機械翻訳について

OCI VaultのAutonomous AI Databaseで顧客管理暗号化キーを使用するための前提条件

OCI VaultのAutonomous AI Databaseで顧客管理キーを使用するには、次の前提条件ステップを実行します:

  1. Oracle Cloud Infrastructure Vaultを作成します。
    1. ナビゲーション・アイコンnextをクリックしてOracle CloudにOracle Cloud Infrastructureコンソールを開きます。
    2. Oracle Cloud Infrastructure左側のナビゲーション・メニューから、「アイデンティティとセキュリティ」をクリックします。
    3. 「キー管理&シークレット管理」で、「ボールト」をクリックします。
    4. 既存のボールトを選択するか、新しいボールトを作成します。

      詳細は、「Vaultの作成」を参照してください。

  2. Vaultにマスター暗号化キーを作成します。

    ノート:

    キーを作成するときは、次のオプションを使用する必要があります:

    • キー・シェイプ: アルゴリズム: AES (暗号化および復号化に使用される対称キー)

    • キー・シェイプ: 長さ: 256ビット

    詳細は、「マスター暗号化キーの作成」および「キー管理の概要」を参照してください。

  3. 動的グループの動的グループおよびポリシー・ステートメントを作成して、Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にします。
    このステップは、ボールトがAutonomous AI Databaseインスタンスと同じテナンシにあるか、別のテナンシにあるかによって異なります:

リモート・スタンバイ・データベースでAutonomous Data Guardを使用して顧客管理の暗号化キーを使用するには、ボールトおよびキーをレプリケートする必要があります。 顧客管理暗号化キーは、単一のクロス・リージョンAutonomous Data Guardスタンバイでのみサポートされます。 Oracle Cloud Infrastructure Vaultは1つのリモート・リージョンへのレプリケーションのみをサポートしているため、複数のクロス・リージョン・スタンバイはサポートされていません。

詳細は、次を参照してください:

親トピック: OCI Vaultでのマスター暗号化キーの管理

データベースと同じテナンシ内のVaultを使用した顧客管理キーの動的グループおよびポリシーの作成

動的グループおよびポリシーを作成して、ボールトおよびキーがAutonomous AI Databaseインスタンスと同じテナンシにある場合に、顧客管理キーのボールトおよびキーへのアクセスを提供します。

  1. 動的グループを作成して、マスター暗号化キーをAutonomous AI Databaseインスタンスからアクセスできるようにします。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティ&セキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。
    3. 「アイデンティティ・ドメイン」の下で、「動的グループ」をクリックします。
    4. 「動的グループの作成」をクリックし、「名前」「説明」およびルールを入力します。

      • 既存のデータベースの動的グループの作成:

        Autonomous AI Databaseインスタンスが動的グループの一部であることを指定できます。 次の例の動的グループには、resource.idパラメータにOCIDが指定されているAutonomous AI Databaseのみが含まれます: 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • まだプロビジョニングされていないデータベースの動的グループを作成します:

        Autonomous AI Databaseインスタンスをプロビジョニングまたはクローニングする前に動的グループを作成している場合、新しいデータベースのOCIDはまだ使用できません。 この場合、特定のコンパートメント内のリソースを指定する動的グループを作成します: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. 「作成」をクリックします。
  2. 動的グループのポリシー・ステートメントを記述して、Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にします。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティ&セキュリティ」をクリックし、「ポリシー」をクリックします。
    2. 動的グループのポリシーを記述するには、「ポリシーの作成」をクリックし、「名前」および「説明」を入力します。
    3. 「ポリシー・ビルダー」を使用して、ローカル・テナンシ内のボールトおよびキーのポリシーを作成します。

      たとえば、動的グループDGKeyCustomer1のメンバーは、trainingという名前のコンパートメント内のボールトおよびキーにアクセスできます: 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      このサンプル・ポリシーは、単一のコンパートメントに適用されます。 ポリシーがテナンシ、コンパートメント、リソースまたはリソースのグループに適用されることを指定できます。

      リモート・スタンバイでAutonomous Data Guardで顧客管理キーを使用するには、次のポリシーも必要です: 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. 「作成」をクリックしてポリシーを保存します。

親トピック: OCI VaultのAutonomous AI Databaseで顧客管理暗号化キーを使用するための前提条件

データベースとは異なるテナンシのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成

Autonomous AI Databaseインスタンスとボールトおよびキーが異なるテナンシにある場合に顧客管理キーを使用するには、次のステップを実行します。

この場合、顧客管理キーを変更するときにOCID値を指定する必要があります。 また、Autonomous AI Databaseインスタンスが別のテナンシでボールトおよびキーを使用できるようにする動的グループおよびポリシーを定義する必要があります。

