12 Oracle Key Vaultエンドポイントの管理

Oracle Key Vaultのエンドポイントでは、データベース・サーバーやアプリケーション・サーバーと同様に、キーまたはアクセス資格証明を使用した認証が必要です。

12.1 エンドポイントの管理の概要

スタンドアロンおよびマルチマスター・クラスタ構成でエンドポイントを管理する方法と、マルチマスター・クラスタがエンドポイントとどのように連携するかについて学習します。

親トピック: Oracle Key Vaultエンドポイントの管理

12.1.1 エンドポイントの管理について

Oracle Key Vaultサーバーと通信するには、エンドポイントを登録してエンロールする必要があります。

エンドポイントを登録した後、他のエンドポイントからキーにアクセスできるように、キーをOKVにアップロードできます。その後、エンドポイントからキーをダウンロードして、ユーザーが自分のデータにアクセスできるようにできます。システム管理者ロールまたはエンドポイント作成権限を持つユーザーのみがOracle Key Vaultにエンドポイントを追加できます。エンドポイントを追加した後、エンドポイント・マネージャは、エンドポイントでエンドポイント・ソフトウェアをダウンロードしてインストールすることによって、エンドポイントをエンロールできます。その後、エンドポイントでは、エンドポイント・ソフトウェアとともにパッケージ化されたユーティリティを使用して、Oracle Key Vaultとの間でセキュリティ・オブジェクトをアップロードおよびダウンロードできます。

すべてのユーザーが仮想ウォレットを作成できます。ただし、キー管理者ロールを持つユーザーのみが、仮想ウォレット内にあるセキュリティ・オブジェクトへのエンドポイント・アクセス権を付与できます。キー管理者ユーザーは、エンドポイントにどのウォレットへのアクセス権でも付与できます。キー管理者ロールまたはエンドポイント・グループ作成権限を持つユーザーは、仮想ウォレットへの共有アクセスを有効にするエンドポイント・グループも作成できます。ウォレットに対するウォレット管理権限を持つユーザー(エンドポイントを作成したユーザーを含む)は、そのウォレットへのアクセス権をエンドポイントに付与できます。仮想ウォレットへのエンドポイント・グループ・アクセス権を付与すると、すべてのメンバー・エンドポイントがその仮想ウォレットへのアクセス権を持ちます。たとえば、Oracle Real Application Clusters (Oracle RAC)データベースのすべてのノードをエンドポイント・グループに入れることによって、仮想ウォレットへの仮想アクセス権をそれらのノードに付与できます。これにより、仮想ウォレットへのアクセス権を各ノードに付与するステップを省略できます。セキュリティの追加レイヤーとして、キー管理者ユーザーはOracle Key Vaultからの対称キーの抽出機能を有効または無効にできます。

大規模なデプロイメントがある場合は、少なくとも4つのOracle Key Vaultサーバーをインストールし、エンドポイントをエンロールするときにこれら4つのサーバー間でエンドポイントのバランスをとり高可用性を確保することをお薦めします。たとえば、データ・センターに登録するデータベース・エンドポイントが1000個あり、それらに対応するための4つのOracle Key Vaultサーバーがある場合、4つのサーバーそれぞれに250個のエンドポイントをエンロールします。

クラスタ・サブグループを構成した場合は、エンドポイントのクラスタ・サブグループ設定を適切に設定できます。エンドポイントは、自分のクラスタ・サブグループのクラスタ・ノードに優先的に接続します。地理的に分散されたデプロイメントでは、1つのリージョンにデプロイされたクラスタ・ノードをクラスタ・サブグループにデプロイし、このクラスタ・サブグループを同じリージョンのエンドポイントに割り当てることができます。こうすると、新しい接続を確立するときに、エンドポイントがローカル・リージョンのクラスタ・ノードを最初に選択します。

エンドポイントに名前を付ける場合、Oracle Key Vaultのユーザー名は、エンドポイント名として使用できません。

エンドポイント・ホストとOracle Key Vaultサーバーのシステム・クロックが同期していることを確認してください。Oracle Key Vaultサーバーの場合、NTPを設定する必要があります。エンドポイント時間とOracle Key Vaultサーバー時間の間のドリフトにより、エンドポイントのエンロール時に問題が発生する可能性があります。Oracle Key Vaultがエンドポイント証明書を発行すると、エンドポイント証明書の時間がOracle Key Vaultサーバーに設定されます。Oracle Key Vaultサーバーの時間がエンドポイント証明書のエンロール時間より前である場合、エンドポイントのエンロールが問題になります。

ノート:

エンドポイントのエンロールを成功させるために、エンドポイント・ホストとOracle Key Vaultサーバーのシステム時間が同期していることを確認してください。

エンドポイント作成権限またはエンドポイント・グループ作成権限があるユーザーがエンドポイントまたはエンドポイント・グループを作成すると、Oracle Key Vaultによって間接的にそのユーザーにエンドポイント管理権限またはエンドポイント・グループ管理権限が付与されます。

エンドポイントに適用可能な管理ロールおよび権限は次のとおりです:

  • エンドポイント作成: システム管理者ロールまたはエンドポイント作成権限があるユーザーは、Oracle Key Vaultでエンドポイントを作成できます。エンドポイント作成権限があるユーザーには、作成されたすべてのエンドポイントに対するエンドポイント管理権限が自動的に付与されます。
  • エンドポイントの管理: システム管理者ロールを持つユーザーは、すべてのエンドポイントを管理できます。エンドポイント管理権限を持つユーザーは、自分のエンドポイントのみを管理できます。これには、そのユーザーに以前にエンドポイント管理権限が付与されているエンドポイント、またはそのユーザーが作成してそのエンドポイント管理権限を所有し続けているエンドポイントが含まれます。エンドポイント管理には、次の職務が含まれます:
    • エンドポイント・メタデータ(名前、タイプ、プラットフォーム、説明、電子メール通知など)の管理
    • エンドポイント・ライフサイクル(エンドポイントのエンロール、一時停止、再エンロール、ローテーションおよび削除からなる)の管理
  • エンドポイント・グループ作成: キー管理者ロールまたはエンドポイント・グループ作成権限があるユーザーは、Oracle Key Vaultでエンドポイント・グループを作成できます。エンドポイント・グループ作成権限があるユーザーには、作成されたエンドポイント・グループに対するエンドポイント・グループ管理権限が自動的に付与されます。
  • エンドポイント・グループの管理: キー管理者ロールを持つユーザーは、任意のエンドポイント・グループを管理できます。エンドポイント・グループ管理権限を持つユーザーは、自分のエンドポイント・グループのみを管理できます。ユーザーが管理できるエンドポイント・グループとしては、そのユーザーにエンドポイント・グループ管理権限が明示的に付与されているエンドポイント・グループ、またはそのユーザーが作成してそのエンドポイント・グループ管理権限を所有し続けているエンドポイント・グループがあります。エンドポイント管理には、次の職務が含まれます:
    • エンドポイント・グループの作成、変更および削除で構成される、エンドポイント・グループ・ライフサイクルの管理
    • セキュリティ・オブジェクトのライフサイクル(セキュリティ・オブジェクトの作成、変更および削除で構成され)の管理

関連トピック

親トピック: エンドポイントの管理の概要

12.1.2 マルチマスター・クラスタによるエンドポイントへの影響

マルチマスター・クラスタによるエンドポイントへの影響については、エンドポイントの接続方法と制限の両方に注意してください。

マルチマスター構成では、OKVへの接続試行中に次の処理がエンドポイントで実行されます:

  • 最初に、エンドポイントは、サーバーIPのリストを構成ファイル(okvclient.ora)から取得します。
  • 次に、エンドポイントは、優先的にそのエンドポイントと同じクラスタ・サブグループ内からランダムに1つを選択します。

マルチマスター・クラスタでのエンドポイントの動作方法に適用される次の制限事項に注意してください:

  • エンドポイントをエンロールできるのは、エンドポイントが以前に作成または再エンロールされたノードからのみです。
  • ウォレットまたはエンドポイントのどちらかまたはその両方がPENDING状態の場合にのみ、その作成者ノードからデフォルト・ウォレットをエンドポイントに割り当てることができます。エンドポイントとウォレットがACTIVE状態になると、この制限が終了します。

親トピック: エンドポイントの管理の概要

12.2 エンドポイントの管理

エンドポイントをエンロール、再エンロール、一時停止、ローテーションおよび削除できます。

親トピック: Oracle Key Vaultエンドポイントの管理

12.2.1 エンドポイント・エンロールのタイプ

エンドポイントをエンロールする最初のステップは、エンドポイントをOracle Key Vaultに追加することです。

エンロールを追加または登録するには、次の2つの方法があります:

