ボールトの概要

ノート

シークレットがリソースとして導入される以前は、Oracle Cloud Infrastructure VaultOracle Cloud Infrastructure Key Managementと呼ばれていました。また、シークレットのサポートは、Oracle Cloud Infrastructure Government Cloudレルムでは使用できません。

Oracle Cloud Infrastructure Vaultでは、安全にリソースにアクセスするために使用するデータおよびシークレット資格証明を保護する暗号化キーを集中管理できます。ボールト・サービスを使用すると、次のリソースを作成および管理できます:

  • ボールト
  • キー
  • シークレット

ボールトは、従来は構成ファイルやコードに格納していたマスター暗号化キーおよびシークレットを安全に格納します。

ボールト・サービスを使用すると、ボールト、マスター暗号化キーおよびシークレットに関する次のライフサイクル管理機能を実行できるため、これらのリソースの制御やアクセスが簡単になります:

  • ボールトを作成する
  • 暗号化マテリアルをマスター暗号化キーとして作成またはインポートする
  • シークレット資格証明を格納するシークレットを作成する
  • 暗号操作で使用するマスター暗号化キーを有効化または無効化する
  • キーをローテーションして新しい暗号化データを生成する
  • キーまたはボールト・メタデータをバックアップにエクスポートし、後でリストアして再使用する

  • 新しいシークレット・コンテンツでシークレットを更新する
  • プロモーションを介して現在使用中のシークレット・バージョンを指定する
  • シークレットの管理および使用を制御するルールを構成する
  • ボールト、マスター暗号化キーまたはシークレットにタグを付けて、リソースにメタデータを追加する
  • 不要になったボールト、キーまたはシークレットを削除する

マスター暗号化キーの使用に関して、次のことを実行できます:

  • 暗号化と復号化にキーを使用する
  • サポートされているOracle Cloud Infrastructureリソース(バケットやファイル・システムなど)にキーを割り当てる
  • データ暗号化キーを生成する

Oracle Cloud Infrastructure Object StorageOracle Cloud Infrastructure Block VolumeOracle Cloud Infrastructure File StorageおよびOracle Cloud Infrastructure Streamingボールト・サービスと統合して、バケット、ブロック・ボリューム、ブート・ボリューム、ファイル・システムおよびストリーム・プール内のデータの暗号化をサポートします。Oracle Cloud Infrastructure Container Engine for Kubernetesボールト・サービスと統合して、etcdキー/値ストアに保存されるKubernetesシークレットを暗号化して新しいクラスタを作成することをサポートします。

Oracle Cloud Infrastructure Identity and Access Management (IAM)との統合により、誰がどのキーおよびシークレットにアクセスし、それらのリソースに関してどのような操作を実行できるかを制御できます。Oracle Cloud Infrastructure Audit統合によって、キーおよびシークレットの使用状況をモニターできます。監査では、ボールト、キーおよびシークレットの管理アクションがトラッキングされます。

キーは、連邦情報処理標準(FIPS) 140-2セキュリティ・レベル3のセキュリティ証明を満たす、可用性の高い永続的なハードウェア・セキュリティ・モジュール(HSM)に格納されます。ボールト・サービスでは、暗号化アルゴリズムとしてAdvanced Encryption Standard (AES)が使用され、そのキーはAES対称キーです。