  1. マスター暗号化キーOCIDをコピーします。
  2. ボールトOCIDをコピーします。
  3. テナンシOCID (ボールトとキーを含むリモート・テナンシ)をコピーします。
  4. Autonomous AI Databaseインスタンスを含むテナンシで、動的グループを作成します。
    1. Oracle Cloud Infrastructureコンソールで、Autonomous AI Databaseインスタンスがあるテナンシで、「アイデンティティとセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。
    3. 「アイデンティティ・ドメイン」の下で、「動的グループ」をクリックします。
    4. 「動的グループの作成」をクリックし、「名前」「説明」およびルールを入力します。

      • 既存のデータベースの動的グループの作成:

        Autonomous AI Databaseインスタンスが動的グループの一部であることを指定できます。 次の例の動的グループには、resource.idパラメータにOCIDが指定されているAutonomous AI Databaseのみが含まれます: 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • まだプロビジョニングされていないデータベースの動的グループを作成します:

        Autonomous AI Databaseインスタンスをプロビジョニングまたはクローニングする前に動的グループを作成している場合、新しいデータベースのOCIDはまだ使用できません。 この場合、特定のコンパートメント内のリソースを指定する動的グループを作成します: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. 「作成」をクリックします。
  5. Autonomous AI Databaseインスタンスがあるテナンシで、ボールトおよびキー(ボールトおよびキーが異なるテナンシにある)へのアクセスを許可するポリシーを定義します。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティ&セキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ポリシー」をクリックします。
    3. ポリシーを記述するには、「ポリシーの作成」をクリックします。
    4. 「ポリシーの作成」ページで、名前と説明を入力します。
    5. 「ポリシーの作成」ページで「手動エディタの表示」を選択します。
    6. ポリシー・ビルダーで、Autonomous AI Databaseインスタンスが別のテナンシにあるボールトおよびキーにアクセスできるようにポリシーを追加します。 また、IAMユーザーが属するIAMグループのポリシーを追加して、Autonomous AI DatabaseインスタンスのOracle Cloud Infrastructureコンソールに、別のテナンシに存在するキーの詳細を表示できるようにします。

      たとえば、汎用ポリシーで、Autonomous AI DatabaseインスタンスTenancy-1と、ボールトとキーを持つテナンシTenancy-2を使用してテナンシをコールします:

      次のポリシーをコピーし、変数と名前を、定義した値に置き換えます。動的グループ名ADB-DynamicGroupは、ステップ4で作成した動的グループです: 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      たとえば、動的グループDGKeyCustomer1のメンバーは、training2という名前のテナンシのリモート・ボールトおよびキーにアクセスできます: 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. 「作成」をクリックしてポリシーを保存します。
  6. テナンシOCID (Autonomous AI Databaseインスタンスを含むテナンシ)をコピーします。
  7. 動的グループOCID (ステップ4で作成した動的グループ)をコピーします。
  8. ボールトおよびキーがあるリモート・テナンシで、Autonomous AI Databaseインスタンスがボールトおよびキーにアクセスできるようにする動的グループおよびポリシーを定義します。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティ&セキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ポリシー」をクリックします。
    3. ポリシーを作成するには、「ポリシーの作成」をクリックします。
    4. 「ポリシーの作成」ページで、名前と説明を入力します。
    5. 「ポリシーの作成」ページで「手動エディタの表示」を選択します。
    6. ポリシー・ビルダーで、Autonomous AI Databaseインスタンス(テナンシ-1)を使用してテナンシの動的グループにアクセスできるように、ポリシーおよび動的グループを追加して、Autonomous AI Databaseインスタンスがテナンシ-2のボールトおよびキーを使用できるようにします。 また、ユーザー・グループがボールトにアクセスできるようにするポリシーと、別のテナンシのAutonomous AI DatabaseインスタンスのOracle Cloud Infrastructureコンソールに情報を表示するためのキーを追加する必要があります。

      「ポリシー・ビルダー」を使用して、動的グループおよびボールトとキーのポリシーを作成します。 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      たとえば、動的グループDGKeyCustomer1およびグループREMGROUPのメンバーがtraining2という名前のテナンシのリモート・ボールトおよびキーにアクセスできるように、リモート・テナンシで次を定義します: 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. 「作成」をクリックしてポリシーを保存します。

親トピック: OCI VaultのAutonomous AI Databaseで顧客管理暗号化キーを使用するための前提条件