機械翻訳について

Azure Key Vaultでのマスター暗号化キーの管理

Autonomous Databaseは、Azure Key Vaultに存在する顧客管理Transparent Data Encryption (TDE)キーをサポートします。

• Azure Key Vaultで顧客管理暗号化キーを使用するための前提条件
  Azure Key Vaultに存在するAutonomous Databaseで顧客管理マスター暗号化キーを使用するための前提条件ステップについて説明します。
• Azure Key VaultでのAutonomous Databaseでの顧客管理暗号化キーの使用
  Azure Key Vaultに存在する顧客管理のマスター暗号化キーを使用して、Autonomous Databaseを暗号化するステップを示します。

Azure Key Vaultで顧客管理暗号化キーを使用するための前提条件

Azure Key Vaultに存在するAutonomous Databaseで顧客管理マスター暗号化キーを使用するための前提条件ステップについて説明します。

制限事項:

• Azure Key Vaultは、商用リージョンでのみサポートされています。
• Autonomous DatabaseインスタンスとAzure Key Vaultが異なるテナンシにあるクロステナンシ・アクセスはサポートされていません。
• Azure Key Vaultは、クロス・リージョン・スタンバイではサポートされていません。
• Azure Key Vaultは、リフレッシュ可能クローンではサポートされていません。

• サポートされているキー・シェイプおよびサイズは次のとおりです:

  • RSA 2048、3072および4096
  • EC-P256, EC-P256K, EC-P384, EC-P521

次のステップを実行します:

1. 「Oracle管理キーを使用した暗号化」のデフォルト暗号化キー設定を使用するAutonomous Databaseインスタンスを作成します。 詳細については、「Autonomous Databaseインスタンスのプロビジョニング」を参照してください。

   ノート:

   Azure Key Vaultの顧客管理キーの暗号化キー設定は、作成プロセス中は使用できません。 このオプションは、インスタンスの編集時にプロビジョニング後に使用できます。
2. Transparent Data Encryption (TDE)マスター・キーを使用してAzure Key Vaultを作成します。

   詳細については、「Azure Key Vaultについて」を参照してください。

3. Azureディレクトリtenant_idを使用してAzureサービス・プリンシパル認証を有効にし、Autonomous DatabaseインスタンスがAzure Key Vaultにアクセスできるようにします。
   1. Microsoft Azure Active DirectoryテナントIDを取得します。

      
      「
      図sec_az_tenant_id.pngの説明」
      

      詳細については、「Azure Active DirectoryテナントIDの検索方法」を参照してください。

   2. ADMINとしてインスタンスに接続します。
   3. DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTHを使用して、Azureサービス・プリンシパルを有効にします。 azure_tenantidの値は、前のステップで取得したAzureディレクトリIDです。
      たとえば:

      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      これにより、Azureサービス・プリンシパル認証が有効になり、AzureポータルでAutonomous DatabaseのAzureアプリケーションが作成されます。 詳細については、「Azureサービス・プリンシパルの有効化」を参照してください。

4. Azureアプリケーションの同意を得て、Autonomous DatabaseからAzureリソースにアクセスします。
   1. Autonomous Databaseで、CLOUD_INTEGRATIONSを問い合せます。

      たとえば:

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      ビューCLOUD_INTEGRATIONSは、ADMINユーザーまたはDWROLEロールを持つユーザーが使用できます。

   2. ブラウザで、azure_consent_urlパラメータで指定されたAzure同意URLを開きます。

      たとえば、問合せ結果からazure_consent_urlをコピーし、ブラウザにURLを入力します:

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      「権限がリクエストされました」ページが開き、次のような同意リクエストが表示されます:

      
      「図azure_consent.pngの説明」
5. Azureアプリケーション名を取得します。
   1. Autonomous Databaseで、CLOUD_INTEGRATIONSを問い合せます。

      たとえば:

      SELECT * FROM CLOUD_INTEGRATIONS;

