Key Management
キー管理サービスは、リソースへの安全なアクセスのためにキーを格納および管理するOCIサービスです。
Oracle Cloud Infrastructure (OCI) Key Management Service (KMS)は、OCIに格納されるデータの暗号化鍵を一元管理および制御できるクラウドベースのサービスです。
OCI KMSには、次の機能があります。
- 暗号化キーを一元的に格納および管理することで、キー管理を簡素化します。
- 対称キーおよび非対称キーなどの各種暗号化キー・タイプをサポートし、保存中および転送中のデータを保護します。
- OCIへのBring Your Own Keys (BYOK)の制御、OCIでの作成、またはOCIの外部でのHold Your Own Keys (HYOK)の制御を強化することで、セキュリティおよびコンプライアンスの要件に対応します。また、FIPS 140-2 Level 3認定ハードウェア・セキュリティ・モジュール(HSM)を使用して、暗号化キーを格納および保護することもできます。
- ストレージ、データベース、Fusion Applicationsなどの他のOCIサービスと暗号化を統合して、これらのサービスに格納されているデータを保護します。
キーおよびシークレット管理の概念
Vault、キーおよびシークレットへのアクセスおよび管理に関するVaultおよびキー管理の概念を理解します。
- ボールト
- ボールトは、Vaultサービスによってボールト・キーおよびシークレットが作成され、永続的に格納される論理エンティティです。保持するボールトのタイプによって、ストレージの分離度、管理および暗号化へのアクセス、スケーラビリティおよびバックアップ機能が決まります。また、使用するボールトのタイプは価格設定にも影響します。ボールトの作成後、ボールトのタイプは変更できません。
- キー
- キーは、1つ以上のキー・バージョンを表す論理エンティティであり、各キーには暗号化マテリアルが含まれます。ボールト・キーの暗号化資料は、暗号化またはデジタル署名にキーを使用できる特定のアルゴリズムに対して生成されます。暗号化に使用すると、キーまたはキーのペアがデータを暗号化および復号化し、データが格納されている場所またはデータが転送中のデータを保護します。AES対称キーを使用すると、同じキーでデータが暗号化および復号化されます。RSA非対称キーを使用すると、公開キーはデータを暗号化し、秘密キーはデータを復号化します。
- キー・バージョンとローテーション
- 各ボールト・マスター暗号化キーには、キー・バージョンが自動的に割り当てられます。キーをローテーションすると、ボールト・サービスにより新しいキー・バージョンが生成されます。Vaultサービスでは、新しいキー・バージョンのキー・マテリアルを生成することも、独自のキー・マテリアルをインポートすることもできます。
- 自動キー回転
-
OCI Key Management Serviceを使用すると、キー・ローテーションを自動的にスケジュールできます。ローテーション・スケジュールは、暗号化キー(有効状態)のローテーションの頻度とローテーション・スケジュールの開始日を定義します。自動ローテーションをスケジュールする場合、60日から365日の範囲のキー・ローテーション・スケジュールを定義できます。KMSは、HSMキーとソフトウェア・キーの両方に対して自動キー・ローテーションをサポートしており、対称キーと非対称キーの両方に適用されます。ノート
この機能は、プライベート・ボールトでのみ使用できます。自動キー回転の顕著な特徴は次のとおりです:- キーの自動キー・ローテーション・スケジュールを有効化または更新できます。
- 自動ローテーション・ステータス、定期的なキー・ローテーション更新、最後に成功したローテーション・ステータス、次のローテーション開始日などの自動キー・ローテーション・アクティビティをキーの粒度で追跡する機能。
- 自動キー・ローテーションに関係なく、オンデマンド(手動操作)でキーをローテーションする機能が有効または無効になります。
- テナントの容量制限、不正な状態のキーまたはボールトなどの問題のためにキー・ローテーションが失敗した場合にイベント通知を送信します。
自動ローテーション・イベント通知: KMSは自動レイ・ローテーション・ステータス通知を送信します。これらの通知を受信するには、OCIイベント・サービスを構成する必要があります。キー・ローテーションのたびに、ローテーション・ステータスおよびエラー・メッセージ(ある場合)に関する通知がKMSによって送信されます。OCIイベント・サービスを使用すると、Oracle関数をアタッチして、新しいキー・バージョンでデータを再暗号化するためのカスタム・ロジックを実行し、その後に古いキー・バージョンを削除するか、データをサイジングまたは検証するための非対称キーの公開部分を配布できます。
- ハードウェア・セキュリティ・モジュール
