機械翻訳について

リモート・テナンシにある顧客管理暗号化キーの使用

リモート・テナンシのVaultから顧客管理のマスター暗号化キーを選択するステップを示します。

リモート・テナンシのVaultで顧客管理マスター暗号化キーを使用する場合、VaultとAutonomous AI Databaseインスタンスは同じリージョンにある必要があります。 テナンシを変更するには、サインオン・ページで「テナンシの変更」をクリックします。 テナンシを変更したら、必ずVaultインスタンスとAutonomous AI Databaseインスタンスの両方に同じリージョンを選択してください。

  1. 必要な顧客管理の暗号化キーの前提条件ステップを実行します。 詳細は、OCI VaultのAutonomous AI Databaseで顧客管理暗号化キーを使用するための前提条件を参照してください。
  2. 「詳細」ページで、「その他のアクション」ドロップダウン・リストから「暗号化キーの管理」を選択します。
  3. 「暗号化キーの管理」ページで、「顧客管理キーを使用した暗号化」オプションを選択します。

    すでに顧客管理キーを使用していてTDEキーをローテーションする場合は、次のステップに従って、同じボールトOCIDで別のキーOCIDを使用するか、新しいボールトOCIDと新しいキーOCIDを使用します。 これにより、現在のマスター暗号化キーとは異なるキーを使用できます。

  4. 「キー・タイプ」で、Oracleを選択します。
  5. 「キーのロケーション」で、「異なるテナンシ」をクリックします。
  6. リモート・テナンシ・ボールトOCIDを入力します。
  7. リモート・テナンシ・マスター暗号化キーOCIDを入力します。
  8. 「保存」をクリックします。

「ライフサイクルの状態」「更新中」に変わります。 リクエストが完了すると、「ライフサイクルの状態」「使用可能」と表示されます。

リクエストが完了すると、Oracle Cloud Infrastructureコンソールで、Autonomous Database情報ページに「暗号化」という見出しの下に表示されます。 この領域には、マスター暗号化キーへのリンクを含む「暗号化キー」フィールドと、マスター暗号化キーOCIDを持つ「暗号化キーOCID」フィールドが表示されます。

  • Vaultサービスでの独自のキーの取得(BYOK)の使用
    OCI Vaultサービスを使用して顧客管理キーを作成する場合は、Vaultサービスでキー・マテリアルを内部的に生成するかわりに、独自のキー・マテリアル(Bring Your Own KeyまたはBYOK)をインポートすることもできます。

親トピック: OCI Vaultでのマスター暗号化キーの管理

Vault Serviceでのキー持込み(BYOK)の使用

OCI Vaultサービスを使用して顧客管理キーを作成する場合、Vaultサービスでキー・マテリアルを内部的に生成するかわりに、独自のキー・マテリアル(Bring Your Own KeyまたはBYOK)をインポートすることもできます。

独自のキーをVaultサービスに取り込む前に、多数の準備構成タスクを実行してボールトを作成し、マスター暗号化キーをインポートしてから、そのボールトとそのキーをAutonomous Databaseで使用できるようにする必要があります。具体的には:
  1. 新しいボールトを作成するにはの手順に従って、Vaultサービスにボールトを作成します。
    ボールトの作成後、新しいマスター暗号化キーを作成するにはの手順に従って、ボールトに少なくとも1つのマスター暗号化キーを作成できます。 顧客暗号化キーを既存のボールトにインポートすることもできます。 これらの手順に従うときは、次の選択を行います:
    • コンパートメントで作成: Oracleでは、ボールトと同じコンパートメント(つまり、顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメント)にマスター暗号化キーを作成することをお薦めします。
    • 保護モード : ドロップダウン・リストから適切な値を選択します:
      • HSM ハードウェア・セキュリティ・モジュール(HSM)に格納および処理されるマスター暗号化キーを作成します。
      • 「ソフトウェア」: Vaultサービスのソフトウェア・ファイル・システムに格納されているマスター暗号化キーを作成します。 ソフトウェア保護キーは、HSMベースのルート・キーを使用して保存時に保護されます。 ソフトウェア・キーは、他のキー管理デバイスまたは別のOCIクラウド・リージョンにエクスポートできます。 HSMキーとは異なり、ソフトウェアで保護されたキーは無料です。
    • キー・シェイプ・アルゴリズム: AES
    • キー・シェイプの長さ: 256ビット
    • 外部キーのインポート: 顧客暗号化キー(BYOK)を使用するには、外部キーのインポートを選択し、次の詳細を指定します:
      • ラッピング・キー情報 このセクションは読取り専用ですが、公開ラッピング・キーの詳細を表示できます。
      • ラッピング・アルゴリズム ドロップダウン・リストからラッピング・アルゴリズムを選択します。
      • 外部キーのデータ・ソース ラップされたRSAキー資料を含むファイルをアップロードします。

    ノート:

    キー・マテリアルを新しい外部キー・バージョンとしてインポートするか、既存のマスター暗号化キーの名前をクリックして新しいキー・バージョンにローテーションできます。
  2. IAMサービスを使用して動的グループを作成し、作成したマスター暗号化キーへのAutonomous AI Databaseインスタンス・アクセス権を付与するポリシーを定義します。

詳細は、キー・マテリアルの外部キー・バージョンとしてのインポートを参照してください。

親トピック: リモート・テナンシにある顧客管理の暗号化キーの使用