機械翻訳について

Autonomous Databaseでの顧客管理キーの使用に関するノート

Autonomous Databaseで顧客管理キーを使用するための追加情報およびノートを提供

親トピック: Autonomous Databaseでの暗号化キーの管理

キーにアクセスできないときの顧客管理暗号化キーに関する注意

顧客管理キーに切り替えた後、キーにアクセスできないと、一部のデータベース操作が影響を受ける可能性があります。

ネットワーク停止などのなんらかの理由でデータベースからキーにアクセスできない場合、Autonomous Databaseは停止を次のように処理します:

  • データベースが稼働したままである2時間の猶予期間があります。

  • 2時間の猶予期間の終了時にキーに到達できない場合、データベースのライフサイクル状態は「アクセス不可」に設定されます。 この状態では、既存の接続が削除され、新しい接続は許可されません。

  • Oracle Cloud Infrastructure Vaultの使用時にAutonomous Data Guardが有効になっている場合、2時間の猶予期間中またはあとで、フェイルオーバー操作を手動で試行できます。 顧客管理暗号化キーを使用しており、Oracle Cloud Infrastructure Vaultにアクセスできない場合、Autonomous Data Guard自動フェイルオーバーはトリガーされません。

    ノート:

    Autonomous Data Guardでは、Oracle Cloud Infrastructure Vaultのみがサポートされています。

  • Autonomous Databaseが停止した場合、キーにアクセスできないときはデータベースを起動できません。

    この場合、Oracle Cloud InfrastructureコンソールのAutonomous Database詳細ページの「作業リクエスト」タブをクリックすると、次の作業リクエストが表示されます: 

    The Vault service is not accessible. 
Your Autonomous Database could not be started. Please contact Oracle Support.

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート

マスター・キーが無効または削除された場合の顧客管理暗号化キーの使用に関する注意

顧客管理キーに切り替えた後、マスター・キーが無効になっているか削除されていると、一部のデータベース操作に影響する可能性があります。

  • マスター暗号化キー「状態」が次のいずれかであるキーの無効化/削除操作の場合:

    キー・ボールト キー状態
    Oracle Cloud Infrastructure (OCI) Vault
    • DISABLING
    • DISABLED
    • DELETING
    • DELETED
    • SCHEDULING_DELETION
    • PENDING_DELETION
    AWSキー管理システム(KMS)
    • Disabled
    • PendingDeletion
    Azure Key Vault
    • DISABLED
    • DELETED
    Oracle Key Vault (OKV)
    • COMPROMISED
    • DEACTIVATED
    • DESTROYED

    キーのライフサイクル状態がこれらの状態のいずれかになった後、データベースは「アクセス不可」になります。 キーがこれらの状態のいずれかである場合、Autonomous Databaseは既存の接続を削除し、新しい接続を許可しません。

    アクセスできないデータベースは、キー操作後最大15分かかります(Autonomous Databaseは15分間隔でキー・プロバイダをチェックします)。

  • Autonomous Data Guardが有効なときにAutonomous Databaseで使用されるOracle Cloud Infrastructure Vaultキーを無効にまたは削除すると、Autonomous Data Guardは自動フェイルオーバーを実行しません。

    ノート:

    Autonomous Data Guardでは、Oracle Cloud Infrastructure Vaultのみがサポートされています。

  • 無効なキーを有効にすると、データベースが自動的に使用可能状態になります。

  • マスター・キーを削除した場合は、Oracle Cloud Infrastructureコンソールでキー履歴をチェックして、データベースで使用されたキーを検索できます。 履歴には、キー名とアクティブ化タイムスタンプが表示されます。 履歴リストの古いキーの1つが引き続き使用可能な場合は、データベースがそのキーを使用していた時点にリストアするか、バックアップからクローニングしてそのタイムスタンプを持つ新しいデータベースを作成できます。

詳細については、「Autonomous Databaseでの顧客管理暗号化キーの履歴の表示」を参照してください。

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート

顧客管理暗号化キーの履歴およびバックアップの使用に関する注意事項

顧客管理キーに切り替えると、マスター・キーがローテーション、無効化または削除され、以前に保存したバックアップまたはクローンからデータをリストアするための有効なキーがない場合に、一部のデータベース操作が影響を受ける可能性があります。

  • 過去60日間にローテーションに使用されていない新しいキーを作成し、そのキーをローテーションに使用することをお薦めします。 これにより、現在のキーが削除または無効になっている場合に、バックアップに戻ることができます。

  • 60日以内に複数の暗号化キー・ローテーションを実行する場合は、マスター暗号化キー・ローテーション操作ごとに新しいキーを作成するか、過去60日以内に使用されていないキーを指定することをお薦めします。 これにより、顧客管理のマスター暗号化キーが無効または削除された場合に、バックアップからのデータのリカバリに使用できるキーを少なくとも1つ保存できます。

