Autonomous Databaseでの顧客管理キーの使用に関するノート

機械翻訳について

Autonomous Databaseでの顧客管理キーの使用に関するノート

Autonomous Databaseで顧客管理キーを使用するための追加情報およびノートを提供

キーにアクセスできないときの顧客管理暗号化キーに関する注意
顧客管理キーに切り替えた後、キーにアクセスできないと、一部のデータベース操作が影響を受ける可能性があります。
マスター・キーが無効または削除された場合の顧客管理暗号化キーの使用に関する注意
顧客管理キーに切り替えた後、マスター・キーが無効になっているか削除されていると、一部のデータベース操作に影響する可能性があります。
顧客管理暗号化キーの履歴およびバックアップの使用に関する注意事項
顧客管理キーに切り替えると、マスター・キーがローテーション、無効化または削除され、以前に保存したバックアップまたはクローンからデータをリストアするための有効なキーがない場合に、一部のデータベース操作が影響を受ける可能性があります。
Autonomous Data Guardを使用したOCI Vaultの顧客管理キーに関するノート
Autonomous Data Guardは、キー・プロバイダOracle Cloud Infrastructure Vaultで顧客管理キーを使用する場合でサポートされます。
クローニングを使用した顧客管理暗号化キーのノート
Autonomous Databaseでは、リフレッシュ可能クローンでの顧客管理暗号化キーの使用はサポートされません。
リモート・テナンシのVaultを使用した顧客管理キーに関するノート
リモート・テナンシのVaultで顧客管理マスター暗号化キーを使用するには、次の点に注意してください:

親トピック: Autonomous Databaseでの暗号化キーの管理

キーにアクセスできないときの顧客管理暗号化キーに関する注意

顧客管理キーに切り替えた後、キーにアクセスできないと、一部のデータベース操作が影響を受ける可能性があります。

ネットワーク停止などのなんらかの理由でデータベースからキーにアクセスできない場合、Autonomous Databaseは停止を次のように処理します:

データベースが稼働したままである2時間の猶予期間があります。
2時間の猶予期間の終了時にキーに到達できない場合、データベースのライフサイクル状態は「アクセス不可」に設定されます。この状態では、既存の接続が削除され、新しい接続は許可されません。
Oracle Cloud Infrastructure Vaultの使用時にAutonomous Data Guardが有効になっている場合、2時間の猶予期間中またはあとで、フェイルオーバー操作を手動で試行できます。顧客管理暗号化キーを使用しており、Oracle Cloud Infrastructure Vaultにアクセスできない場合、Autonomous Data Guard自動フェイルオーバーはトリガーされません。

ノート:
Autonomous Data Guardでは、Oracle Cloud Infrastructure Vaultのみがサポートされています。
Autonomous Databaseが停止した場合、キーにアクセスできないときはデータベースを起動できません。

この場合、リソースの下のOracle Cloud Infrastructureコンソールで「作業リクエスト」をクリックすると表示される作業リクエストは次のようになります:
```
The Vault service is not accessible. 
Your Autonomous Database could not be started. Please contact Oracle Support.
```

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート

マスター・キーが無効または削除された場合の顧客管理暗号化キーの使用に関する注意

顧客管理キーに切り替えた後、マスター・キーが無効になっているか削除されていると、一部のデータベース操作に影響する可能性があります。

マスター暗号化キー「状態」が次のいずれかであるキーの無効化/削除操作の場合:

キー・ボールト	キー状態
Oracle Cloud Infrastructure (OCI) Vault	`DISABLING` `DISABLED` `DELETING` `DELETED` `SCHEDULING_DELETION` `PENDING_DELETION`
AWSキー管理システム(KMS)	`Disabled` `PendingDeletion`
Azure Key Vault	`DISABLED` `DELETED`
Oracle Key Vault (OKV)	`COMPROMISED` `DEACTIVATED` `DESTROYED`

キーのライフサイクル状態がこれらの状態のいずれかになった後、データベースは「アクセス不可」になります。キーがこれらの状態のいずれかである場合、Autonomous Databaseは既存の接続を削除し、新しい接続を許可しません。

アクセスできないデータベースは、キー操作後最大15分かかります(Autonomous Databaseは15分間隔でキー・プロバイダをチェックします)。

Autonomous Data Guardが有効なときにAutonomous Databaseで使用されるOracle Cloud Infrastructure Vaultキーを無効にまたは削除すると、Autonomous Data Guardは自動フェイルオーバーを実行しません。