- 保護モードがHSMに設定されているAES対称マスター暗号化キーを作成すると、Vaultサービスはキー・バージョンをハードウェア・セキュリティ・モジュール(HSM)内に格納し、物理セキュリティのレイヤーを提供します。(シークレットを作成すると、シークレット・バージョンはbase64でエンコードされ、マスター暗号化キーによって暗号化されますが、HSM内には格納されません。)リソースの作成後、サービスは、ハードウェア障害に対する自己回復性を実現するために、サービス・インフラストラクチャ内の指定されたキー・バージョンまたはシークレット・バージョンのコピーを保持します。それ以外の場合、HSMで保護されたキーのキー・バージョンは他のどこにも格納されず、HSMからエクスポートできません。
- エンベロープ暗号化
- データの暗号化に使用されるデータ暗号化キーは、それ自体がマスター暗号化キーで暗号化されます。この概念はエンベロープ暗号化と呼ばれます。Oracle Cloud Infrastructureサービスは、ボールト・サービスと対話や、Oracle Cloud Infrastructure Identity and Access Management (IAM)によって保護されたマスター暗号化キーへのアクセスなくしてプレーン・テキスト・データにアクセスすることはできません。暗号化のために、Object Storage、Block Volume、File Storageなどの統合サービスには、暗号化された形式のデータ暗号化キーのみが格納されます。
- シークレット
- シークレットとは、パスワード、証明書、SSHキー、Oracle Cloud Infrastructureサービスで使用する認証トークンなどの資格証明です。シークレットをボールトに格納すると、コードや構成ファイルなどの他の場所に格納するよりも優れたセキュリティを実現できます。リソースや他のサービスへのアクセスに必要な場合、ボールト・サービスからシークレットを取得できます。
- シークレット・バージョン
- 各シークレットには、シークレット・バージョンが自動的に割り当てられます。シークレットをローテーションするときに、新しいシークレット・コンテンツをボールト・サービスに提供して、新しいシークレット・バージョンを生成します。シークレット・コンテンツを定期的にローテーションすることで、シークレットが公開された場合の影響を抑えることができます。Oracle Cloud ID (OCID)と呼ばれるOracleが割り当てた一意のシークレット識別子はローテーション後も変わりませんが、シークレット・バージョンによって、ボールト・サービスがルールやコンプライアンス要件を満たすためにシークレット・コンテンツをローテーションすることが可能になります。シークレットを再利用できないように構成されたルールがある場合、ローテーション後に古いシークレット・バージョンのコンテンツは使用できませんが、シークレット・バージョンは引き続き使用可能であり、「現在」以外のローテーション状態を示すマークが付きます。シークレット・バージョンおよびそのローテーション状態の詳細は、シークレット・バージョンおよびローテーション状態を参照してください。
- シークレット・バンドル
- ボールト・シークレット・バンドルは、シークレット・コンテンツ、シークレットおよびシークレット・バージョンのプロパティ(バージョン番号やローテーション状態など)、およびユーザーが指定したシークレットのコンテキスト・メタデータで構成されます。シークレットをローテーションするとき、新しいシークレット・バージョンを作成しますが、これにも新しいシークレット・バンドル・バージョンが含まれています。
リージョンおよび可用性ドメイン
ボールト・サービスは、すべてのOracle Cloud Infrastructure商用リージョンで使用できます。使用可能なリージョンのリストと、関連するロケーション、リージョン識別子、リージョン・キーおよび可用性ドメインの詳細は、リージョンおよび可用性ドメインについてを参照してください。
ただし、他のOracle Cloud Infrastructureサービスとは異なり、ボールトサービスにはすべてのAPI操作に対する1つのリージョン・エンドポイントがありません。このサービスには、ボールトの作成、更新およびリスト操作を処理するプロビジョニング・サービス用のリージョン・エンドポイントが1つあります。キーの作成、更新およびリスト操作の場合、サービス・エンドポイントは複数の独立したクラスタ間で分散されます。シークレットのサービス・エンドポイントは、異なる独立したクラスタ間でさらに分散されます。
ボールト・サービスにはパブリック・エンドポイントがあるため、アプリケーションでの暗号操作にはサービスによって生成されたデータ暗号化キーを直接使用できます。ただし、ボールトと統合されたサービスでマスター暗号化キーを使用することは、サービスとキーが含まれるボールトが同じリージョン内に存在しているときのみ可能です。キー管理操作、キー暗号操作、シークレット管理操作およびシークレット取得操作に対して異なるエンドポイントが存在します。詳細は、Oracle Cloud Infrastructure APIドキュメントを参照してください