詳細については、「Autonomous Databaseでの顧客管理暗号化キーの履歴の表示」を参照してください。

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート

Autonomous Data Guardを使用したOCI Vaultの顧客管理キーに関するノート

Autonomous Data Guardは、キー・プロバイダOracle Cloud Infrastructure Vaultで顧客管理キーを使用する場合でサポートされます。

ノート:

Oracle管理キーを使用している場合、プライマリ・データベースから顧客管理キーにのみ切り替えることができます。 同様に、顧客管理キーを使用している場合は、キーのみをローテーションしたり、プライマリ・データベースからOracle管理キーに切り替えることができます。 「その他のアクション」の下の「暗号化キーの管理」オプションは、スタンバイ・データベースで無効になっています。

顧客管理キーを持つスタンバイ・データベースでAutonomous Data Guardを使用する場合は、次の点に注意してください:

  • リモート・スタンバイでプライマリと同じマスター暗号化キーを使用するには、マスター暗号化キーをリモート・リージョンにレプリケートする必要があります。

    顧客管理暗号化キーは、単一のクロス・リージョンAutonomous Data Guardスタンバイでのみサポートされます。 Oracle Cloud Infrastructure Vaultは1つのリモート・リージョンへのレプリケーションのみをサポートしているため、複数のクロス・リージョン・スタンバイはサポートされていません。

  • プライマリ・データベースとスタンバイ・データベースが同じキーを使用します。 スタンバイへのスイッチオーバーまたはフェイルオーバーが発生した場合は、同じキーを引き続き使用できます。

  • プライマリ・データベースで顧客管理キーをローテーションすると、スタンバイ・データベースに反映されます。

  • 顧客管理キーからOracle管理キーに切り替えると、変更がスタンバイ・データベースに反映されます。

  • Oracle Cloud Infrastructure Vaultにアクセスできない場合、データベースがINACCESSIBLE状態になるまでに2時間の猶予期間があります。 この2時間の猶予期間中または期間後にフェイルオーバーを実行できます。

  • Autonomous Data Guardが有効な間にAutonomous Databaseが顧客管理キーで使用しているOracle Cloud Infrastructureマスター暗号化キーを無効化または削除すると、Autonomous Data Guardは自動フェイルオーバーを実行しません。

  • クロス・テナンシAutonomous Data Guardでは、顧客管理暗号化キーはサポートされていません。

詳細は、次を参照してください:

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート

リフレッシュ可能クローンを使用した顧客管理暗号化キーに関するノート

リフレッシュ可能なクローンで顧客管理キーを使用するための制限およびノートをリストします。

ノート:

リフレッシュ可能クローンで顧客管理キーを使用するオプションは、ソース・データベースでECPUコンピュート・モデルが使用されている場合にのみ使用できます。

顧客管理暗号化キーを使用したソースとの同じリージョン・リフレッシュ可能クローンに関するノート

Autonomous Databaseでは、次のように、同じリージョンのリフレッシュ可能クローンでの顧客管理暗号化キーの使用がサポートされます:

  • ソース・データベースで顧客管理キーを使用する場合、1つ以上のローカル(同じリージョン)リフレッシュ可能クローンを作成できます。 リフレッシュ可能クローンは、ソース・データベースと同じ顧客管理キーを使用し、別のキーを個別に選択したり、リフレッシュ可能クローンのキー・タイプを変更したりするオプションをサポートしていません。

  • サポートされているすべての顧客管理キー・プロバイダは、次のような同じリージョン・リフレッシュ可能クローンでサポートされています: Oracle Cloud Infrastructure Vault、Microsoft Azure Key Vault、Amazon Web Services (AWS) Key Management Service (KMS)およびOracle Key Vault (OKV)。

    詳細については、「Autonomous Databaseでのマスター暗号化キーの管理について」を参照してください。

  • ソース・データベースに1つ以上のローカル・リフレッシュ可能クローンがある場合、キー・タイプを変更するか、ソース・データベースでキーをローテーションできます。 この場合、ソース・データベースが別のキー・タイプに切り替えられた後、またはそのキーがローテーションされると、リフレッシュ可能クローンで既存の古いキーが引き続き使用されます。 リフレッシュ可能クローンのリフレッシュ後、リフレッシュ可能クローンは、新しいソース・キー・タイプの使用またはローテーション済キーの使用に切り替わります。

  • 顧客管理キーを使用してソースからリフレッシュ可能クローンをプロビジョニングする場合、リフレッシュ可能クローンがキーにもアクセスできるように、動的グループおよびポリシーがリフレッシュ可能クローンをカバーする必要があります。 動的グループおよびポリシーにリフレッシュ可能クローンが含まれていない場合、プロビジョニングは失敗します。 同様に、ソースにすでにリフレッシュ可能クローンがあり、Oracle管理キーから顧客管理キーに切り替えている場合、動的グループおよびポリシーにリフレッシュ可能クローンが含まれていないと、スイッチは成功しません。