  • ユーザーが開始するエンロール

    OKVシステム管理ユーザーは、エンドポイントをOKVに追加することでエンドポイントをエンロールできます。エンドポイントを追加すると、OKVによって1回かぎりのエンロール・トークンが生成されます。SMTP電子メール設定を構成した場合は、電子メール通知を介してこのトークンが届きます。

    エンドポイント・マネージャは、エンロール・トークンを使用してエンドポイント・ソフトウェアをダウンロードし、エンロール・プロセスを完了します。マルチマスター・クラスタでは、エンドポイントの追加に使用された同じノードを使用して、エンドポイントをエンロールする必要があります。

    エンロール・トークンは各エンロールに固有であり、別のエンドポイントまたはエンロールには再使用できません。

  • 自動エンロール

    エンドポイントの自己エンロールは、特定の時間に手動操作なしで実行可能です。エンドポイント自己エンロールは、エンドポイント間でセキュリティ・オブジェクトを共有せず、主にOracle Key Vaultを使用してそれ自体のセキュリティ・オブジェクトを保存およびリストアする場合に役立ちます。エンドポイント自己エンロールの別の用途は、テストです。

    自己エンロールされたエンドポイントは、ENDPT_001という形式の一般的なエンドポイント名で作成されます。クラスタでは、自己エンロールされたエンドポイントは、ENDPT_xx_001という形式で汎用エンドポイント名で作成されます。xxは2桁のノード識別子またはノード番号です。最初は、自己エンロールされたエンドポイントには、それ自体がアップロードまたは作成するセキュリティ・オブジェクトへのアクセス権のみがあります。このエンドポイントには、仮想ウォレットへのアクセス権はありません。エンドポイントのアイデンティティを確認し、必要に応じて仮想ウォレットへのアクセス権を付与できます。

    エンドポイントの自己エンロールはデフォルトでは無効になっていますが、システム管理者ロールを持つユーザーがエンドポイントの自己エンロールを有効にできます。エンドポイントが自己エンロールすると予期される短期間に自己エンロールを有効化して、自己エンロール期間が終了したときに無効化することをお薦めします。

ノート:

エンドポイントの自己エンロール・プロセスは、Oracle Key Vault 21.5では非推奨となっています。かわりに、エンドポイント・エンロールにRESTfulサービス・ユーティリティを使用できます。

関連トピック

親トピック: エンドポイントの管理

12.2.2 マルチマスター・クラスタ内のエンドポイント・エンロール

各クラスタ・エンドポイントは、マルチマスター・クラスタ内のクライアント・システムとして機能します。

エンドポイントのエンロールは、2ステップのプロセスです。最初に、エンドポイントを作成して、それをエンロールします。

特に以前のリリースからアップグレードした場合は、コントローラ・ノードの役割を果たすOracle Key Vaultサーバーに、すでにエンロールされたエンドポイントが存在する可能性があります。これらの既存のエンドポイントは、クラスタを初期化またはシードします。インダクション中に、クラスタにエンロールされたエンドポイントに関する情報が、新しく追加されたノードにレプリケートされます。また、Oracle Key Vaultは、クラスタに追加されたすべての候補ノードで、以前にエンロールされていたエンドポイントに関する情報を削除します。

エンドポイントは、読取り/書込みノードにのみエンロールできます。

エンドポイントをエンロールすると、そのエンドポイントはクラスタ全体で使用可能(アクセス可能)になり、すべてのノードからアクセスできます。Oracle Key Vaultマルチマスター・クラスタのエンドポイントは読取り/書込みノードに追加できます。

ノート:

エンドポイントは、最近追加または再エンロールされたノードと同じノードにエンロールする必要があります。

異なるノード上のマルチマスター・クラスタに同時に追加された新しいエンドポイントには、名前の競合があります。Oracle Key Vaultによってエンドポイント名の競合が自動的に解決され、「Conflicts Resolution」ページに競合が表示されます。システム管理者は、「Conflicts Resolution」ページでそれらの名前を変更できます。

関連トピック

親トピック: エンドポイントの管理

12.2.3 Oracle Key Vaultシステム管理者またはエンドポイント作成ユーザーとしてのエンドポイントの追加

システム管理者ロールまたはエンドポイント作成権限を付与されたユーザーは、「Endpoints」タブを使用してエンドポイントを追加できます。

  1. システム管理者ロールまたはエンドポイント作成権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。

    21.5_endpoint_page.pngの説明が続きます
    図21.5_endpoint_page.pngの説明

    「Endpoints」ページには、登録済およびエンロール済のすべてのエンドポイントのリストが、次の詳細とともに表示されます:
    • 名前
    • タイプ
    • 説明
    • プラットフォーム
    • ステータス
    • エンロール・トークン
    • アラート
    • エンドポイントの証明書の有効期限
    • 証明書発行者の共通名
    • 最終アクティブ時間
    このエンドポイントのリストは、ログインしているユーザーによって異なります。エンドポイント情報のリストはログインしているユーザーに応じて異なり、エンロール・トークンなどの詳細や、「Endpoints」ページ内の表の上のボタンは、そのユーザーのロールまたは権限のステータスに応じて表示されます。たとえば、システム管理者ロールを持つユーザーには、「Add」「Suspend」「Resume」などのすべての操作に関連するボタンが表示されます。しかし、エンドポイント作成権限を持つユーザーには、「Add」ボタンのみが表示されます。

    エンドポイント・ステータスは、「Registered」または「Enrolled」のいずれかになります。

    • Registered: エンドポイントが追加され、1回かぎりのエンロール・トークンが生成されたことを示します。このトークンは、対応する「Enrollment Token」列に表示されます。
    • Enrolled: エンドポイント・ソフトウェアをダウンロードするために、1回かぎりのエンロール・トークンが使用されています。「Enrollment Token」列に、エンロール・トークンが使用されていることを示すダッシュ(-)が表示されます。システム管理者権限を持っている場合は、すべてのエンロール・トークンが表示されます。ただし、エンドポイント管理権限を持っている場合は、自分が管理するエンドポイントのエンロール・トークンのみが表示されます。
    • Created By: エンドポイントを作成したユーザー。そのユーザーが存在しなくなった場合や、この情報が保存される前のバージョンでエンドポイントが作成されていた場合は、この「Created By」フィールドの値としてANONYMOUSと表示されます。
    • Creator Node: エンドポイントが作成されたノード。これは、マルチマスター・クラスタ環境に固有です。
    • Name Status: エンドポイントの状態。状態はACTIVEまたはPENDINGになります。これは、マルチマスター・クラスタ環境に固有です。
    • Cluster Subgroup: エンドポイントが作成されたサブグループ。これは、マルチマスター・クラスタ環境に固有です。
  3. 「Endpoints」ページで、「Add」をクリックします。
    「Register Endpoint」ページが表示されます。「Make Unique」チェック・ボックスと「Cluster Subgroup」ドロップダウンは、マルチマスター・クラスタ・モードでのみ表示されます。

    21_add_endpoint.pngの説明が続きます
    図21_add_endpoint.pngの説明

  4. 「Endpoint Name」フィールドに、エンドポイントの名前を入力します。
  5. マルチマスター・クラスタでは、「Make Unique」は、マルチマスター・クラスタ環境全体でのネーミング競合の制御に役立つオプションの機能です。

    「Make Unique」は、マルチマスター・クラスタ環境全体でエンドポイントのネーミング競合を制御するのに役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成されたエンドポイントは、ネーミング競合による影響を受けません。

    • 「Make Unique」を選択すると、ユーザーが使用できるように、エンドポイントはすぐにアクティブになります。
    • 「Make Unique」を選択しない場合、エンドポイントはPENDING状態で作成されます。その後、Oracle Key Vaultは名前解決操作から開始し、エンドポイントをクラスタ全体で一意の名前に変更する場合があります。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。エンドポイントは一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたエンドポイント名を受け入れるか、エンドポイント名を変更する必要があります。エンドポイント名を変更すると、名前解決操作が再起動され、エンドポイントはPENDING状態に戻ります。

      ノート:

      PENDING状態のエンドポイントは、ほとんどの操作の実行に使用できません。
  6. 「Type」リストからエンドポイント・タイプを選択します。サポートされているオプションは:
    「Oracle Database」「Oracle Database Cloud Service」「Oracle (non-database)」「Oracle ACFS」「MySQL Database」「SSH Server」および「Other」です。「Other」の例には、サード・パーティのKMIPエンドポイントがあります。

    ノート:

