暗号化キーの管理
この記事では、暗号化鍵と暗号化鍵について詳しく説明します。
Oracle Base Database Serviceは、Transparent Data Encryption (TDE)を使用して、表および表領域に格納されているデータを暗号化します。
- 透過的データ暗号化
- ベース・データベース・サービスは、TDEを使用して、ユーザー作成のすべての表領域を暗号化および復号化します。
- 暗号化キー
- 独自の暗号化キー(顧客管理キー)を使用してデータベースを暗号化するか、Oracle管理キーを使用するかを選択できます。 デフォルトでは、ベース・データベース・サービスはOracle管理キーを使用します。 顧客管理キーは、データベース・ホストの外部にあるOCI Vaultに格納されます。
- OCI Vaultキー
- OCI Vaultでは、暗号化キーは、暗号化および復号化に使用される1つ以上のキー・バージョンを含む論理エンティティです。 これらのキー・バージョンは、OCI Vaultによって自動生成することも、外部ソース(Bring-Your-Own-Key)からインポートすることもできます。
詳細は、「Transparent Data Encryptionの概要」および「OCI Vaultキー管理」を参照してください。
必要なIAMポリシー
独自の暗号化キーを使用してデータベースを暗号化する場合は、動的グループを作成し、顧客管理の暗号化キーのグループに特定のポリシーを割り当てる必要があります。 「共通ポリシー」の「動的グループの管理」および「セキュリティ管理者がボールト、キーおよびシークレットを管理できるようにします」トピックを参照してください。
関連トピック
一般情報
新しいDBシステムの作成時に、コンテナ・データベースとプラガブル・データベースの両方にキーが割り当てられます。
キー・バージョンが指定されている場合は、コンテナ・データベースにのみ使用され、プラガブル・データベースには使用されません。 プラガブル・データベースには、自動的に生成された新しいキー・バージョンが割り当てられます。 作成中に特定のキー・バージョンをプラガブル・データベースに割り当てることはできません。
プラガブル・データベースは、常にコンテナ・データベースと同じキーを使用しますが、同じキー・バージョンまたは異なるキー・バージョンを使用します。
選択したキーの最新バージョンを含む任意のキー・バージョンを指定できます。
デフォルトでは、データベースはOracle管理キーを使用して構成されます。 ただし、顧客管理キーを使用して構成することを選択できます。
暗号化キーのローテーション
暗号化キーのローテーション操作によって、同じキーの新しいキー・バージョンが生成されます。
任意の数のキー交代勤務を実行できます。 キーを定期的にローテーションすると、1つのキー・バージョンによって暗号化または署名されるデータの量が制限されます。 リタイアされたキーの履歴も保持されるため、キーをローテーションでき、以前のキーで暗号化されたデータを復号化できます。
コンテナ・データベース・レベルおよびプラガブル・データベース・レベルでのローテーション・キーは、互いに独立して機能します。 コンテナ・データベースでのキーのローテーション操作では、プラガブル・データベースのキーはローテーションされません。 同様に、1つのプラガブル・データベースのキーをローテーションしても、他のプラガブル・データベースまたはそのコンテナ・データベースのキーはローテーションされません。
最新バージョンを確実に使用するには、Vaultサービスのコンソールページではなく、OCIコンソールのデータベース詳細ページからキーをローテーションします。
ノート:
暗号化キーのローテーションは、Oracle管理暗号化を使用するデータベースでは使用できません。OCIコンソールを使用して暗号化キーをローテーションするには、「データベースの暗号化キーのローテーション」および「プラガブル・データベースの暗号化キーのローテーション」を参照してください。
キー・バージョンの割当
コンテナ・データベースとプラガブル・データベースの両方に新しいキー・バージョンを作成して割り当てることができます。 キー・バージョンのみ変更できます。 キーは変更できません。
OCIコンソールを使用してキー・バージョンを割り当てるには、「データベースの新規キー・バージョンの割当て」および「プラガブル・データベースの新しいキー・バージョンの割当て」を参照してください。
キー管理の変更
既存のデータベースのOracle管理キーから顧客管理キーに切り替えることができます。 ただし、顧客管理キーからOracle管理キーへの切替えはサポートされていません。
コンテナ・データベースのキーが変更されると、プラガブル・データベースにも自動的に適用されます。 プラガブル・データベースのキーは個別に変更できません。 プラガブル・データベースは、常にコンテナ・データベースと同じキーを使用しますが、同じキー・バージョンまたは異なるキー・バージョンを使用できます。
顧客管理キーに切り替える場合、コンテナ・データベースとそのすべてのプラガブル・データベースがオープンし、すべての表領域が読取り/書込みモードである必要があります。
OCIコンソールを使用してキー管理タイプを変更するには、「データベースのキー管理タイプの変更」を参照してください。
プラガブル・データベースのクローニング、リモート・クローンおよび再配置
クローニングされたデータベースは、顧客管理暗号化キーを使用するDBシステムのクローニング時に、ソース・データベースと同じキー・バージョンを使用します。
ソース・データベースとターゲット・データベースでは同じキーを使用する必要がありますが、異なるキー・バージョンを持つことができます。 ソース・データベースとターゲット・データベースで異なるキーが使用されている場合、リモート・クローニングまたは再配置操作は失敗します。
キーは、リモート・クローニングおよび再配置操作後にターゲット・キー・ボールトでローテーションされます。 そのため、ターゲット・データベース内のリモート・クローニングまたは再配置されたプラガブル・データベースに対して新しいキー・バージョンが生成されます。