    詳細については、「リフレッシュ可能クローンの作成の前提条件」を参照してください。

詳細については、「Autonomous Databaseインスタンスのリフレッシュ可能クローンの作成」を参照してください。

顧客管理暗号化キーを使用したクロス・リージョン・リフレッシュ可能クローンとソースに関するノート

Autonomous Databaseでは、次のように、クロス・リージョン・リフレッシュ可能クローンでの顧客管理暗号化キーの使用がサポートされています:

  • ソース・データベースで顧客管理キーを使用する場合、1つのリージョン間リフレッシュ可能クローンを作成できます。 リフレッシュ可能クローンは、ソース・データベースと同じ顧客管理キーを使用し、別のキーを個別に選択したり、リフレッシュ可能クローンのキー・タイプを変更したりするオプションをサポートしていません。

    この場合、リージョン間リフレッシュ可能クローンではOCI Vaultのみがサポートされ、ソースのキーはリモート・リージョンでレプリケートされる必要があります。

  • リージョン間リフレッシュ可能クローンを持つ、サポートされている顧客管理キー・プロバイダは次のとおりです: Oracle Cloud Infrastructure Vault.

    詳細については、「Autonomous Databaseでのマスター暗号化キーの管理について」を参照してください。

  • クロス・リージョン・リフレッシュ可能クローンで顧客管理キーが使用される場合、動的グループおよびポリシーでリフレッシュ可能クローンがカバーされている必要があります。 動的グループおよびポリシーにリフレッシュ可能クローンが含まれていない場合、プロビジョニングは失敗します。 同様に、ソースにすでにリフレッシュ可能クローンがあり、Oracle管理キーから顧客管理キーに切り替えている場合、動的グループおよびポリシーにリフレッシュ可能クローンが含まれていないと、スイッチは成功しません。

    詳細については、「リフレッシュ可能クローンの作成の前提条件」を参照してください。

詳細については、「クロス・テナンシまたはリージョン間リフレッシュ可能クローンの作成」を参照してください。

顧客管理暗号化キーを使用したソースでのクロス・テナンシ・リフレッシュ可能クローンに関するノート

Autonomous Databaseは、クロス・テナンシ・リフレッシュ可能クローンでの顧客管理暗号化キーの使用をサポートしていません。

詳細については、「クロス・テナンシまたはリージョン間リフレッシュ可能クローンの作成」を参照してください。

顧客管理暗号化キーを使用したリフレッシュ可能クローンを使用したソース・データベースのリストアに関するノート

ソース・データベースにリフレッシュ可能なクローンがあり、ソース・データベースがバックアップからリストアされた場合、ソース・データベースは、ソース・データベースのリストア時点で使用されていたキーの使用を開始します。

この場合は、次のケースを考慮してください:

  • リフレッシュ可能クローンが遅延しており、そのリフレッシュ・ポイントがリストア・ポイントより前であった(つまり、リフレッシュ可能クローンにリストアされたソース・データベースより古いデータがあった)場合、次のリフレッシュ後にソース・データベースと同じキーの使用が開始されます(リフレッシュによって、ソース・データベースからリフレッシュ可能クローンが再作成されます)。

  • リフレッシュ可能クローンのリフレッシュ・ポイントがリストア・ポイントより後であり、つまり、リフレッシュ可能クローンのデータがリストアされたソース・データベースより新しい場合、リフレッシュ可能クローンは、リフレッシュ時と同じ時点に達すると自動的に再作成されます。 その時点で、ソースと同じキーの表示が開始されます。

詳細については、「Autonomous Databaseのリストアおよびリカバリ」を参照してください。

顧客管理暗号化キーを使用した切断されたリフレッシュ可能クローンのノート

顧客管理キーを使用するソース・データベースを含むリフレッシュ可能クローンが切断された場合、リフレッシュ可能クローンはソース・データベースに再接続できます。 リフレッシュ可能クローンがソースから切断されている間に、ソース・データベースのキーが変更されると、リフレッシュ可能クローンは、リフレッシュ可能クローンの再接続およびリフレッシュ時に新しいキーを使用するように切り替わります。

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート

リモート・テナンシのVaultを使用した顧客管理キーに関するノート

リモート・テナンシのVaultで顧客管理マスター暗号化キーを使用するには、次の点に注意してください:

リモート・テナンシのVaultで顧客管理のマスター暗号化キーを使用する場合は、VaultとAutonomous Databaseインスタンスが同じリージョンに存在する必要があります。 テナンシを変更するには、サインオン・ページで「テナンシの変更」をクリックします。 テナンシを変更した後、VaultとAutonomous Databaseインスタンスの両方に同じリージョンを選択してください。

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート