Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultのこのリリースでは、大規模な企業でOracle Key Vaultの使用を強化する新機能が導入されています。

• Oracle Key Vaultリリース21.11での変更点
  Oracle Key Vaultリリース21.11には、1つの新機能が導入されています。
• Oracle Key Vaultリリース21.10での変更点
  Oracle Key Vaultリリース21.10では、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.6での変更点
  Oracle Key Vaultリリース21.6には、このガイドに影響する新機能が導入されています。
• Oracle Key Vaultリリース21.4での変更点
  Oracle Key Vaultリリース21.4には、このガイドに影響する新機能が導入されています。
• Oracle Key Vaultリリース21.2での変更点
  Oracle Key Vaultリリース21.2では、インストールおよびアップグレード操作に関連する新機能が導入されています。

Oracle Key Vaultリリース21.11での変更点

Oracle Key Vaultリリース21.11には、1つの新機能が導入されています。

• アップグレード前のチェックの強化
  Oracle Key Vaultリリース21.11以降では、アップグレード前のチェックが強化され、診断ユーティリティの状態もチェックされるようになりました。

アップグレード前のチェックの強化

Oracle Key Vaultリリース21.11以降では、アップグレード前のチェックが強化され、診断ユーティリティの状態もチェックされるようになりました。

診断ユーティリティがすでにインストールされている場合は、アップグレード・プロセスが停止し、診断ユーティリティをアンインストールする必要があるという警告が表示されます。このプロセスには、診断ユーティリティをアンインストールする方法に関するステップも表示されます。

アップグレード前のチェック完了後にアップグレードを続行しないことを選択できるようになりました。また、これを使用して、スケジュールされたアップグレードの前に、アップグレードするサーバーの準備状況を判断できます。

Oracle Key Vaultリリース21.10での変更点

Oracle Key Vaultリリース21.10では、いくつかの新機能が導入されています。

• 構成可能なOracle Key Vaultのポート
  Oracle Key Vaultリリース21.10以降、読取り/書込みピア間の通信およびSSHを使用したOracle Key Vaultへのリモート接続に使用されるポートを構成できるようになりました。

構成可能なOracle Key Vaultのポート

Oracle Key Vaultリリース21.10以降、読取り/書込みピア間の通信およびSSHを使用したOracle Key Vaultへのリモート接続に使用されるポートを構成できるようになりました。

Oracle Key Vaultでは、読取り/書込みピア間の通信にポート1522を使用します。ポート22で実行されているSSHサービスを使用すると、Oracle Key Vaultをリモートで管理できます。特定のデプロイメントでは、これらのデフォルト・ポートでイングレスまたはエグレス・トラフィックを許可するようにネットワークを構成できない場合があります。クラスタ操作および管理メンテナンスのために、これらのポートをデフォルト以外の値に構成できるようになりました。

Oracle Key Vaultリリース21.6での変更点

Oracle Key Vaultリリース21.6には、このガイドに影響する新機能が導入されています。

• Oracle Key Vault VMをクローニングする機能
  Oracle Key Vaultリリース21.6以降では、Oracle Key Vault VMゲストの新規インストールをテンプレートとして格納でき、VMプラットフォームのクローニング機能を使用してOracle Key Vaultクラスタ・ノードをクローニングできます。
• Oracle Key Vaultオペレーティング・システムのOracle Linux 8へのアップグレード
  Oracle Key Vaultリリース21.6では、埋込みオペレーティング・システムがOracle Linux 8にアップグレードされます。

Oracle Key Vault VMをクローニングする機能

Oracle Key Vaultリリース21.6以降では、Oracle Key Vault VMゲストの新規インストールをテンプレートとして格納でき、VMプラットフォームのクローニング機能を使用してOracle Key Vaultクラスタ・ノードをクローニングできます。

Oracle Key Vaultクラスタでは、クローニングされたテンプレートを使用して、システム管理者は、個々のクラスタ・ノードの完全インストールの実行と比較して、プロビジョニング時間を大幅に短縮できます。

Oracle Key Vaultは、基礎となる仮想化プラットフォームのクローニング機能をサポートしています。これにより、個々のクラスタ・ノードごとに完全なインストール・プロセスを実行する必要がなくなります。インストールの完了後、インストール後のタスクを実行する前に、Oracle Key Vaultシステム(VMとしてインストール済)をクローニングできます。クローンは、初めて起動されると、システム固有の構成を再生成する一連の手順を実行して、このクローンを一意にします(その他すべてのクローンとは別になります)。仮想化プラットフォームによって提供される(リモート)クローニング機能では、Oracle Key Vaultテンプレート(このOracle Key Vaultが一意になる前に停止されたOracle Key Vaultインストール)からクローニングできます。これによりすべてのシステム固有の構成が再生成されます。クローンは、残りのインストール手順を完了することによって一意になります。

