機械翻訳について

AWS Key Management Serviceでのマスター暗号化キーの管理

Autonomous Databaseは、AWS Key Management Service (KMS)に存在する顧客管理Transparent Data Encryption (TDE)キーをサポートします。

• AWS Key Management Serviceで顧客管理暗号化キーを使用するための前提条件
  Autonomous DatabaseのAmazon Web Services (AWS) Key Management Service (KMS)に存在する顧客管理マスター暗号化キーを使用するための前提条件ステップについて説明します。
• AWS Key Management ServiceでのAutonomous Databaseでの顧客管理暗号化キーの使用
  AWS Key Management Service (KMS)に存在する顧客管理マスター暗号化キーを使用してAutonomous Databaseを暗号化するステップを示します。

AWS Key Management Serviceで顧客管理暗号化キーを使用するための前提条件

Autonomous DatabaseのAmazon Web Services (AWS) Key Management Service (KMS)に存在する顧客管理マスター暗号化キーを使用するための前提条件ステップについて説明します。

制限事項:

• AWS KMSは商用リージョンでのみサポートされています。
• Autonomous DatabaseインスタンスとAWS KMSが異なるテナンシにあるクロステナンシ・アクセスはサポートされていません。
• AWS KMSは、クロス・リージョン・スタンバイではサポートされていません。
• AWS KMSはリフレッシュ可能クローンではサポートされていません。

次のステップを実行します:

1. AWS KMSへの読み取りアクセス権を付与するAWSポリシーを作成します。

   手順については「AWS KMSにアクセスするためのIAMポリシーの作成」を、詳細は「Amazonリソース名(ARN)を使用するためのAWS管理の前提条件の実行」を参照してください。

   たとえば、ADBS_AWS_Policy1ポリシーが作成されているとします:
   
   図sec_aws_policy.pngの説明
   

   ADBS_AWS_Policy1ポリシーには、KMSにアクセスする権限が含まれます。
   「
   図sec_aws_perm.pngの説明」
   

2. AWSロールを作成し、そのロールにポリシーをアタッチします。

   手順については、「AWSサービスにアクセスするためのIAMロールの作成」を参照してください。

   たとえば、ADBS_AWS_Role1ロールが作成されているとします:

   
   

   
   図sec_aws_role.pngの説明

   
   

   この例では、ADBS_AWS_Policy1ポリシーがADBS_AWS_Role1ロールにアタッチされています:

   
   

   
   図sec_aws_att_policy.pngの説明

   
   

   ポリシーの詳細ページで、この例のロールは権限ポリシーとしてアタッチの下にリストされています:

   
   

   
   図sec_aws_att_role.pngの説明

   
   
3. ロールの信頼関係を指定します。

   AWSロールの信頼関係を編集して、OracleのユーザーARNと外部ID (テナンシOCID)を追加してセキュリティを強化します。

   1. Autonomous Databaseで、CLOUD_INTEGRATIONSを問い合せます。

      たとえば:

      SELECT * FROM CLOUD.INTEGRATIONS;

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:…:user/oraclearn

      ビューCLOUD_INTEGRATIONSは、ADMINユーザーまたはDWROLEロールを持つユーザーが使用できます。

   2. aws_user_arnのPARAM_VALUEをコピーし、後続のステップの値を保存します。
   3. 外部IDに必要なテナンシOCIDを取得します。

      OCIコンソールで、「プロファイル」をクリックし、「テナンシ」を選択してテナンシの詳細ページに移動します。 テナンシOCIDをコピーし、後続のステップのために保存します。

      たとえば:

      
      

      
      図sec_aws_ocid.pngの説明

      
      
   4. AWSポータルで、ロールの「信頼できるエンティティ」に移動し、"Principal"文にスクロールします。
   5. "Principal"には、保存されたOracleユーザーARNとして"AWS"を指定し、"Condition"には、保存されたOCIDとして"sts:ExternalId"を指定します。

      たとえば:

      
      

      
      図sec_aws_trustrel.pngの説明

      
      

AWS Key Management ServiceでのAutonomous Databaseでの顧客管理暗号化キーの使用

AWS Key Management Service (KMS)に存在する顧客管理マスター暗号化キーを使用してAutonomous Databaseを暗号化するステップを示します。