    Oracle Advanced Security Transparent Data Encryption (TDE)を使用していて、Oracle Key Vaultを使用してTDEマスター暗号化キーまたはウォレットを管理する場合、「Type」「Oracle Database」に設定する必要があります。
  7. エンドポイントに関する次の情報を指定します:
    • Platform: サポートされているプラットフォームの選択肢は、「Linux」「Linux for Arm (aarch64)」「IBM: Linux on System z」「Solaris SPARC」「Solaris x64」「AIX」「HP-UX」および「Windows」です。
    • Description: 必要に応じて、エンドポイントのわかりやすい説明を入力できます。ベスト・プラクティスとして、エンドポイントを一意に識別するホスト名、IPアドレス、機能または場所を指定します。
    • Administrator Email: 必要に応じて、管理者がエンロール・トークンなど、エンドポイントに関連する電子メール・アラートをOKVから直接受信できるように、管理者の電子メール・アドレスを入力します。電子メール通知機能を使用するには、SMTPを構成しておく必要があります。
    • Cluster Subgroup: マルチマスター・クラスタ環境の場合、エンドポイントのサブグループを選択します。「No Cluster Subgroup」を選択すると、エンドポイントは作成者ノードと同じクラスタ・サブグループに属します。作成者ノードが別のクラスタ・サブグループに変更された後でも、エンドポイントは引き続き同じクラスタ・サブグループに残ります。(from Creator Node)という接尾辞が付いたオプションを選択すると、エンドポイントは作成者ノードと同じクラスタ・サブグループに属します。作成者ノードが別のクラスタ・サブグループに変更された後でも、エンドポイントは引き続き同じクラスタ・サブグループに残ります。
    • SSH Server Hostname: タイプ「SSH Server」に、Oracle Key Vault Secure Shell (SSH)エンドポイントがデプロイされるSSHサーバー・ホストのホスト名またはIPアドレスを入力します。
  8. 「Register」をクリックします。
    「Endpoints」ページが表示され、そこにステータスが「Registered」の新しいエンドポイントが表示されます。「Enrollment Token」列に1回限りのエンロール・トークンが表示されます。

    21.5_endpoint_page.pngの説明が続きます
    図21.5_endpoint_page.pngの説明

  9. エンドポイント名をクリックして、エンドポイントの詳細を表示します。
    「Endpoint Details」ページが表示されます。

    2110_endpoint-details.pngの説明が続きます
    図2110_endpoint-details.pngの説明

    「Send Enrollment Token」ページに「Send Enrollment Token」オプションが表示されるのは、「Registered」のエンドポイントを選択した場合のみです。システム管理者ユーザー、またはエンドポイントに対する<>ロールを持つユーザーのみに、エンドポイントのエンロール・トークンまたは「Send Enrollment Token」ボタンが表示されます。

    1回かぎりのエンロール・トークンをエンドポイント・マネージャに送信するには、2つの方法があります:

    • SMTPを構成して電子メール・アドレスを入力した場合は、次のステップに示すように「Send Enrollment Token」ボタンをクリックし、Oracle Key Vaultからエンロール・トークンをエンドポイント・マネージャに直接送信できます。
    • SMTPを構成しなかった場合、または電子メール・アドレスを入力しなかった場合は、バンド外の方式を使用して、エンドポイント・マネージャにエンロール・トークンを送信する必要があります。

    エンドポイントをエンロールし、エンドポイントが最近作成または再エンロールされたノードからエンドポイントjarファイルをダウンロードする必要があります。

  10. 「Send Enrollment Token」をクリックします。
    この段階で、エンドポイント管理者はエンドポイントのエンロール・プロセスを変更できます。エンドポイント・ソフトウェアのダウンロードおよびインストールにエンロール・トークンが使用されると、エンドポイント・ステータスは「Registered」から「Enrolled」に変わります。

関連トピック

親トピック: エンドポイントの管理

12.2.4 自己エンロールを使用したエンドポイントの追加

自己エンロール・プロセスでは、エンドポイントは途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスに移行します。

親トピック: エンドポイントの管理

12.2.4.1 自己エンロールを使用したエンドポイントの追加について

Oracle Key Vaultは、自己エンロールされたすべてのエンドポイントに自己エンロール済属性を関連付けます。

自己エンロールされたエンドポイントは、ユーザーがエンドポイント・ソフトウェアをダウンロードすると、直接「Enrolled」ステータスになります。自己エンロールされたエンドポイントは、ENDPT_001という形式の、システム生成の名前によって認識できます。マルチマスター・クラスタでは、システム生成エンドポイント名はENDPT_node_id_sequential_numberという形式で、node_id01または02などの値です。ENDPT_01_001は、エンドポイントのシステム生成名の例です。

システム管理者ユーザーは、必要に応じてエンロールの自己エンロールを有効にできます。

エンドポイントによるエンロールを想定している場合にのみ、自己エンロール・プロセスを有効にすることをお薦めします。すべてのエンドポイントがエンロールされたら、必ず自己エンロール・プロセスを無効にしてください。

ノート:

エンドポイントの自己エンロール・プロセスは、Oracle Key Vault 21.5では非推奨となっています。かわりに、エンドポイント・エンロールにRESTfulサービス・ユーティリティを使用できます。
12.2.4.2 自己エンロールを使用したエンドポイントの追加

Oracle Key Vault管理コンソールからエンドポイントの自己エンロール・プロセスを構成できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択し、左側のナビゲーション・バーから「Settings」を選択します。
    「Endpoint Settings」ページが表示されます。


    21_endpoint_settings.pngの説明が続きます
    図21_endpoint_settings.pngの説明

  3. 「Allow Endpoint Self-Enrollment」を選択します。
  4. 「Save」をクリックします。

12.2.5 エンドポイントの削除、一時停止、再エンロールまたはローテーション

セキュリティ・オブジェクトの格納にOKVを使用しなくなったエンドポイントを削除できます。必要に応じて、エンドポイントを一時停止し、再開することができます。また、エンドポイントを削除した後に再エンロールまたはローテーションすることもできます。

  • エンドポイントの削除について
    エンドポイントを削除すると、エンドポイントはOracle Key Vaultから永久に削除されます。
  • 1つ以上のエンドポイントの削除
    「Endpoints」ページでは、OKVからエンドポイントのグループを削除できます。
  • 単一エンドポイントの削除(代替方法)
    「Endpoint Details」ページには、選択したエンドポイントの統合ビューが表示されます。これには、Oracle Key Vaultからエンドポイントを削除するメカニズムも含まれます。
  • エンドポイントの一時停止
    セキュリティ上の理由からエンドポイントを一時的に停止し、脅威が去った後でエンドポイントを再開できます。使用されていないエンドポイントをCA証明書ローテーション・プロセスの間に一時停止してCA証明書ローテーション・プロセスを完了することもできます。
  • エンドポイントの再エンロール
    エンドポイントを再エンロールすると、エンロール・プロセスによってエンドポイント・ソフトウェアが自動的にアップグレードされ、新しいエンドポイント証明書も生成されます。
  • エンドポイント証明書のローテーション
    エンドポイントの証明書をローテーションすると、エンドポイントの停止時間が発生することなく、その証明書の有効期限が延長されます。

親トピック: エンドポイントの管理

12.2.5.1 エンドポイントの削除について

エンドポイントを削除すると、Oracle Key Vaultから永久に削除されます。

ただし、そのエンドポイントによって以前に作成またはアップロードされたセキュリティ・オブジェクトと、エンドポイントに関連付けられたセキュリティ・オブジェクトは、Oracle Key Vaultからエンドポイントが削除された後でも、OKVに残ります。これらのセキュリティ・オブジェクトを永久に削除または再割当てするには、キー管理者ロールを持っているユーザーであるか、ウォレットの権限を管理することでこれらのオブジェクトをマージする権限を持っている必要があります。エンドポイントで以前にダウンロードされたエンドポイント・ソフトウェアも、エンドポイント・マネージャが削除するまで、エンドポイントに残ります。

PENDING状態のエンドポイントは、それを作成したユーザーでなければ削除できません。エンドポイントは、作成したノードで削除する必要があります。

12.2.5.2 1つ以上のエンドポイントの削除

「Endpoints」ページでは、OKVからエンドポイントのグループを削除できます。

このページから1つのエンドポイントを削除することもできます。
  1. そのエンドポイントにシステム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    1. エンドポイント管理権限を持つユーザーは、このユーザーにエンドポイント管理権限が付与されているエンドポイントのみ削除できます。
    2. ユーザーが管理できるエンドポイントを表示するには、「Users」タブを選択し、「Manage Users」を選択します。該当するユーザーの「User Details」ページを確認し、「Access to Endpoints」領域までスクロールします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    「Endpoints」ページに、現在登録またはエンロールされているすべてのエンドポイントがリストされます。
  3. 「Endpoints」ページで、削除するエンドポイントの左側にあるチェック・ボックスを選択します。
  4. 「Delete」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。