ノート:
Autonomous Data Guardでは、Oracle Cloud Infrastructure Vaultのみがサポートされています。
無効なキーを有効にすると、データベースが自動的に使用可能状態になります。
マスター・キーを削除した場合は、Oracle Cloud Infrastructureコンソールでキー履歴をチェックして、データベースで使用されたキーを検索できます。履歴には、キー名とアクティブ化タイムスタンプが表示されます。履歴リストの古いキーの1つが引き続き使用可能な場合は、データベースがそのキーを使用していた時点にリストアするか、バックアップからクローニングしてそのタイムスタンプを持つ新しいデータベースを作成できます。

詳細については、「Autonomous Databaseでの顧客管理暗号化キーの履歴の表示」を参照してください。

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート

顧客管理暗号化キーの履歴およびバックアップの使用に関する注意事項

顧客管理キーに切り替えると、マスター・キーがローテーション、無効化または削除され、以前に保存したバックアップまたはクローンからデータをリストアするための有効なキーがない場合に、一部のデータベース操作が影響を受ける可能性があります。

過去60日間にローテーションに使用されていない新しいキーを作成し、そのキーをローテーションに使用することをお薦めします。これにより、現在のキーが削除または無効になっている場合に、バックアップに戻ることができます。
60日以内に複数の暗号化キー・ローテーションを実行する場合は、マスター暗号化キー・ローテーション操作ごとに新しいキーを作成するか、過去60日以内に使用されていないキーを指定することをお薦めします。これにより、顧客管理のマスター暗号化キーが無効または削除された場合に、バックアップからのデータのリカバリに使用できるキーを少なくとも1つ保存できます。

詳細については、「Autonomous Databaseでの顧客管理暗号化キーの履歴の表示」を参照してください。

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート

Autonomous Data Guardを使用したOCI Vaultの顧客管理キーに関するノート

Autonomous Data Guardは、キー・プロバイダOracle Cloud Infrastructure Vaultで顧客管理キーを使用する場合でサポートされます。

ノート:

Oracle管理キーを使用している場合、プライマリ・データベースから顧客管理キーにのみ切り替えることができます。同様に、顧客管理キーを使用している場合は、キーのみをローテーションしたり、プライマリ・データベースからOracle管理キーに切り替えることができます。「その他のアクション」の下の「暗号化キーの管理」オプションは、スタンバイ・データベースで無効になっています。

顧客管理キーを持つスタンバイ・データベースでAutonomous Data Guardを使用する場合は、次の点に注意してください:

リモート・スタンバイでプライマリと同じマスター暗号化キーを使用するには、マスター暗号化キーをリモート・リージョンにレプリケートする必要があります。

顧客管理暗号化キーは、単一のクロス・リージョンAutonomous Data Guardスタンバイでのみサポートされます。 Oracle Cloud Infrastructure Vaultは1つのリモート・リージョンへのレプリケーションのみをサポートしているため、複数のクロス・リージョン・スタンバイはサポートされていません。
プライマリ・データベースとスタンバイ・データベースが同じキーを使用します。スタンバイへのスイッチオーバーまたはフェイルオーバーが発生した場合は、同じキーを引き続き使用できます。
プライマリ・データベースで顧客管理キーをローテーションすると、スタンバイ・データベースに反映されます。
顧客管理キーからOracle管理キーに切り替えると、変更がスタンバイ・データベースに反映されます。
Oracle Cloud Infrastructure Vaultにアクセスできない場合、データベースがINACCESSIBLE状態になるまでに2時間の猶予期間があります。この2時間の猶予期間中または期間後にフェイルオーバーを実行できます。
Autonomous Data Guardが有効な間にAutonomous Databaseが顧客管理キーで使用しているOracle Cloud Infrastructureマスター暗号化キーを無効化または削除すると、Autonomous Data Guardは自動フェイルオーバーを実行しません。
クロス・テナンシAutonomous Data Guardでは、顧客管理暗号化キーはサポートされていません。

詳細は、次を参照してください:

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート

クローニングを使用した顧客管理の暗号化キーに関するノート

Autonomous Databaseは、リフレッシュ可能なクローンでの顧客管理の暗号化キーの使用をサポートしていません。

顧客管理の暗号化キーを使用するソース・データベースからリフレッシュ可能なクローンを作成することはできません。また、リフレッシュ可能なクローンが1つ以上あるソース・データベースの顧客管理の暗号化キーに切り替えることはできません。

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート

リモート・テナンシのVaultを使用した顧客管理キーに関するノート

リモート・テナンシのVaultで顧客管理マスター暗号化キーを使用するには、次の点に注意してください:

リモート・テナンシのVaultで顧客管理のマスター暗号化キーを使用する場合は、VaultとAutonomous Databaseインスタンスが同じリージョンに存在する必要があります。テナンシを変更するには、サインオン・ページで「テナンシの変更」をクリックします。テナンシを変更した後、VaultとAutonomous Databaseインスタンスの両方に同じリージョンを選択してください。

親トピック: Autonomous Databaseでの顧客管理キーの使用に関するノート