database ApplianceとOracle Key Vaultサーバーで同じであることを確認します。

TDEウォレットのキーの更新が「ORA-28353: failed to open wallet」エラーで失敗するのはなぜですか。

エラー・コードORA-28353は、TDEパスワードが正しくないことが原因である可能性があります。問題を解決するには、正しいTDEパスワードを使用して操作を再試行してください。このエラーの詳細は、Oracle Databaseエラー・メッセージ・ガイド(https://docs.oracle.com/en/database/oracle/oracle-database/19/errmg/ORA-24280.html)を参照してください。

Oracle Key Vaultをキーストアとして使用するTDE構成を使用したデータベースの作成がエラーで失敗する理由は何ですか。

次のエラーが発生する場合があります:
Internal error encountered: PL/SQL procedure successfully completed.begin
*
ERROR at line 1:
ORA-00600: internal error code, arguments: [kcbtse_populate_tbskey_1], [The
request operation was denied.], [], [], [], [], [], [], [], [], [], []
ORA-06512: at line 2.
TDEマスター暗号化キーの設定時に、データベースの作成が前述のエラーで失敗することがあります。このエラーは、アプライアンスのクロックがOracle Key Vaultサーバーのクロックと同期していない場合に発生し、Oracle Database ApplianceとOracle Key Vaultサーバーの時間の間にラグが発生します。ラグにより、データベースに対してTDEマスター暗号化キーを設定するコマンドが実行される時刻がOracle Key Vaultサーバーの時刻と一致しないため、操作が失敗します。クロックを同期するには、Oracle Database ApplianceでNTPを設定します。NTPの設定時に、NTPサーバーがOracle Database Applianceからアクセス可能であること、およびOracle Database ApplianceとOracle Key Vaultサーバーでchrony設定が同じであることを確認します。
次のコマンドを実行して、NTPを手動で設定します:
systemctl stop chronyd
cat /etc/chrony.conf
server Enter NTP server IP address iburst  
driftfile /var/lib/chrony/drift
makestep 1.0 -1
rtcsync
logdir /var/log/chrony
systemctl start chronyd
systemctl enable chronyd

Oracle Key Vaultをキーストアとして使用するTDE構成を使用したデータベースの作成がエラーで失敗する理由は何ですか。

次のエラーが発生する場合があります:
{ "result" : "Failure", "message" : "Error occurred during install of Oracle Key Vault endpoint software. Check log files for more information. Please cleanup all of the files and directories created by the failed installation attempt before re-install" }.
TDEマスター暗号化キーの設定時に、データベースの作成が前述のエラーで失敗することがあります。このエラーは、アプライアンスのクロックがOracle Key Vaultサーバーのクロックと同期していない場合に発生し、Oracle Database ApplianceとOracle Key Vaultサーバーの時間の間にラグが発生します。ラグにより、エンドポイント・ソフトウェアをインストールするコマンドがOracle Database Applianceで実行され、操作が失敗した場合、Oracle Key Vaultエンドポイントに対して生成された証明書は有効ではありません。クロックを同期するには、Oracle Database ApplianceでNTPを設定します。
次のコマンドを実行して、NTPを手動で設定します:
systemctl stop chronyd
cat /etc/chrony.conf
server Enter NTP server IP address iburst  
driftfile /var/lib/chrony/drift
makestep 1.0 -1
rtcsync
logdir /var/log/chrony
systemctl start chronyd
systemctl enable chronyd
Oracle Database Applianceのトラブルシューティング

親トピック: Oracle Database Applianceよくある質問