次のステップを実行します:

1. 必要な顧客管理の暗号化キーの前提条件ステップを実行します。 詳細は「AWS Key Management Serviceで顧客管理暗号化キーを使用するための前提条件」を参照してください。
2. 「Oracle管理キーを使用した暗号化」のデフォルト暗号化キー設定を使用するAutonomous Databaseインスタンスを作成します。 詳細については、「Autonomous Databaseインスタンスのプロビジョニング」を参照してください。

   ノート:

   AWS Key Vaultの顧客管理キーの暗号化キー設定は、Autonomous Databaseインスタンスの作成プロセス中は使用できません。 このオプションは、インスタンスの編集時にプロビジョニング後に使用できます。
3. Autonomous Databaseインスタンスの「詳細」ページで、「その他のアクション」をクリックし、「暗号化キーの管理」を選択します。

   ノート:

   AWS KMSで顧客管理キーをすでに使用していて、TDEキーをローテーションする場合は、次のステップに従って別のキーを選択します(現在選択されているマスター暗号化キーとは異なるキーを選択します)。
4. 「暗号化キーの管理」ページで、「顧客管理キーを使用した暗号化」を選択します。
5. 「キー・タイプ」ドロップダウンから、Amazon Web Services (AWS)を選択します。
   
   

   
   図sec_aws.pngの説明

   
   
6. サービス・エンドポイントURIを入力します。

   サービス・エンドポイントURIは、AWS KMSが配置されているAWSリージョンです。

   1. AWSポータルに移動し、キーがあるKMSに移動します。
   2. ポータルの上部バーにリストされているリージョン名を検索します。

      たとえば、このKMSはOhioというリージョンにあります:

      
      

      
      図sec_aws_region.pngの説明

      
      
   3. リージョンに対応するエンドポイントを検索します。 「AWS Key Management Serviceのエンドポイントと割当て」に移動し、AWS KMSがあるAWSリージョン名のエンドポイントを探します。

      たとえば、AWSリージョン名がOhioの場合、エンドポイントはkms.us-east-2.amazonaws.comです。

   4. 「サービス・エンドポイントURI」のエンドポイントを入力します。
7. キーARNまたは別名を入力します。
   1. AWSポータルの主要詳細ページに移動します。 キーの別名またはARNをコピーします。

      たとえば、ADBS_TestAWSKMSKeyの別名が選択されます:

      
      

      
      図sec_aws_alias.pngの説明

      
      
   2. 「キーARNまたは別名」フィールドにキーの別名またはARNを入力します。
      別名を入力する場合は、エントリの前にalias/を付けます。 たとえば、別名がADBS_TestAWSKMSKeyの場合は、次のように入力します:

      alias/ADBS_TestAWSKMSKey

      ARNを入力する場合、プレフィクスは必要ありません。 たとえば、ARNがarn.aws.kms.us-east-2:37807956...bd154の場合、次のように入力します:

      arn.aws.kms.us-east-2:37807956...bd154

8. ARN Role (オプション)を入力します。
   1. AWSポータルのロール詳細ページにナビゲートします。
   2. ロールのARNをコピーします。

      たとえば、ADBS_AWS_Role1のARNがコピーされます:

      
      

      
      図sec_aws_arn_role.pngの説明

      
      
   3. コピーしたARNを「ARNロール」フィールドに入力します。
9. 外部IDを入力します(オプション)。

   「外部ID」に、tenant_ocidと入力します。

10. 「保存」をクリックします。

    たとえば:

    
    

    
    図sec_aws_save.pngの説明

    
    

「ライフサイクルの状態」が「更新中」に変わります。 リクエストが完了すると、「ライフサイクルの状態」に「使用可能」と表示されます。

リクエストが完了すると、Oracle Cloud Infrastructureコンソールで、「暗号化」という見出しの下のAutonomous Databaseインスタンスの詳細ページにキー情報が表示されます。

たとえば:

図sec_aws_done.pngの説明

詳細については、「Autonomous Databaseでの顧客管理キーの使用に関するノート」を参照してください。