   2. consent_urlに含まれているclient_id値をコピーします。

      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

   3. Azureポータルのclient_idを検索します。 アプリケーションIDは、Microsoft Entra IDの下に表示されます。

      
      「
      図sec_az_app_name.pngの説明」
      

   4. アプリケーションIDをコピーします。 この値は、Azure Key Vault内のキーへのこのアプリケーション・アクセスを許可する後続のステップで使用されます。
6. Azureアプリケーションに必要なロールを割り当てて、Azure Key Vaultにアクセスします。
   1. Azureポータルで、Azure Key Vaultのアクセス・ポリシーに移動します。

      このボールトにアクセスできるアプリケーションのリストが表示されます。

   2. 「アクセス・ポリシー」ページで、「+作成」をクリックして、このキー・ボールトにアクセスするためのアプリケーションのアクセス・ポリシーを作成します。

      
      「
      図sec_az_acc_pol.pngの説明」
      

   3. 「アクセス・ポリシーの作成」ページの「権限」で、次を含むすべてのキー権限を選択: キー管理操作、暗号化操作、特権キー操作、およびローテーション・ポリシー操作を行い、「次」をクリックします。
   4. 「プリンシパル」で、アプリケーション名を検索します。
   5. 表示されたアプリケーション名を選択し、「次」をクリックします。
   6. 「アプリケーション」(オプション)で、「次」を選択します。
   7. 確認と作成については、ポリシーの詳細を確認し、「作成」をクリックします。

      
      「
      図sec_az_create_pol.pngの説明」
      

   8. Azure Key Vaultの詳細ページで、「リフレッシュ」をクリックしてアプリケーション名を検索します。 これは、このAzure Key Vaultのキーにアクセスする権限を持つアプリケーションの表示リストに含まれています。

   詳細については、「Key Vaultアクセス・ポリシーの割当て」を参照してください。

Azure Key VaultでのAutonomous Databaseでの顧客管理暗号化キーの使用

Azure Key Vaultに存在する顧客管理のマスター暗号化キーを使用して、Autonomous Databaseを暗号化するステップを示します。

次のステップを実行します:

1. 必要な顧客管理マスター・キーの前提条件ステップを実行します。 「Azure Key Vaultで顧客管理暗号化キーを使用するための前提条件」を参照してください。
2. 「詳細」ページで、「その他のアクション」ドロップダウン・リストから「暗号化キーの管理」を選択します。

   ノート:

   Azure Key Vaultに格納されている顧客管理Transparent Data Encryption (TDE)キーをすでに使用していて、キーをローテーションする場合は、次のステップに従って別のキーを選択します(現在選択されているマスターTDEキーとは異なるキーを選択します)。

3. 「暗号化キーの管理」ページで、「顧客管理キーを使用した暗号化」を選択します。
4. 「キー・タイプ」ドロップダウンから、Microsoft Azureを選択します。

   
   「
   図sec_azure.pngの説明」
   

5. Vault URIフィールドに、Azure Vault URIと入力します。
   1. Azureポータルで、Azure Key Vaultに移動します。
   2. Azure Key Vaultの「概要」ページを選択し、表示されているVault URIをコピーします。

      
      「
      図sec_az_vault_uri.pngの説明」
      

   3. コピーしたAzure Vault URIを、Autonomous Database「暗号化キーの管理」ページのVault URIフィールドに入力します。
6. 「キー名」フィールドに、「Azureキー名」の名前を入力します。
   1. Azureポータルで、Azure Key Vaultに移動し、「キー」を選択します。 このボールトのキーのリストが表示されます。
   2. 表示されたキーのリストから、使用する「キー名」をコピーします。

      
      「
      図sec_az_key_name.pngの説明」
      

   3. コピーしたAzureキー名を、Autonomous Database「暗号化キーの管理」ページの「キー名」フィールドに入力します。
7. 「保存」をクリックします。

「ライフサイクルの状態」が「更新中」に変わります。 リクエストが完了すると、「ライフサイクルの状態」に「使用可能」と表示されます。

リクエストが完了すると、Oracle Cloud Infrastructureコンソールで、Autonomous Database情報ページに「暗号化」という見出しの下に表示されます。 この領域には、「暗号化キー」が「顧客管理キー(Microsoft Azure)」で、Vault URIおよび「キー名」が表示されます。

次に例を示します:

図sec_az_results.pngの説明

詳細については、「Autonomous Databaseでの顧客管理キーの使用に関するノート」を参照してください。