Vaultサービスでは、ボールトとその内容のコピーを保持して永続的に保持し、可用性ドメインが使用できない場合でも、Vaultサービスでリクエストに応じてキーまたはシークレットを生成できるようにします。このレプリケーションは、お客様が構成するリージョン間レプリケーションとは無関係です。
複数の可用性ドメインがあるリージョンの場合、Vaultサービスでは、リージョン内のすべての可用性ドメイン間で暗号化キーのコピーが保持されます。複数の可用性ドメインを持つリージョンには、可用性ドメインごとに1つのラックがあります。つまり、レプリケーションは、これらのリージョン内の合計3つのラックで行われ、各ラックは異なる可用性ドメインに属します。1つの可用性ドメインがあるリージョンでは、Vaultサービスにより、フォルト・ドメイン間で暗号化キーのコピーが保持されます。
シークレットの場合、複数の可用性ドメインがあるリージョンでは、Vaultサービスは2つの異なる可用性ドメインにシークレット・コピーを配布します。1つの可用性ドメインがあるリージョンでは、Vaultサービスはコピーを2つの異なるフォルト・ドメインに分散します。
すべてのアベイラビリティ・ドメインに3つのフォルト・ドメインがあります。フォルト・ドメインは、Vaultサービスが特定の可用性ドメイン内の異なる物理ハードウェアにリソースを分散できるようにすることで、高可用性とフォルト・トレランスを提供するのに役立ちます。物理ハードウェア自体には、1つのフォルト・ドメインに停電が他のフォルト・ドメインに影響しないようにする、独立した冗長電源装置もあります。
これらすべてにより、可用性ドメインが複数の可用性ドメインを持つリージョンで使用できない場合や、フォルト・ドメインが単一の可用性ドメインを持つリージョンで使用できない場合でも、Vaultサービスがリクエストに応じてキーとシークレットを生成できるようになります。
ボールトへのプライベート・アクセス
ボールト・サービスでは、サービス・ゲートウェイを介した仮想クラウド・ネットワーク(VCN)内のOracle Cloud Infrastructureリソースからのプライベート・アクセスがサポートされます。VCNでサービス・ゲートウェイを設定して使用すると、リソース(暗号化されたボリュームがアタッチされているインスタンスなど)は、パブリック・インターネットに公開しなくても、ボールト・サービスなどのパブリックOracle Cloud Infrastructureサービスにアクセスできます。インターネット・ゲートウェイは必須ではなく、リソースはプライベート・サブネットにあって、プライベートIPアドレスのみを使用できます。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。
リソース識別子
Oracle Cloud Infrastructureへのアクセス方法
Oracle Cloud Infrastructureには、クラウド・アカウントを入力してアクセスできます。
Oracle Cloud Infrastructure (OCI)には、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用してアクセスできます。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックに記載されています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「Infrastructureコンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。
認証と認可
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。
組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループ、コンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新規ユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。
会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。
ボールト・リソースの制限
使用を開始する前に、Vaultサービスの制限とそのリソース使用率を確認します。
適用可能な制限のリストと制限の引上げをリクエストする手順は、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。
テナンシのリソース制限に対する使用レベルを表示する手順は、サービス制限、割当ておよび使用状況の表示を参照してください。ボールトの詳細でキーおよびキー・バージョンの数を表示することで、各ボールトのキー制限に対する使用状況を取得することもできます。