    ノート:

    削除したエンドポイントのエンドポイント・ソフトウェアをアンインストールするには、エンドポイント・ソフトウェアのインストール・ディレクトリまたはOKV_HOMEを削除します。それらのリンクが存在する場合は、$ORACLE_HOME/okv/$ORACLE_SIDおよび$ORACLE_BASE/okv/$ORACLE_SIDからそれらを削除する必要もあります。このマシンにOracle Key Vaultを使用する他のデータベースがない場合は、Linux x86-64、Linux for Arm (aarch64)、IBM: Linux on System z、Solaris、AIXおよびHP-UX (IA)インストールでは/opt/oracle/extapi/64/hsm/oracle/1.0.0ディレクトリから、WindowsインストールではC:\oracle\extapi\64\hsm\oracle\1.0.0ディレクトリからliborapkcs.soも削除することを検討してください。
12.2.5.3 単一エンドポイントの削除(代替方法)

「Endpoint Details」ページには、選択したエンドポイントの統合ビューが表示されます。これには、Oracle Key Vaultからエンドポイントを削除するメカニズムも含まれます。

  1. そのエンドポイントにシステム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、このユーザーにエンドポイント管理権限が付与されているエンドポイントのみ削除できます。ユーザーが管理できるエンドポイントを表示するには、「Users」タブを選択し、「Manage Users」を選択します。該当するユーザーの「User Details」ページを確認し、「Access to Endpoints」領域までスクロールします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 削除するエンドポイントの名前をクリックします。
    「Endpoint Details」ページが表示されます。
  4. 「Delete」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。
12.2.5.4 エンドポイントの一時停止

セキュリティ上の理由からエンドポイントを一時的に停止し、脅威が去った後でエンドポイントを再開できます。使用されていないエンドポイントをCA証明書ローテーション・プロセスの間に一時停止してCA証明書ローテーション・プロセスを完了することもできます。

エンドポイントを一時停止すると、ステータスが「Enrolled」から「Suspended」に変わります。PENDING状態のエンドポイントは、それを作成したユーザーでなければ一時停止できません。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限があるユーザーは、自分が管理可能なエンドポイントのみを一時停止できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、一時停止するエンドポイントの左側にあるチェック・ボックスを選択します。
  4. 「Suspend」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。
    エンドポイントを一時停止すると、「Endpoints」ページの「Status」「Suspended」になります。
  6. ステップ1から3を繰り返して、有効にするエンドポイントを選択します。次に、「Endpoint Details」ペインで「Enable」をクリックします。
    「Endpoint Details」ペインから、「Enable」をクリックします。「Endpoints」ページのエンドポイントの「Status」「Enrolled」になります。

マルチマスター・クラスタ内のエンドポイントの一時停止には、次のルールが適用されます。

  • 通常のエンドポイントの場合、すべての一時停止操作リクエストがクラスタ内のすべてのノードに到達するまで、エンドポイントは引き続き動作します。
  • 任意のノードのエンドポイントを一時停止できます。
  • クラウドベースのエンドポイントの場合、一時停止操作がリバースSSHトンネルの確立元であるすべてのノードに達するまで、エンドポイントは引き続き動作します。
  • リバースSSHトンネルの確立元から、クラウドベースのエンドポイントの任意のノードのエンドポイントを一時停止できます。
12.2.5.5 エンドポイントの再エンロール

エンドポイントを再エンロールすると、エンロール・プロセスによってエンドポイント・ソフトウェアが自動的にアップグレードされ、新しいエンドポイント証明書も生成されます。

プライマリ・スタンバイ構成でプライマリOracle Key Vaultサーバーと新しいセカンダリ・サーバーのペアリングなどの変更に対応するために、エンドポイントを再エンロールする必要もあります。エンドポイントを再エンロールするアクションは、エンドポイントの古いデプロイメントからの接続をただちに禁止します。エンドポイントを再エンロールする場合は、ただちにokvclient.jarをダウンロードして、既存のデプロイメントとは別のディレクトリにデプロイすることをお薦めします。ソフトウェアをデプロイする場合は、-oオプションを使用して、古いokvclient.oraを指すシンボリック・リンクを上書きします。PENDING状態のエンドポイントは、そのエンドポイントを作成したユーザーでなければ再エンロールできません。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、自分が作成したエンドポイントのみを再エンロールできます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、再エンロールするエンドポイントの左側にあるボックスを選択します。
  4. 「re-enroll」をクリックします。

    エンドポイントの再エンロールごとに新しいエンロール・トークンが生成され、対応する「Enrollment Token」列に表示されます。この1回かぎりのトークンを使用すると、エンドポイントを再エンロールできます。エンドポイントjarファイルは、エンドポイントが再エンロールされたのと同じノードからダウンロードする必要があります。

    ノート:

    okvclient.jarファイルをデプロイすると、「The endpoint software for Oracle Key Vault installed successfully」というメッセージが表示されます。かわりに「The endpoint software for Oracle Key Vault upgraded successfully」というメッセージが表示された場合は、古いデプロイメント・ディレクトリで再エンロールが実行されたため、エンドポイント・ソフトウェアはアップグレードされましたが、正常に再エンロールされませんでした。

    okvclient.jarオプション-oを使用して、新しいディレクトリ内のokvclient.oraを指すシンボリック・リンク参照を上書きできます。

    エンドポイントの再エンロールごとに新しいエンロール・トークンが生成され、対応する「Enrollment Token」列に表示されます。この1回かぎりのトークンを使用すると、エンドポイントを再エンロールできます。エンドポイントjarファイルは、エンドポイントが再エンロールされたのと同じノードからダウンロードする必要があります。

12.2.5.6 エンドポイント証明書のローテーション

エンドポイントの証明書をローテーションすると、エンドポイントの停止時間が発生することなく、その証明書の有効期限が延長されます。

エンドポイントはTLS証明書を使用してOracle Key Vaultと通信します。エンドポイントの証明書の有効期限が近づいたら、停止時間が発生することなく新しい証明書が発行されるように、そのエンドポイントをローテーションできます。

ノート:

OKVコンソールの「Endpoints」ページで、「Endpoint Certificate Expiration」フィールドは、エンドポイント証明書の有効期限が切れるまでの残り時間を示します。

関連項目:

CA証明書の有効期限の確認
エンドポイント証明書の有効期限が切れたときにリマインダを受信できるように「Endpoint Certificate Expiration」アラートを構成することで、エンドポイント証明書の有効期限をモニターすることもできます。


関連項目:

Oracle Key Vaultアラートの構成

エンドポイントは、その証明書の有効期限が切れるまでにローテーションしないと、停止時間が発生します。その場合は、そのエンドポイントを再エンロールする必要があります。1つのエンドポイント、または同時に複数のエンドポイントをローテーションできます。エンドポイントをローテーションすると、Oracle Key Vaultに新しい証明書が生成されます。その後、エンドポイントは、Oracle Key Vaultにアクセスしてこの新しい証明書を受け取ってから、Oracle Key Vaultに対してその証明書の受取りの確認応答を送信して証明書ローテーションをすべて完了する必要があります。

エンドポイント証明書をローテーションするには、次の手順を実行します。

  1. システム管理者ロール、または指定したエンドポイントに対するエンドポイント管理権限があるユーザーとして、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、ローテーションするエンドポイントの左側にあるボックスを選択します。
  4. 「Rotate」をクリックします。

    このプロセスは、ローテーションするエンドポイントの数によっては、完了までに数分かかることがあります。数分後、「One or more endpoints rotated successfully」というメッセージが表示されます。ローテーションされた各エンドポイントについて、「Endpoints」ページの「Common Name of Certificate Issuer」フィールドが「Updating to Current Certificate Issuer」に変わります。バックエンドで、Oracle Key Vaultによって、ローテーションされたエンドポイントごとに新しい証明書が内部的に生成されました。