キーおよびシークレット管理の概念

ボールト・サービスを理解するには、次の概念が不可欠です。

ボールト
ボールトは、ボールト・サービスがキーおよびシークレットを作成して永続的に格納する論理エンティティです。使用するボールトのタイプによって、ストレージの分離度、管理および暗号化へのアクセス、スケーラビリティなどの機能が決まります。また、使用するボールトのタイプは価格設定にも影響します。
ボールト・サービスには、組織のニーズや予算に対応する様々なボールト・タイプが用意されています。仮想プライベート・ボールトは、ハードウェア・セキュリティ・モジュール(HSM)上の分離されたパーティションであり、ボールトに格納される暗号化キーおよびシークレットのセキュリティと整合性を確保します。そうでないボールトは、HSM上のパーティションを他のボールトと共有します。仮想プライベート・ボールトには、デフォルトで1000個のキー・バージョンが含まれます。分離の程度を高くする必要がない場合は、通常のボールトを使用して、必要に応じて個々にキー・バージョンの分を支払うことでコストを管理できます。キー・バージョンはキー制限およびコストに加算されます。キーには常に少なくとも1つのアクティブ・キー・バージョンが含まれます。同様に、シークレットには常に少なくとも1つのシークレット・バージョンが含まれます。ただし、シークレットに対する制限は、ボールトではなくテナンシに適用されます。
ボールト・サービスでは、ボールトがOracle Cloud Infrastructureリソースとして指定されています。
キー
キーは、データの暗号化と復号化に使用される暗号化データを含む1つ以上のキー・バージョンを表す論理エンティティで、格納されているデータの保護に使用されます。暗号化アルゴリズムの一部として処理される場合は、暗号化中に平文を暗号文に変換する方法と、復号化中に暗号文を平文に変換する方法をキーで指定します。概念上、ボールト・サービスは、3つのタイプの暗号化キー(マスター暗号化キー、ラッピング・キーおよびデータ暗号化キー)を認識します。
マスター暗号化キーは、コンソール、CLIまたはAPIを使用して作成できます。マスター暗号化キーは、ボールト・サービスによって内部的に生成することも、外部ソースからサービスにインポートすることもできます。ボールト・サービスによってマスター暗号化キーがボールトに格納されます。
最初のマスター暗号化キーを作成した後は、APIを使用して、ボールト・サービスから返されるデータ暗号化キーを生成できます。また、サービスによっては、マスター暗号化キーを使用して独自のデータ暗号化キーを生成することもできます。
各ボールトにデフォルトで含まれている暗号化キーのタイプは、ラッピング・キーです。ラッピング・キーとは、RSAアルゴリズムに基づく4096ビットの非対称暗号化キー・ペアです。公開キーと秘密キーは2つのキー・バージョンとしてサービス制限に加算されますが、サービス・コストには加算されません。ボールト・サービスにインポートするためにキー・マテリアルをラップする必要がある場合は、公開キーをキー暗号化キーとして使用します。ラッピング・キーを作成、削除またはローテーションすることはできません。
ボールト・サービスでは、マスター暗号化キーがOracle Cloud Infrastructureリソースとして認識されます。
キー・バージョン
各マスター暗号化キーには、キー・バージョンが自動的に割り当てられます。キーをローテーションすると、ボールト・サービスにより新しいキー・バージョンが生成されます。ボールト・サービスによって新しいキー・バージョンのキー・マテリアルを生成することも、新しいキー・バージョンのキー・マテリアルをインポートすることもできます。定期的にキーをローテーションすると、1つのキー・バージョンによって暗号化されるデータの量が制限されます。キー・ローテーションにより、キーの漏えいが発生した場合のリスクを軽減できます。Oracle Cloud ID (OCID)と呼ばれるOracleが割り当てた一意のキー識別子はローテーション後も変わりませんが、キー・バージョンによって、ボールト・サービスがコンプライアンス要件を満たすためにシームレスにキーをローテーションすることが可能になります。ローテーション後に古いキー・バージョンを暗号化に使用することはできませんが、キー・バージョンは、以前に暗号化されたデータを復号化するために使用できます。ボールト・サービスでは、復号化に必要な情報がキーの暗号文に含まれているため、どのキー・バージョンがどのデータの暗号化に使用されたかをトラッキングする必要がなくなります。
ハードウェア・セキュリティ・モジュール
マスター暗号化キーを作成すると、ボールト・サービスによってキー・バージョンがハードウェア・セキュリティ・モジュール(HSM)内に格納されて、物理セキュリティのレイヤーが提供されます。(シークレットを作成すると、シークレット・バージョンはbase64でエンコードされ、マスター暗号化キーによって暗号化されますが、HSM内には格納されません。)キー・バージョンまたはシークレット・バージョンは、作成後に、ハードウェア障害から保護する手段としてサービス・インフラストラクチャ内にレプリケートされます。それ以外の場合、キー・バージョンは他の場所に格納されず、HSMからエクスポートできません。ボールト・サービスでは、連邦情報処理標準(FIPS) 140-2セキュリティ・レベル3のセキュリティ証明を満たすHSMが使用されます。これは、HSMハードウェアが開封明示されて、改ざんの防止のための物理的な保護手段を持っていること、アイデンティティ・ベースの認証が必要であること、および改ざんが検出されたときにデバイスからキーを削除することを意味します。
エンベロープ暗号化
データの暗号化に使用されるデータ暗号化キーは、それ自体がマスター暗号化キーで暗号化されます。この概念はエンベロープ暗号化と呼ばれます。Oracle Cloud Infrastructureサービスは、ボールト・サービスと対話や、Oracle Cloud Infrastructure Identity and Access Management (IAM)によって保護されたマスター暗号化キーへのアクセスなくしてプレーン・テキスト・データにアクセスすることはできません。復号化のために、オブジェクト・ストレージブロック・ボリュームおよびファイル・ストレージには、暗号化された形式のデータ暗号化キーのみが格納されます。
シークレット
シークレットとは、パスワード、証明書、SSHキー、Oracle Cloud Infrastructureサービスで使用する認証トークンなどの資格証明です。シークレットをボールトに格納すると、コードや構成ファイルなどの他の場所に格納するよりも優れたセキュリティを実現できます。リソースや他のサービスへのアクセスに必要な場合、ボールト・サービスからシークレットを取得できます。
シークレットは、コンソール、CLIまたはAPIを使用して作成できます。シークレットのシークレット・コンテンツは、外部ソースからサービスにインポートされます。ボールト・サービスによってシークレットがボールトに格納されます。
ボールト・サービスでは、シークレットがOracle Cloud Infrastructureリソースとしてサポートされています。
シークレット・バージョン
各シークレットには、シークレット・バージョンが自動的に割り当てられます。シークレットをローテーションするときに、新しいシークレット・コンテンツをボールト・サービスに提供して、新しいシークレット・バージョンを生成します。シークレット・コンテンツを定期的にローテーションすることで、シークレットが公開された場合の影響を抑えることができます。Oracle Cloud ID (OCID)と呼ばれるOracleが割り当てた一意のシークレット識別子はローテーション後も変わりませんが、シークレット・バージョンによって、ボールト・サービスがルールやコンプライアンス要件を満たすためにシークレット・コンテンツをローテーションすることが可能になります。シークレットを再利用できないように構成されたルールがある場合、ローテーション後に古いシークレット・バージョンのコンテンツは使用できませんが、シークレット・バージョンは引き続き使用可能であり、「現在」以外のローテーション状態を示すマークが付きます。シークレット・バージョンおよびそのローテーション状態の詳細は、シークレット・バージョンおよびローテーション状態を参照してください。
シークレット・バンドル
シークレット・バンドルは、シークレット・コンテンツ、シークレットとシークレット・バージョンのプロパティ(バージョン番号やローテーション状態など)、およびユーザーが提供したシークレットのコンテキスト・メタデータで構成されます。シークレットをローテーションするとき、新しいシークレット・バージョンを作成しますが、これにも新しいシークレット・バンドル・バージョンが含まれています。

