機械翻訳について

OCI VaultのAutonomous Databaseで顧客管理暗号化キーを使用するための前提条件

OCI VaultでAutonomous Databaseで顧客管理キーを使用するには、次の前提条件ステップを実行します:

1. Oracle Cloud Infrastructure Vaultを作成します。
   1. nextをクリックしてOracle CloudにOracle Cloud Infrastructureコンソールを開きます。
   2. Oracle Cloud Infrastructure左側のナビゲーション・メニューから、「アイデンティティとセキュリティ」をクリックします。
   3. 「キー管理&シークレット管理」で、「ボールト」をクリックします。
   4. 既存のボールトを選択するか、新しいボールトを作成します。

      詳細は、「Vaultの作成」を参照してください。

2. Vaultにマスター暗号化キーを作成します。

   ノート:

   キーを作成するときは、次のオプションを使用する必要があります:

   • キー・シェイプ: アルゴリズム: AES (暗号化および復号化に使用される対称キー)

   • キー・シェイプ: 長さ: 256ビット

   詳細は、「マスター暗号化キーの作成」および「キー管理の概要」を参照してください。

   
   「図adb_security_vault_key.pngの説明」
3. 動的グループの動的グループおよびポリシー・ステートメントを作成して、Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にします。
   このステップは、ボールトがAutonomous Databaseインスタンスと同じテナンシか別のテナンシかによって異なります:

   • Vaultとキーは、Autonomous Databaseインスタンスと同じテナンシにあります。 詳細については、「データベースと同じテナンシ内のVaultを使用した顧客管理キーの動的グループおよびポリシーの作成」を参照してください。

   • Vaultとキーは別のテナンシにあります。 詳細については、「データベースとは異なるテナンシのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成」を参照してください。

リモート・スタンバイ・データベースでAutonomous Data Guardを使用して顧客管理の暗号化キーを使用するには、ボールトおよびキーをレプリケートする必要があります。 顧客管理暗号化キーは、単一のクロス・リージョンAutonomous Data Guardスタンバイでのみサポートされます。 Oracle Cloud Infrastructure Vaultは1つのリモート・リージョンへのレプリケーションのみをサポートしているため、複数のクロス・リージョン・スタンバイはサポートされていません。

詳細は、次を参照してください:

• Vaultとそのキーをレプリケートするには

• 顧客管理キーを使用したAutonomous Data Guard

• Vaultがデータベースと同じテナンシにある顧客管理キーの動的グループおよびポリシーの作成
  ボールトおよびキーがAutonomous Databaseインスタンスと同じテナンシ内にある場合に、顧客管理キーのボールトおよびキーへのアクセスを提供する動的グループおよびポリシーを作成します。
• データベースとは異なるテナンシのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成
  Autonomous Databaseインスタンスとボールトおよびキーが異なるテナンシにある場合に、顧客管理キーを使用するには、次のステップを実行します。

データベースと同じテナンシ内のVaultを使用した顧客管理キーの動的グループおよびポリシーの作成

ボールトおよびキーがAutonomous Databaseインスタンスと同じテナンシ内にある場合に、顧客管理キーのボールトおよびキーへのアクセスを提供する動的グループおよびポリシーを作成します。

1. 動的グループを作成して、Autonomous Databaseインスタンスからマスター暗号化キーにアクセスできるようにします。
   1. Oracle Cloud Infrastructureコンソールで、「アイデンティティ&セキュリティ」をクリックします。
   2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。
   3. 「アイデンティティ・ドメイン」の下で、「動的グループ」をクリックします。
   4. 「動的グループの作成」をクリックし、「名前」、「説明」およびルールを入力します。

      • 既存のデータベースの動的グループの作成:

        Autonomous Databaseインスタンスが動的グループの一部であることを指定できます。 次の例の動的グループには、OCIDがresource.idパラメータで指定されているAutonomous Databaseのみが含まれます:

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • まだプロビジョニングされていないデータベースの動的グループを作成します:

        Autonomous Databaseインスタンスをプロビジョニングまたはクローニングする前に動的グループを作成している場合、新規データベースのOCIDはまだ使用できません。 この場合、特定のコンパートメント内のリソースを指定する動的グループを作成します:

        resource.compartment.id = '<your_Compartment_OCID>'

   5. 「作成」をクリックします。
2. 動的グループのポリシー・ステートメントを記述して、Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にします。
   1. Oracle Cloud Infrastructureコンソールで、「アイデンティティ&セキュリティ」をクリックし、「ポリシー」をクリックします。
   2. 動的グループのポリシーを記述するには、「ポリシーの作成」をクリックし、「名前」および「説明」を入力します。
   3. 「ポリシー・ビルダー」を使用して、ローカル・テナンシ内のボールトおよびキーのポリシーを作成します。

      たとえば、動的グループDGKeyCustomer1のメンバーは、trainingという名前のコンパートメント内のボールトおよびキーにアクセスできます:

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
      Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      このサンプル・ポリシーは、単一のコンパートメントに適用されます。 ポリシーがテナンシ、コンパートメント、リソースまたはリソースのグループに適用されることを指定できます。

      リモート・スタンバイでAutonomous Data Guardで顧客管理キーを使用するには、次のポリシーも必要です:

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
      Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training

   4. 「作成」をクリックしてポリシーを保存します。

   詳細は、次を参照してください:

   • ポリシーの管理
   • 顧客管理キーを使用したAutonomous Data Guard
   • ボールトおよびキーのレプリケート

データベースとは異なるテナンシのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成

Autonomous Databaseインスタンスとボールトおよびキーが異なるテナンシにある場合に顧客管理キーを使用するには、次のステップを実行します。

この場合、顧客管理キーを変更するときにOCID値を指定する必要があります。 また、Autonomous Databaseインスタンスが別のテナンシのボールトおよびキーを使用できるようにする動的グループおよびポリシーを定義する必要があります。

1. マスター暗号化キーOCIDをコピーします。
2. ボールトOCIDをコピーします。
3. テナンシOCID (ボールトとキーを含むリモート・テナンシ)をコピーします。
4. Autonomous Databaseインスタンスを含むテナンシで、動的グループを作成します。
   1. Oracle Cloud Infrastructureコンソールで、Autonomous Databaseインスタンスを含むテナンシで、「アイデンティティ&のセキュリティ」をクリックします。
   2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。
   3. 「アイデンティティ・ドメイン」の下で、「動的グループ」をクリックします。
   4. 「動的グループの作成」をクリックし、「名前」、「説明」およびルールを入力します。

      • 既存のデータベースの動的グループの作成:

        Autonomous Databaseインスタンスが動的グループの一部であることを指定できます。 次の例の動的グループには、OCIDがresource.idパラメータで指定されているAutonomous Databaseのみが含まれます:

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • まだプロビジョニングされていないデータベースの動的グループを作成します:

        Autonomous Databaseインスタンスをプロビジョニングまたはクローニングする前に動的グループを作成している場合、新規データベースのOCIDはまだ使用できません。 この場合、特定のコンパートメント内のリソースを指定する動的グループを作成します:

        resource.compartment.id = '<your_Compartment_OCID>'

   5. 「作成」をクリックします。
5. Autonomous Databaseインスタンスを使用するテナンシで、ボールトおよびキー(ボールトとキーが異なるテナンシ上にある)へのアクセスを許可するポリシーを定義します。
   1. Oracle Cloud Infrastructureコンソールで、「アイデンティティ&セキュリティ」をクリックします。
   2. 「アイデンティティ」で、「ポリシー」をクリックします。
   3. ポリシーを記述するには、「ポリシーの作成」をクリックします。
   4. 「ポリシーの作成」ページで、名前と説明を入力します。
   5. 「ポリシーの作成」ページで「手動エディタの表示」を選択します。
      
      「図adb_keys_create_policy_manual.pngの説明」
   6. ポリシー・ビルダーで、Autonomous Databaseインスタンスが異なるテナンシにあるボールトおよびキーにアクセスできるようにポリシーを追加します。 また、IAMユーザーが属するIAMグループのポリシーを追加して、Autonomous DatabaseインスタンスのOracle Cloud Infrastructureコンソールに、別のテナンシに存在するキーの詳細を表示できるようにします。

      たとえば、汎用ポリシーで、Autonomous DatabaseインスタンスTenancy-1およびボールトとキーを持つテナンシTenancy-2を使用してテナンシをコールします:

      次のポリシーをコピーし、変数と名前を、定義した値に置き換えます。動的グループ名ADB-DynamicGroupは、ステップ4で作成した動的グループです:

      define tenancy REMTEN as <ocid of tenancy-2>
      endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
      endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
      endorse group MyUserGroup to use vaults in tenancy REMTEN
      endorse group MyUserGroup to use keys in tenancy REMTEN

      たとえば、動的グループDGKeyCustomer1のメンバーは、training2という名前のテナンシのリモート・ボールトおよびキーにアクセスできます:

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
      endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
      endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
      endorse group MyUserGroup to use vaults in tenancy training2
      endorse group MyUserGroup to use keys in tenancy training2

   7. 「作成」をクリックしてポリシーを保存します。
6. テナンシOCID (Autonomous Databaseインスタンスを含むテナンシ)をコピーします。
7. 動的グループOCID (ステップ4で作成した動的グループ)をコピーします。
8. ボールトおよびキーがあるリモート・テナンシで、Autonomous Databaseインスタンスがボールトおよびキーにアクセスできるように動的グループおよびポリシーを定義します。
   1. Oracle Cloud Infrastructureコンソールで、「アイデンティティ&セキュリティ」をクリックします。
   2. 「アイデンティティ」で、「ポリシー」をクリックします。
   3. ポリシーを作成するには、「ポリシーの作成」をクリックします。
   4. 「ポリシーの作成」ページで、名前と説明を入力します。
   5. 「ポリシーの作成」ページで「手動エディタの表示」を選択します。
   6. ポリシー・ビルダーで、Autonomous DatabaseインスタンスがTenancy-2のボールトおよびキーを使用できるように、Autonomous Databaseインスタンス(Tenancy-1)を使用してテナンシの動的グループへのアクセスを提供するポリシーおよび動的グループを追加します。 また、異なるテナンシのAutonomous DatabaseインスタンスのOracle Cloud Infrastructureコンソールに情報を表示するために、ユーザー・グループがボールトおよびキーにアクセスできるようにするポリシーを追加する必要があります。

      「ポリシー・ビルダー」を使用して、動的グループおよびボールトとキーのポリシーを作成します。

      define tenancy ADBTEN as <ocid of tenancy-1>
      define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
      define group REMGROUP as <group-ocid> 
      admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
      admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
      admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
      admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      たとえば、動的グループDGKeyCustomer1およびグループREMGROUPのメンバーがtraining2という名前のテナンシのリモート・ボールトおよびキーにアクセスできるように、リモート・テナンシで次を定義します:

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
      define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
      define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
      admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
      admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
      admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
      admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

   7. 「作成」をクリックしてポリシーを保存します。