    ローテーションされたエンドポイントは、Oracle Key Vaultに次回接続したときに、その新しい証明書を受け取ります。マルチマスター・クラスタにおいては、エンドポイントは、新しい証明書を受け取るために、そのエンドポイント証明書のローテーションが実行されたOracle Key Vaultクラスタ・ノードにアクセスする必要があります。証明書を受け取ったら、エンドポイントは証明書の受信をOKVに確認する必要があります。その後、そのエンドポイントはローテーションが完了したとみなされ、その「Common Name of Certificate Issuer」「Updating to Current Certificate Issuer」から、現在のOracle Key Vault CA証明書の共通名に変わります。Oracle Key Vault CA証明書の「Endpoint Certificate Expiration」フィールドに、その証明書の新しい有効期限が表示される必要があります。
    • 1つ以上のエンドポイントがローテーションされると、「Endpoints」ページに「Certificate Rotation In Progress」というメッセージを含むバナーが表示されます。マルチマスター・クラスタでは、ローテーションされたすべてのエンドポイントがその新しい証明書を正常に受け取り、受信の確認応答を送信するまで(つまり、証明書ローテーションが完了するまで)、すべてのクラスタ・ノードの「Endpoints」ページにバナーが表示されます。「Endpoints」ページの「Common Name of Certificate Issuer」フィールドで、まだローテーション中のエンドポイントの数を確認できます。まだローテーションが完了していないエンドポイントについては、「Common Name of Certificate Issuer」フィールドに「Updating to Current Certificate Issuer」と表示されたままになります。
    • マルチマスター・クラスタ環境においては、エンドポイントは、その証明書のローテーションが実行されたクラスタ・ノードにアクセスしたときにのみ、その新しい証明書を受け取ります。エンドポイントはエンドポイント・ノード・スキャン・リスト内の任意のノードと通信できるため、エンドポイントがローテーション・ノードにアクセスして証明書を受信する前に多くの操作を実行する可能性があります。エンドポイントは、クラスタ内のノードにアクセスすることによって、新しい証明書の受信の確認応答をする必要があります。
    • エンドポイント証明書ローテーションに要する時間は、クラスタ内のノード数に応じて増加します。エンドポイントではローカル・サブグループ内のノードが優先されるため、そのクラスタ・サブグループ内のノードでエンドポイント証明書をローテーションすることを検討してください。


    • マルチマスター・クラスタ環境では、エンドポイントは新しい証明書を受信するためにローテーション・ノードにアクセスする必要があります。多数のノードがあるクラスタでは、エンドポイントがスキャン・リスト内の任意のノードにアクセスする可能性があります。証明書のローテーション中にこれが発生した場合、可能なかぎり少ない操作でその新しい証明書を受信するために、エンドポイントはベストエフォートでローテーション・ノードにもアクセスしようとします。ただし、クラスタ内のノード数およびエンドポイントがOracle Key Vaultにアクセスする頻度によっては、エンドポイント証明書のローテーションの完了に時間がかかる場合があります。エンドポイントを再エンロールするための停止時間が発生しないようにするために、エンドポイント証明書は、その有効期限前にローテーションすることをお薦めします。
    • マルチマスター・クラスタ環境で、エンドポイントのローテーション・ノードを表示するには、「Endpoints」ページに移動し、「Actions」ドロップダウン・リストから「Select Columns」を選択します。表示する列のリストに「Rotating Node」列を追加し、「Apply」をクリックします。別の方法として、特定のエンドポイントの「Endpoint Details」ページに、ローテーション・ノードを表示することもできます。

      ノート:

      ローテーション・ノードは、証明書のローテーションが進行中の場合、「Endpoints」ページまたは「Endpoints Details」ページから表示できます。
    • エンドポイントがローテーションされた場合の、その新しい証明書の有効期限は、Oracle Key Vaultデプロイメントの「Endpoint Certificate Validity」構成パラメータ、およびOracle Key Vault CA証明書の有効期限によって異なります。



12.2.5.6.1 エンドポイント証明書のローテーションに関するガイドライン

エンドポイント証明書をローテーションする前に、これらのOracle Key Vaultガイドラインについて検討してください。

12.3 エンドポイント詳細の管理

エンドポイント詳細は、エンドポイント名、タイプ、説明、プラットフォームおよび電子メール、グループへのエンドポイントの追加、またはエンドポイント・ソフトウェアのアップグレードを指します。

親トピック: Oracle Key Vaultエンドポイントの管理

12.3.1 エンドポイント詳細について

エンドポイント詳細ページには、エンドポイントの統合ビューが表示されます。

「Endpoints」タブを選択し、エンドポイントの名前をクリックして「Endpoint Details」ページを表示します。エンドポイントの詳細を変更し、すべてのエンドポイント管理タスクを完了します。次の画面に一部のビューを示します:

2110_endpoint_details.pngの説明が続きます
図2110_endpoint_details.pngの説明

親トピック: エンドポイント詳細の管理

12.3.2 エンドポイント詳細の変更

エンドポイント名、エンドポイント・タイプ、説明、プラットフォームおよび電子メールを変更できます。

マルチマスター・クラスタでは、エンドポイントの詳細を変更できるのは、そのエンドポイントが作成されたノードで、エンドポイントがPENDING状態にある場合のみです。
  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーは、このユーザーが作成したエンドポイントのみを変更できます。ユーザーが管理できるエンドポイントを表示するには、「Users」タブを選択し、「Manage Users」を選択します。該当するユーザーの「User Details」ページを確認し、「Access to Endpoints」領域までスクロールします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、エンドポイントの名前をクリックします。
    「Endpoint Details」ページが表示されます。2110_endpoint_details.pngの説明が続きます
    図2110_endpoint_details.pngの説明
  4. 「Endpoint Details」ページで、必要に応じて「Endpoint Name」「Type」「Description」「Platform」「Administrator Email」「Cluster Subgroups」(マルチマスター・クラスタ環境のみ)、「Strict IP Check Enforced」などの詳細を変更します。

    「Strict IP Check Enforced」設定は、Oracle Key Vaultで作成された任意のエンドポイントに対してデフォルトで「Use Global Settings」に設定されています。このオプションを「True」に変更すると、Oracle Key Vaultは、エンドポイント・ソフトウェアが最初にデプロイされたときに使用されたものと同じIPアドレスを使用してエンドポイントが接続しているかどうかを確認します。このオプションを「False」に変更すると、Oracle Key Vaultにより、エンドポイントは任意のIPアドレスを使用して接続できるようになります。グローバル設定は、「Global Endpoint Settings」ページから変更できます。必要がないかぎり、有効なエンドポイント設定を「True」に(「Global Endpoint Settings」または「Local Endpoint Settings」のいずれかを使用して)設定することをお薦めします。

  5. 「Save」をクリックします。

関連トピック

親トピック: エンドポイント詳細の管理

12.4 グローバルおよびエンドポイントごとの構成パラメータおよび設定の管理

Oracle Key Vaultでは、Oracle Key Vault管理コンソールで設定できるグローバルおよびエンドポイントごとの構成パラメータと設定が提供されています。

親トピック: Oracle Key Vaultエンドポイントの管理

12.4.1 グローバルおよびエンドポイントごとの構成パラメータおよび設定の管理について

システム管理者ロールまたはキー管理者ロールを持つユーザーは、Oracle Key Vault管理コンソールで特定のエンドポイント構成パラメータおよび設定を集中的に更新できます。

エンドポイント構成パラメータおよび設定をグローバル(すべてのエンドポイントが対象)またはエンドポイント単位で設定すると、システム管理者およびキー管理者の複数のエンドポイントを管理するプロセスが簡略化されます。

次のタイプのグローバル・エンドポイント設定およびエンドポイントごとの設定を実行できます。

  • エンドポイント設定: これには、厳密なIPチェックが実施されるかどうかを判断するための設定が含まれます。この設定を変更できるのは、システム管理者ロールを持つユーザーのみです。
  • エンドポイント構成パラメータ: これには、証明書が有効である時間の長さ、様々なPKCS 11設定のタイムアウト、クライアントのOracle Key Vaultサーバーへの接続試行のタイムアウト(秒単位)などの機能を制御する設定が含まれます。システム管理者ロールまたは特定のエンドポイントのエンドポイント管理権限を持つユーザーのみが、これらのパラメータを変更できます。システム管理者ロールを持つユーザーは、すべてのエンドポイントのエンドポイント構成パラメータを変更できます。エンドポイント管理権限を持つユーザーは、アクセス権を持つ各エンドポイントごとに構成パラメータを変更できます。そうするには、このユーザーが、エンドポイントの「Details」ページに移動し、下部までスクロールした場所でエンドポイントを変更する必要があります。
  • キーおよびシークレット: これには、対称キーの抽出可能属性値の設定が含まれます。この設定を変更できるのは、キー管理者ロールを持つユーザーのみです。

グローバル値およびエンドポイントごとの値の変更が有効になるタイミング

Oracle Key Vault管理コンソールで設定された構成パラメータ値は、エンドポイントに動的に適用されます。次回エンドポイントがOracle Key Vaultサーバーに接続すると、更新された構成パラメータがエンドポイントに適用されます。エラーがある場合、更新は適用されません。

RESTfulサービス・ユーティリティを使用する場合は、Oracle Key Vaultによってエンドポイント構成が更新されません。この場合は、okvutilC SDKJAVA SDKまたはPKCS11ライブラリを使用してエンドポイント構成の更新を適用します。