リージョンおよび可用性ドメイン

ボールト・サービスは、すべてのOracle Cloud Infrastructure商用リージョンで使用できます。使用可能なリージョンのリストと、関連するロケーション、リージョン識別子、リージョン・キーおよび可用性ドメインの詳細は、リージョンおよび可用性ドメインについてを参照してください。

ただし、他のOracle Cloud Infrastructureサービスとは異なり、ボールトサービスにはすべてのAPI操作に対する1つのリージョン・エンドポイントがありません。このサービスには、ボールトの作成、更新およびリスト操作を処理するプロビジョニング・サービス用のリージョン・エンドポイントが1つあります。キーの作成、更新およびリスト操作の場合、サービス・エンドポイントは複数の独立したクラスタ間で分散されます。シークレットのサービス・エンドポイントは、異なる独立したクラスタ間でさらに分散されます。

ボールト・サービスにはパブリック・エンドポイントがあるため、アプリケーションでの暗号操作にはサービスによって生成されたデータ暗号化キーを直接使用できます。ただし、ボールトと統合されたサービスでマスター暗号化キーを使用することは、サービスとキーが含まれるボールトが同じリージョン内に存在しているときのみ可能です。キー管理操作、キー暗号操作、シークレット管理操作およびシークレット取得操作に対して異なるエンドポイントが存在します。詳細は、Oracle Cloud Infrastructure APIドキュメントを参照してください

ボールト・サービスは、リージョン内のすべての可用性ドメインにわたって暗号化キーおよびシークレットのコピーを保持します。このレプリケーションにより、1つの可用性ドメインが使用できなくなっても、ボールト・サービスがリクエストに応じてキーまたはシークレットを生成することが可能になります。

ボールトへのプライベート・アクセス

ボールト・サービスでは、サービス・ゲートウェイを介した仮想クラウド・ネットワーク(VCN)内のOracle Cloud Infrastructureリソースからのプライベート・アクセスがサポートされます。VCNでサービス・ゲートウェイを設定して使用すると、リソース(暗号化されたボリュームがアタッチされているインスタンスなど)は、パブリック・インターネットに公開しなくても、ボールト・サービスなどのパブリックOracle Cloud Infrastructureサービスにアクセスできます。インターネット・ゲートウェイは必須ではなく、リソースはプライベート・サブネットにあって、プライベートIPアドレスのみを使用できます。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

リソース識別子

ボールト・サービスでは、ボールト、キーおよびシークレットがOracle Cloud Infrastructureリソースとしてサポートされています。ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)と呼ばれるOracleによって割り当てられた一意の識別子があります。OCIDのフォーマットおよびリソースを識別するその他の方法の詳細はリソース識別子を参照してください。

Oracle Cloud Infrastructureへのアクセス方法

コンソール(ブラウザベースのインタフェース)またはREST APIを使用してOracle Cloud Infrastructureにアクセスできます。コンソールおよびAPIのための手順は、このガイド全体を通してトピックに含まれています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。このページの上部にある「コンソール」リンクを使用して、サインイン・ページに移動できます。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。

API使用についての一般情報は、REST APIを参照してください。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。

組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループコンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。

ボールト・リソースの制限

適用可能な制限の一覧と制限の引上げをリクエストする手順は、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。

テナンシのリソース制限に対する使用レベルを表示する手順は、サービス制限、割当ておよび使用状況の表示を参照してください。ボールトの詳細でキーおよびキー・バージョンの数を表示することで、各ボールトのキー制限に対する使用状況を取得することもできます。