シークレット・バージョンおよびローテーション状態

ノート

シークレットのサポートは、Oracle Cloud Infrastructure Government Cloudレルムでは使用できません。

このトピックでは、シークレット、シークレット・バージョンおよびローテーション状態の関係について説明します。また、サービス制限がシークレット・バージョンに与える影響についても説明します。シークレット・バージョンおよびローテーション状態について理解すると、制限、ローテーションや他のルール、または規制への準拠を保つためにシークレット・コンテンツをトラッキングおよび管理するのに役立ちます。シークレット・バージョンおよびローテーション状態を含む、シークレットの概念の基本的な定義については、キーおよびシークレット管理の概念を参照してください。シークレット・バージョンの作業の詳細は、シークレットの管理を参照してください。

シークレット・バージョン

どのシークレットにも、少なくとも1つのシークレット・バージョンがあります。シークレットのコンテンツを更新するたびに、新しいシークレット・バージョンを作成します。シークレット・バージョン番号は1から始まって、1ずつ増えます。どのシークレットにも少なくとも1つのバージョンがありますが、ある時点で複数のバージョンのシークレットが存在している可能性があります。

シークレット・バージョンは、バージョン番号に加えてバージョン名やローテーション状態でも識別できます。シークレット・バージョンのローテーション状態は、シークレットの使用状況を表します。一般に、アプリケーションにはシークレットの現在のバージョンが必要です。シークレット・バージョンを「現在」のバージョンとしてマークすると、それに含まれるシークレット・コンテンツが目的のリソースへのアクセスに現在使用されていることを示します。つまり、データベースに接続するためのパスワードをシークレットとして格納した場合、そのシークレットの現在のバージョンをリクエストするのは、それが現在データベースで期待されているパスワードであることがわかっているときです。

ローテーション状態

シークレット・バージョンは、一度に複数のローテーション状態になることができます。存在するシークレット・バージョンが1つのみの場合(シークレットを初めて作成したときなど)、そのシークレット・バージョンには自動的に「現在」「最新」の両方のマークが付きます。シークレットをトラッキングできるように、シークレットの「最新」バージョンには、最後にボールトにアップロードされたシークレット・コンテンツが含まれます。

シークレットをローテーションして新しいシークレット・コンテンツをアップロードするときは、そのシークレットを「保留中」としてマークできます。シークレット・バージョンのローテーション状態を「保留中」としてマークすると、シークレット・コンテンツを今すぐアクティブに使用せずにボールトにアップロードできます。保留中のシークレット・バージョンを「現在」ステータスにプロモートする準備ができるまで、「現在」のシークレット・バージョンを使用し続けることができます。通常、最初にターゲット・リソースまたはサービス上で資格証明をローテーションした後でこれを行います。意図せずシークレット・バージョンを変更することを避ける必要があります。「現在」のシークレット・バージョンを変更すると、それを必要とするアプリケーションが期待されるシークレット・バージョンをボールトから取得できなくなります。

シークレット・コンテンツの更新で間違いがあった場合や、古いリソースのバックアップをリストアしたときに古いシークレット・コンテンツを使用して再開する場合などに、以前のバージョンに簡単にロールバックできるように、シークレット・バージョンを「前」としてマークすることもできます。「前」としてマークされるシークレット・バージョンは、以前に「現在」としてマークされていたシークレット・バージョンです。以前のバージョンにロールバックするには、シークレットを更新して、目的のシークレット・バージョン番号を指定します。

シークレット・バージョンが削除されていないかぎり、シークレットを更新して、その過去のシークレット・バージョンを使用できます。シークレットを更新すると、選択したシークレット・バージョン番号が「現在」としてマークされます。これは、シークレット・バージョンを「現在」にプロモートするのと同じ結果になります。

削除できるのは、「非推奨」としてマークされているシークレット・バージョンのみです。非推奨のシークレット・バージョンとは、「現在」「保留中」「前」のいずれとしてもマークされていないものです。これにより、削除したシークレット・バージョンが後で必要になるような状況(たとえば、以前にバックアップしたデータベースをリストアする場合)を回避できます。「非推奨」以外のマークが付いたシークレット・バージョンは、「現在」としてマークすることで、再びアクティブに使用できます。

シークレット・バージョンの制限

シークレット・バージョンの制限は、使用中のシークレット・バージョンと非推奨のバージョン(削除がスケジュールされているバージョンを含む)の両方に適用されます。特定のシークレットのバージョンの数、およびテナンシ内のシークレット・バージョンの数の制限の詳細は、サービスの制限を参照してください。