マルチマスター・クラスタでは、構成パラメータおよび設定のレプリケーションはレプリケーション・ラグに依存します。接続先のノードがまだパラメータまたは設定の新しい値を受信していないため、エンドポイントはすぐに更新を取得できない可能性があります。新しい値が設定されたノードに接続した場合、または過去1時間その構成がリフレッシュされなかった場合は、エンドポイントの構成がリフレッシュされます。

グローバル値とエンドポイントごとの値の優先順位と継承

個々のエンドポイントに設定される値は、グローバルに設定される同じ値よりも優先されます。グローバル・パラメータおよび設定は、エンドポイント固有のパラメータおよび設定がクリアされると有効になります。Oracle Key Vaultでは、グローバルおよびエンドポイント固有のパラメータがクリアされるか、Oracle Key Vault管理コンソールで設定されていない場合は、デフォルトのシステム・パラメータおよび設定が使用されます。パラメータ「Strict IP Check Enforced」と、「Symmetric Key」および「Private Key」の抽出可能属性設定では、グローバル・エンドポイント設定はクリアできず、エンドポイント固有の設定のみがクリアできます。

キーおよびシークレットの作成時に、新しい対称キーまたは秘密キーを作成しますが、対称キーまたは秘密キーの作成時に抽出可能属性値を指定しないとします。キーは、対称キーまたは秘密キーが作成された個々のエンドポイントに設定されているデフォルト値を継承します。デフォルトの抽出可能属性値がこのエンドポイントに設定されていない場合、キーは抽出可能属性のグローバル・エンドポイント値を継承します。このグローバル・エンドポイント値が設定されていない場合、抽出可能属性値はTRUEにデフォルト設定されます。将来のエンドポイントがこの値を使用するように、グローバル・エンドポイントの抽出可能属性値を変更できます。構成パラメータと同様に、すでに存在する個々のエンドポイントに設定された値は、グローバルに設定された同じ値よりも優先されます。

関連トピック

親トピック: グローバルおよびエンドポイントごとの構成パラメータおよび設定の管理

12.4.2 グローバル・エンドポイントの構成パラメータおよび設定

Oracle Key Vault管理コンソールで、すべてのエンドポイントについて、エンドポイントの構成パラメータおよび設定をグローバルに設定できます。

親トピック: グローバルおよびエンドポイントごとの構成パラメータおよび設定の管理

12.4.2.1 グローバル・エンドポイント構成パラメータの設定

グローバル・エンドポイント構成パラメータは、Oracle Key Vault管理コンソールで設定できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択し、左側のナビゲーション・バーから「Settings」を選択します。

    「Endpoint Settings」ページが表示されます。

    2110_endpoint_settings.pngの説明が続きます
    図2110_endpoint_settings.pngの説明

  3. 「Endpoint Settings」セクションで、次の設定を構成します:
    • Allow Endpoint Self Enrollment: このチェック・ボックスを使用すると、エンドポイントをソフトウェア・ダウンロード・ページから自己エンロールできます。
    • Strict IP Check Enrolled: この選択により、サーバー/ノードへのすべてのエンドポイントの接続に対する厳密なIPチェックが有効または無効になります(エンドポイントごとに独自の設定が構成されてる場合を除く)。値「False」を選択すると、エンドポイントのプロビジョニング時に使用されたIPアドレスとは異なるIPアドレスを使用して、エンドポイントがOracle Key Vaultに接続できるようになります。
  4. 「Allow Endpoint Self Enrollment」チェック・ボックス。
  5. 「True」および「False」オプションがある「Strict IP Check Enforced」ドロップダウン。
  6. 「グローバル・エンドポイント構成パラメータ」セクションで、次の設定を構成します。
    • Endpoint Certificate Validity ( in days ): 現在のエンドポイント証明書が有効である日数を指定します。有効な設定は365から1095です。デフォルト値は365です。エンドポイント証明書の有効期間は、エンロールの時点で、常にCA証明書の有効期間よりも短くなります。
    • PKCS 11 In-Memory Cache Timeout ( in minutes ): インメモリー・キャッシュにキャッシュされた後にマスター暗号化キーを使用できる期間を分単位で指定します。

      PKCS 11 Persistent Cache Timeout ( in minutes ): 永続マスター暗号化キー・キャッシュにキャッシュされた後のマスター暗号化キーの使用可能期間を分単位で指定します。

    • PKCS 11 Persistent Cache Refresh Window ( in minutes ): 永続マスター暗号化キー・キャッシュにキャッシュされた後のマスター暗号化キーの使用可能期間を延長するために期間を分単位で指定します。
    • PKCS11 Configuration Parameter Refresh Interval ( in minutes ): 長時間実行されるプロセスがokvclient.ora構成ファイルを再読込みする頻度を指定します。
    • Server Poll Timeout ( in milliseconds ): リスト内の次のサーバーを試行する前に、クライアントがOracle Key Vaultサーバーに接続しようとするタイムアウトを秒単位で指定します。デフォルト値は300 (ミリ秒)です。Oracle Key Vaultでは、クライアントは最初にアクセス不可能なサーバーを迅速に検出するように、Oracle Key Vaultへの非ブロッキングのTCP接続を確立します。最初の試行後、クライアントは、サーバーへの2回目かつ最終の接続試行を実行しますが、今度はSERVER_POLL_TIMEOUTパラメータで指定された期間の2倍まで待機します。これは、考えられるネットワークの輻輳や遅延を克服するために行われます。
    • PKCS 11トレース・ディレクトリ・パス: トレース・ファイルを保存するディレクトリを指定します。
    • Expire PKCS11 Persistent Cache on Database Shutdown: 指定したエンドポイント・データベースのPKCS#11永続キャッシュがエンドポイント・データベースの停止時に自動的に期限切れになるように有効にするか、または無効にします。

    ノート:

    「Global Endpoints Configuration Parameters」の値がNULLの場合、okvclient.oraファイル内の手動でカスタマイズされた値が有効であることを示します。これらのカスタマイズ値をOracle Key Vault管理コンソールで設定した後は、これらの値はOracle Key Vault管理コンソールからのみ編集する必要があります。空の値は設定できません。
  7. 「Save」をクリックします。
12.4.2.2 キーおよびシークレットのグローバル・エンドポイント設定の構成

エンドポイント構成で作成または登録する新しい対称キーに対して、デフォルトの抽出可能属性値を設定できます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択し、左側のナビゲーション・バーから「Settings」を選択します。
    「Endpoint Settings」ページが表示されます。
  3. 「Global Endpoint Settings for Keys & Secrets」セクションまでスクロール・ダウンします。
  4. 「Symmetric Key」メニューから、次のいずれかの選択肢を選択します。

    • 「True」(デフォルト)の場合、オブジェクト値をOracle Key Vaultから抽出できます。

    • 「False」の場合、オブジェクト値がOracle Key Vaultから抽出されなくなります。

  5. 「Private Key」メニューから、次のいずれかの選択肢を選択します。

    • 「True」(デフォルト)の場合、オブジェクト値をOracle Key Vaultから抽出できます。

    • 「False」の場合、オブジェクト値がOracle Key Vaultから抽出されなくなります。
  6. 次の選択肢を使用してこれらの設定を保存します。
    • 「Save Defaults」の場合、デフォルト値が「TRUE」に設定され、抽出可能属性のデフォルト値として使用されます。
    • 「Save」の場合、抽出可能属性のデフォルト値として使用される値が設定されます。

12.4.3 エンドポイントごとの構成パラメータおよび設定

Oracle Key Vault管理コンソールで、個々のエンドポイントに対して異なるエンドポイント構成パラメータおよび設定を設定できます。

親トピック: グローバルおよびエンドポイントごとの構成パラメータおよび設定の管理

12.4.3.1 エンドポイントごとの構成パラメータの変更

システム管理者ロールまたはエンドポイント管理権限を持つユーザーは、エンドポイントごとの構成パラメータを設定できます。

  1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    システム管理者ロールを持つユーザーは、任意のエンドポイントの構成パラメータを設定できます。エンドポイント管理権限を持つユーザーは、そのユーザーがエンドポイント管理権限を持つエンドポイントの構成パラメータのみを設定できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーから「Endpoints」を選択します。
  3. 「Endpoints」ページで、変更するエンドポイントを選択します。
  4. 「Endpoint Details」ページで、「Endpoint Configuration Parameters」領域までスクロール・ダウンします。
  5. 構成パラメータを必要に応じて変更します。
    この構成パラメータは、グローバルに変更できる構成パラメータと同じです。

    ノート:

    「Endpoints Configuration Parameters」の値が空の場合、okvclient.oraファイル内の手動でカスタマイズされた値が有効であることを示します。これらの値をOracle Key Vault管理コンソールで設定した後は、これらの値はOracle Key Vault管理コンソールからのみ編集する必要があります。空の値は設定できません。
  6. 「Save」をクリックします。
12.4.3.2 個々のエンドポイントのキーおよびシークレットのエンドポイント設定の構成

キー管理者ロールを持つユーザーは、個々のエンドポイントのキーおよびシークレットの値を設定できます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーから「Endpoints」を選択します。
  3. 「Endpoints」ページで、変更するエンドポイントを選択します。
  4. 「Endpoint Details」ページで、「Endpoint Settings for Keys & Secrets」領域までスクロール・ダウンします。
  5. 「Symmetric Key」メニューから、次のいずれかの設定を選択します:
    • 「True」:の場合、オブジェクト値をOracle Key Vaultから抽出できます。
    • 「False」:の場合、オブジェクト値がOracle Key Vaultから抽出されなくなります。
    • Use Global Settings: (デフォルト)抽出可能属性のグローバル・エンドポイント設定が使用されます。
  6. 「Private Key」メニューから、次のいずれかの設定を選択します。
    • 「True」の場合、オブジェクト値をOracle Key Vaultから抽出できます。
    • 「False」の場合、オブジェクト値がOracle Key Vaultから抽出されなくなります。
  7. 「Save」をクリックします。

12.5 デフォルト・ウォレットとエンドポイント

エンドポイントでは、仮想ウォレットの1タイプであるデフォルト・ウォレットを使用できます。

親トピック: Oracle Key Vaultエンドポイントの管理

12.5.1 デフォルト・ウォレットとエンドポイントの関連付け

デフォルト・ウォレットは、ウォレットが明示的に指定されていない場合にセキュリティ・オブジェクトがアップロードされる仮想ウォレットのタイプです。

デフォルト・ウォレットは、Oracle Real Application Clusters (Oracle RAC)のノードやOracle Data Guardのプライマリおよびスタンバイ・ノードなど、他のエンドポイントと共有し、すべてのエンドポイントで同じデフォルト・ウォレットを使用できるので便利です。

デフォルト・ウォレットを使用する場合は、エンドポイントを登録した後、エンロールする前にこのウォレットを設定する必要があります。エンロール後にデフォルト・ウォレットを使用することにした場合は、デフォルト・ウォレットを削除してから、エンドポイントを再エンロールする必要があります。

エンロール・ステータス「Registered」は、エンドポイントはOracle Key Vaultに追加されているが、エンドポイント・ソフトウェアがダウンロードおよびインストールされていないことを意味します。ステータスが「Registered」の場合は、デフォルト・ウォレットをエンドポイントに関連付ける必要があります。

エンドポイントのエンロール・ステータスは、エンドポイント・ソフトウェアをエンドポイントにダウンロードしてインストールすると「Enrolled」になります。エンドポイントのエンロール後にデフォルト・ウォレットを設定する場合は、エンドポイントを再エンロールして、エンドポイントで今後作成されるすべてのセキュリティ・オブジェクトがそのウォレットに自動的に関連付けられるようにしてください。

マルチマスター・クラスタでは、作成されたエンドポイントおよびウォレットのいずれかがPENDING状態の場合、デフォルト・ウォレットはそれらが作成された同じノードでのみ割り当てることができます。エンドポイントおよびウォレットがACTIVE状態になった後は、制限はありません。デフォルト・ウォレットが割り当てられ、エンドポイントがエンロールされると、両方がACTIVE状態で、そのノードに情報がレプリケートされているかぎり、どのノードからもデフォルト・ウォレットにアクセスできます。

Parent topic: デフォルト・ウォレットとエンドポイント

12.5.2 エンドポイントのデフォルト・ウォレットの設定

エンドポイントのデフォルト・ウォレットを設定すると、別のウォレットが明示的に指定されていないかぎり、エンドポイントのセキュリティ・オブジェクトがウォレットに自動的にアップロードされます。

エンドポイントを登録した直後で、エンドポイント・ソフトウェアをダウンロードする前に、デフォルト・ウォレットを設定する必要があります。
  1. キー管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーとしてログインしている場合は、エンドポイントのデフォルト・ウォレットとして設定するウォレットに対する完全なウォレット・アクセス権(ウォレットの読取り/書込み/管理)が必要です。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、必要なエンドポイントの名前をクリックします。
  4. 「Default Wallet」ペインで「Choose Wallet」を選択します。

    21_wallet_default_none.pngの説明が続きます
    図21_wallet_default_none.pngの説明

    「Add Default Wallet」ページが表示され、使用可能なウォレットのリストが示されます。

    21_wallet_default_select.pngの説明が続きます
    図21_wallet_default_select.pngの説明

  5. デフォルト・ウォレットにするウォレットをリストから選択するには、ウォレットの左にあるオプションをクリックして「Select」をクリックします。
    選択したウォレットの名前が「Default Wallet」ペインに表示されます。

    21_wallet_default_selected.pngの説明が続きます
    図21_wallet_default_selected.pngの説明

  6. 「Save」をクリックします。

Parent topic: デフォルト・ウォレットとエンドポイント

12.6 仮想ウォレットへのエンドポイント・アクセス権の管理

仮想ウォレットへのエンドポイント・アクセス権を付与し、必要でなくなった場合にアクセス権を取り消したり変更することができます。

親トピック: Oracle Key Vaultエンドポイントの管理

12.6.1 仮想ウォレットへのエンドポイント・アクセス権の付与

セキュリティ・オブジェクトをアップロードまたはダウンロードする前に、エンドポイントにはウォレットに対する読取り権限、変更権限およびウォレット管理権限が必要です。

Oracle Key Vaultにエンドポイントを追加した直後で、まだ「registered」ステータスのときに、仮想ウォレットへのエンドポイント・アクセス権を付与できます。
  1. エンドポイントにキー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
  3. 「Endpoints」ページで、仮想ウォレットへのアクセス権が必要なエンドポイントを選択します。
    「Endpoint Details」ページが表示されます。「Access to Wallets」ペインまでページをスクロールします。

    217_access_to_wallets1.pngの説明が続きます
    図217_access_to_wallets1.pngの説明

  4. 「Access to Wallets」ペインに、エンドポイントがすでにアクセス権を持っているウォレットがリストされます。このリストに別のウォレットを追加するには、「Add」をクリックします。
    「Select Wallet」ページが表示されます。エンドポイント管理権限を持つユーザーは、このユーザーがアクセスできるウォレットのみを表示できます。

    21_wallet_default_select.pngの説明が続きます
    図21_wallet_default_select.pngの説明

  5. 「Add Access to Endpoint」ページに表示されているウォレットの使用可能なリストからウォレットを選択します。
  6. 「Select Access Level」ペインで、適切なアクセス・レベルを選択します。
  7. 「Save」をクリックします。

関連トピック

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

12.6.2 仮想ウォレットへのエンドポイント・アクセス権の取消し

「Endpoints」タブを使用して、エンドポイントの仮想ウォレットへのアクセス権を取り消すことができます。

  1. キー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
    指定されたエンドポイントに対するエンドポイント管理権限がある場合は、ウォレットへのアクセス権のレベルが同じかそれ以上である必要があります。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
  3. 「Endpoints」ページで、エンドポイント名を選択して、「Endpoint Details」ページを表示します。
    このページで、「Access to Wallets」ペインを探します。「Access to Wallets」ペインに、エンドポイントがアクセス権を持っているウォレットのリストが表示されます。
  4. アクセス権を取り消すウォレットを選択します。
  5. 「Remove」をクリックします。
  6. 確認のウィンドウで、「OK」をクリックします。

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

12.6.3 エンドポイントによってアクセスされるウォレット項目の表示

ウォレット項目という用語は、エンドポイントがアクセスできるセキュリティ・オブジェクトを指します。

  1. キー管理者ロールまたはエンドポイント管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    Oracle Key Vaultのすべてのエンドポイントがリストされた、「Endpoints」ページが表示されます。
  3. 「Endpoints」ページで、エンドポイントの名前をクリックして「Endpoint Details」ページにアクセスし、「Access to Wallet Items」ペインまでスクロールします。
    「Access to Wallet Items」ペインには、エンドポイントがアクセス権を持っているウォレット項目がリストされます。

