マスター暗号化キーの割当て
サポートされているリソースにマスター暗号化キーを割り当て、不要になったら削除します。
Oracleが管理する暗号化キーを使用するかわりに、管理するマスター暗号化キーをブロック・ボリューム、ブート・ボリューム、データベース、ファイル・システム、バケットおよびストリーム・プールに割り当てることができます。Block Volume、Database、File Storage、Object StorageおよびStreamingでは、各サービスにより格納されたデータを保護するデータ暗号化キーが復号化されます。デフォルトでは、これらのサービスはOracle管理のマスター暗号化キーに基づいて暗号操作を行います。Vaultマスター暗号化キー割当てをリソースから削除すると、サービスは再び暗号化にOracle管理のキーを使用します。
また、Kubernetesエンジンを使用して作成したクラスタにマスター暗号化キーを割り当てて、etcdキー/値ストアに保存されるKubernetesシークレットを暗号化することもできます。
キーの割当てには、次の構成が含まれます。
- 暗号化されたブート・ボリュームによるコンピュート・インスタンスの作成
- ボールト・キーで暗号化されたブート・ボリュームの作成
- 暗号化されたシークレットによるKubernetesクラスタの作成
- オブジェクト・ストレージ・バケットへのキーの割当て
- ストリーム・プールへのキーの割当て
- ブート・ボリュームへのキーの割当て
- ファイル・システムへのキーの割当て
- ブロック・ボリュームへのキーの割当て
- ブート・ボリュームへのキーの編集
- ブロック・ボリュームへのキーの編集
- ブロック・ボリュームからのキー割当ての削除
- オブジェクト・ストレージからのキー割当ての削除
マスター暗号化キーおよびキー・バージョンの作成と使用の管理の詳細は、キーの管理を参照してください。独自のキー・マテリアルを使用したキーの作成の詳細は、Vaultキーおよびキー・バージョンのインポートを参照してください。暗号化操作でのキーの使用方法の詳細は、マスター暗号化キーの使用を参照してください。キーを格納するボールトで実行できる操作の詳細は、ボールトの管理を参照してください。
必須IAMポリシー
ボリューム、バケット、ファイル・システム、クラスタおよびストリーム・プールに関連付けられたキーは、ブロック・ボリューム、オブジェクト・ストレージ、ファイル・ストレージ、Kubernetesエンジンおよびストリーミングがユーザーにかわってキーを使用することを認可しないかぎり機能しません。さらに、ユーザーがキーの使用方法をこれらのサービスに委任することを最初に認可する必要もあります。詳細は、共通ポリシーのユーザー・グループによるコンパートメントでのキーの使用の委任および暗号化キーを有効にするポリシーの作成を参照してください。データベースに関連付けられているキーは、テナンシ内のキーを管理するためにDBシステム内のすべてのノードを含む動的グループを認可しないかぎり機能しません。詳細は、Exadata Cloud Serviceで必要なIAMポリシーを参照してください
Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。
管理者向け: ボールト、キーおよびシークレットへのアクセス権を付与する一般的なポリシーについては、セキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。権限の詳細、またはより詳細なポリシーを記述する方法については、ボールト・サービスの詳細を参照してください。