Oracle Key Vaultオペレーティング・システムのOracle Linux 8へのアップグレード

Oracle Key Vaultリリース21.6では、埋込みオペレーティング・システムがOracle Linux 8にアップグレードされます。

Oracle Key Vaultのアップグレードを試行する前に、Oracle Key Vaultサーバー(専用ハードウェアへのインストール用)がOracle Linux 8と互換性があることをベンダーに確認してください。

Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultリリース21.4には、このガイドに影響する新機能が導入されています。

• Oracle Key Vaultからの対称暗号化キーの抽出を制御する機能
  Oracle Key Vaultリリース21.4以降では、対称暗号化キーの保護を強化するために、これらのキーがOracle Key Vaultクラスタ境界から離れることを制限できるようになりました。
• Oracle Key Vaultの管理ロールの付与を制限する機能
  Oracle Key Vaultリリース21.4以降、Oracle Key Vaultの管理ロールの権限受領者が他のOracle Key Vaultユーザーにそのロールを付与できるかどうかを制御できます。

Oracle Key Vaultからの対称暗号化キーの抽出を制御する機能

Oracle Key Vaultリリース21.4以降では、対称暗号化キーの保護を強化するために、これらのキーがOracle Key Vaultクラスタ境界から離れることを制限できるようになりました。

この制限は、対称キーのキー・マテリアルに適用されますが、そのメタデータには適用されません。たとえば、透過的データベース暗号化(TDE)マスター暗号化キーはOracle Key Vaultに格納されます。エンドポイントでキーを復号化する必要がある場合、PKCS#11ライブラリは、Oracle Key VaultからTDEマスター暗号化キーをフェッチして復号化を実行します。対称キーがOracle Key Vaultから離れないことがサイトで必要とされる場合は、操作中にこれらのキーがOracle Key Vault内にとどまるように構成できます。この場合、PKCS#11ライブラリは、暗号化されたデータ暗号化キーをOracle Key Vaultに送信します。続いて、Oracle Key Vault内で復号化が実行され、その後、平文のデータ暗号化キーがPKCS#11ライブラリに返されます。TDEマスター暗号化キーがOracle Key Vaultから離れることを制限されている場合、つまり、それをOracle Key Vaultから抽出できない場合、Oracle Key VaultのPKCS#11ライブラリは、Oracle Key Vault内で暗号化および復号化操作を実行します。

Oracle Key Vaultから対称暗号化キーを取得(抽出)できるかどうかを制御するには、Oracle Key Vault管理コンソール、RESTfulサービス・ユーティリティ・コマンド、C SDK APIおよびJava SDK APIを使用できます。

この機能拡張に対応するために、次のOracle Key Vault RESTfulサービス・ユーティリティ・コマンドが更新されました。

• okv managed-object attribute get
• okv managed-object attribute get-all
• okv managed-object attribute list
• okv managed-object attribute modify
• okv managed-object key create
• okv managed-object key register
• okv managed-object object locate

抽出可能属性を管理するためのC SDKの新しいAPI:

• okvAttrAddExtractable
• okvAttrAddNeverExtractable
• okvAttrGetExtractable
• okvAttrGetNeverExtractable

抽出可能属性を管理するためのJava SDKの新しいAPI:

• okvAttrAddExtractable
• okvAttrAddNeverExtractable
• okvAttrGetExtractable
• okvAttrGetNeverExtractable

Oracle Key Vaultの管理ロールの付与を制限する機能

Oracle Key Vaultリリース21.4以降、Oracle Key Vaultの管理ロールの権限受領者が他のOracle Key Vaultユーザーにそのロールを付与できるかどうかを制御できます。

以前のリリースでは、Oracle Key Vaultの管理ロール(システム管理者、キー管理者および監査マネージャ)を、そのロールを現在持っているユーザーが別のOracle Key Vaultユーザーに付与できました。このリリース以降、管理者がそのロールを別のユーザーに付与するときに、管理者は、権限受領ユーザーがさらにそのロールを他のユーザーに付与する方法を制限できます。この機能拡張により、全体的なユーザー・セキュリティが向上するとともに、最小権限に関する適切な手法に従うことができます。

Oracle Key Vaultリリース21.2での変更点

Oracle Key Vaultリリース21.2では、インストールおよびアップグレード操作に関連する新機能が導入されています。

• Oracle Key Vault管理コンソールの変更点
  Oracle Key Vaultリリース21.2では、Oracle Key Vault管理コンソールのユーザー・インタフェースに小さな変更があります。

Oracle Key Vault管理コンソールの変更点

Oracle Key Vaultリリース21.2では、Oracle Key Vault管理コンソールのユーザー・インタフェースに小さな変更があります。

これらの変更は、用語の変更、現在のリリースへの更新および利便性向上のための拡張によるものです。インタフェース全体に大きな変更はありません。