    217_access_to_wallets.pngの説明が続きます
    図217_access_to_wallets.pngの説明

親トピック: 仮想ウォレットへのエンドポイント・アクセス権の管理

12.7 エンドポイント・グループの管理

エンドポイント・グループは、ウォレットの共通セットを共有するエンドポイントの名前付きグループです。

親トピック: Oracle Key Vaultエンドポイントの管理

12.7.1 マルチマスター・クラスタによるエンドポイント・グループへの影響

任意のノードでエンドポイント・グループを作成し、クラスタ全体のプレゼンスを設定できます。

いずれのノードでもエンドポイント・グループを追加、更新または削除できますが、読取り/書込みモードのみです。

初期ノードになるOracle Key Vaultサーバーは、すでに作成されているエンドポイント・グループを保持できます。これらのエンドポイント・グループは、クラスタの初期化またはシードに使用されます。インダクション中に、クラスタ内のエンドポイント・グループが新しく追加されたノードにレプリケートされます。クラスタに追加された他のすべてのノードですでに作成されているエンドポイント・グループは、インダクション中に削除されます。

異なるノード上のマルチマスター・クラスタに同時に追加された新しいエンドポイント・グループには、名前の競合があります。Oracle Key Vaultは、すべてのエンドポイント・グループ名の競合を自動的に解決します。これらの競合は「Conflicts Resolution」ページに表示され、キー管理者は名前を変更できます。

関連トピック

親トピック: エンドポイント・グループの管理

12.7.2 エンドポイント・グループの作成

ウォレットに格納されたセキュリティ・オブジェクトの共通セットを共有する必要がある複数のエンドポイントを、1つのエンドポイント・グループにまとめることができます。

たとえば、Oracle Real Application Clusters (Oracle RAC)、GoldenGateまたはOracle Active Data Guardを使用するエンドポイントが、共有データにアクセスするためのキーを共有する必要がある場合があります。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを管理できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。

    21_endpoint_groups.pngの説明が続きます
    図21_endpoint_groups.pngの説明

  3. 「Create」をクリックします。
    「Create Endpoint Group」ページが表示されます。

    21_create_endpoint_group.pngの説明が続きます
    図21_create_endpoint_group.pngの説明

  4. 新しいグループの名前と簡単な説明を入力します。
    オブジェクトの正しいネーミング・ガイドラインに従っていることを確認します。
  5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。
    「Make Unique」は、マルチマスター・クラスタ環境全体でネーミングの競合を制御するために役立ちます。クラスタ・ノードへのOracle Key Vault変換の前に作成されたエンドポイント・グループは、名前の競合による影響を受けません。
    • 「Make Unique」を選択すると、エンドポイント・グループがただちにアクティブになり、ユーザーはこのエンドポイント・グループを使用できます。「Make Unique」をクリックすると、エンドポイント・グループに追加できるエンドポイントのリストも表示されます。
    • 「Make Unique」を選択しない場合、エンドポイント・グループはPENDING状態で作成されます。その後、Oracle Key Vaultは名前解決操作を開始し、クラスタ全体で一意の名前にエンドポイント・グループ名を変更できます。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。エンドポイント・グループ名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたエンドポイント・グループ名を受け入れるか、エンドポイント名を変更する必要があります。エンドポイント・グループ名を変更すると、名前解決操作が再起動され、エンドポイント・グループがPENDING状態に戻ります。PENDING状態のエンドポイント・グループは、ほとんどの操作の実行に使用できません。
  6. 「Save」をクリックして、エンドポイント・グループの作成を完了します。
    これで、新しいエンドポイント・グループが「Endpoint Groups」ページに表示されます。

関連トピック

親トピック: エンドポイント・グループの管理

12.7.3 エンドポイント・グループ詳細の変更

エンドポイント・グループの作成後、エンドポイントおよびアクセス権のマッピングをエンドポイント・グループに追加できます。

1つのエンドポイントは複数のエンドポイント・グループに属することができます。1つのエンドポイント・グループを別のエンドポイント・グループに追加することはできません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、作成されたエンドポイント・グループのみを変更できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. エンドポイント・グループに対応する「Edit」列の編集の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。

    21_endpoint_group_details.pngの説明が続きます
    図21_endpoint_group_details.pngの説明

  4. 必要に応じてエンドポイント名を変更します。
  5. 必要に応じて、説明を変更します。
  6. 「Add」または「Remove」をクリックして、ウォレットまたはエンドポイント・グループ・メンバーに対するアクセス権を追加または削除します。
  7. 「Save」をクリックします。

親トピック: エンドポイント・グループの管理

12.7.4 仮想ウォレットへのエンドポイント・グループ・アクセス権の付与

エンドポイント・グループに仮想ウォレットへのアクセス権を付与できます。

マルチマスター・クラスタでは、PENDING状態のエンドポイント・グループに仮想ウォレットへのアクセス権は付与できません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、ユーザーが作成したエンドポイント・グループに対してのみ、ウォレットへのエンドポイント・グループ・アクセス権を付与できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. エンドポイント・グループに対応する「Edit」列の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。
  4. 「Access to Wallets」ペインで、「Add」をクリックします。
  5. 使用可能リストから仮想ウォレットを選択します。
  6. 次のように、「Access Level」を選択します。
    • Read Only: このレベルでは、仮想ウォレットとその項目へのエンドポイント・グループ読取りアクセス権が付与されます。
    • Read and Modify: このレベルでは、仮想ウォレットとその項目へのエンドポイント・グループ読取りおよび書込みアクセス権が付与されます。
  7. エンドポイントで次の操作を実行する場合は、「Manage Wallet」チェック・ボックスを選択します。
    • 仮想ウォレットでのオブジェクトの追加または削除。
    • その他のエンドポイントまたはエンドポイント・グループに対する仮想ウォレットへのアクセス権の付与。
  8. 「Save」をクリックします。

関連トピック

親トピック: エンドポイント・グループの管理

12.7.5 エンドポイント・グループへのエンドポイントの追加

名前付きエンドポイント・グループにエンドポイントを追加できます。

マルチマスター・クラスタでは、PENDING状態のエンドポイントをエンドポイント・グループに追加することはできません。また、PENDING状態のエンドポイント・グループにエンドポイントを追加することはできません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つ管理者として、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループにのみエンドポイントを追加できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoints」を選択します。
    「Endpoints」ページが表示されます。
  3. グループに追加するエンドポイントを選択します。
    「Endpoint Details」ページが表示されます。
  4. 「Endpoint Group Membership」までスクロールし、「Add」をクリックします。

    「Add Endpoint Group Membership」ページが表示されます。

    21_add_endpoint_group_membership.pngの説明が続きます
    図21_add_endpoint_group_membership.pngの説明

    エンドポイント・グループのリストが「Endpoint Group Name」の下に表示されます。

  5. エンドポイントを追加するエンドポイント・グループの左にあるボックスを選択します。
  6. 「Save」をクリックします。

    「Endpoint Group Membership」ペインに、選択されたエンドポイント・グループが表示されます。

    21_added_endpoint_group_membership.pngの説明が続きます
    図21_added_endpoint_group_membership.pngの説明

関連トピック

親トピック: エンドポイント・グループの管理

12.7.6 エンドポイント・グループからのエンドポイントの削除

エンドポイント・グループからエンドポイントを削除すると、そのエンドポイント・グループに関連付けられているウォレットへのアクセス権が削除されます。

削除プロセスは、エンドポイントに対してウォレットへのアクセス権が別途、直接または別のエンドポイント・グループを介して付与されていないかぎり、削除を完了します。マルチマスター・クラスタでは、複数のエンドポイントを同時に削除できます。マルチマスター・クラスタでは、PENDING状態のエンドポイント・グループのエンドポイントを削除できません。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループからのみエンドポイントを削除できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. 「Endpoint Groups」で、エンドポイント・グループに対応する「Edit」列の横にある編集の鉛筆アイコンをクリックします。
    「Endpoint Group Details」ページが表示されます。
  4. 「Endpoint Group Members」ペインで、削除するエンドポイントの名前の左にあるボックスをチェックします。
  5. 「Remove」をクリックします。
  6. 確認のウィンドウで、「OK」をクリックします。

親トピック: エンドポイント・グループの管理

12.7.7 エンドポイント・グループの削除

メンバー・エンドポイントで、同じ仮想ウォレットへのアクセス権が必要がなくなった場合、エンドポイント・グループを削除できます。

このアクションでは、エンドポイント自体ではなく、ウォレットに対するメンバー・エンドポイントの共有アクセス権が削除されます。PENDING状態のエンドポイント・グループを削除できるのは、グループにメンバーがないか、またはウォレットへのアクセス権がない場合のみです。
  1. キー管理者ロールまたはエンドポイント・グループ管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーは、自分が作成したエンドポイント・グループのみを削除できます。
  2. 「Endpoints」タブを選択して、左側のナビゲーション・バーで「Endpoint Groups」を選択します。
    「Endpoint Groups」ページが表示されます。
  3. 削除するエンドポイント・グループ名の左にあるボックスを選択します。
  4. 「Delete」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。

親トピック: エンドポイント・グループの管理