マスター暗号化キーの割当て
サポートされているリソースにマスター暗号化キーを割り当て、不要になったら削除します。
Oracleが管理する暗号化キーを使用するかわりに、管理するマスター暗号化キーをブロック・ボリューム、ブート・ボリューム、データベース、ファイル・システム、バケットおよびストリーム・プールに割り当てることができます。「ブロック・ボリューム」、「データベース」、「ファイル・ストレージ」、「オブジェクト・ストレージ」および「ストリーミング」は、キーを使用して、各サービスによって格納されているデータを保護するデータ暗号化キーを復号化します。デフォルトでは、これらのサービスはOracle管理のマスター暗号化キーに基づいて暗号操作を行います。Vaultマスター暗号化キー割当てをリソースから削除すると、サービスは再び暗号化にOracle管理のキーを使用します。
また、Container Engine for Kubernetesを使用して作成したクラスタにマスター暗号化キーを割り当てて、etcdキー/値ストアに保存されるKubernetesシークレットを暗号化することもできます。
キーの割当てには、次の構成が含まれます。
- 暗号化されたブート・ボリュームによるコンピュート・インスタンスの作成
- ボールト・キーで暗号化されたブート・ボリュームの作成
- 暗号化されたシークレットによるKubernetesクラスタの作成
- オブジェクト・ストレージ・バケットへのキーの割当て
- ストリーム・プールへのキーの割当て
- ブート・ボリュームへのキーの割当て
- ファイル・システムへのキーの割当て
- ブロック・ボリュームへのキーの割当て
- ブート・ボリュームへのキーの編集
- ブロック・ボリュームへのキーの編集
- ブロック・ボリュームからのキー割当ての削除
- オブジェクト・ストレージからのキー割当ての削除
マスター暗号化キーおよびキー・バージョンの作成と使用の管理の詳細は、キーの管理を参照してください。独自のキー・マテリアルを使用したキーの作成の詳細は、Vaultキーおよびキー・バージョンのインポートを参照してください。暗号化操作でのキーの使用方法の詳細は、マスター暗号化キーの使用を参照してください。キーを格納するボールトで実行できる操作の詳細は、ボールトの管理を参照してください。
必須IAMポリシー
ボリューム、バケット、ファイル・システム、クラスタおよびストリーム・プールに関連付けられたキーは、ブロック・ボリューム、オブジェクト・ストレージ、ファイル・ストレージ、Container Engine for Kubernetesおよびストリーミングがかわりにキーを使用することを認可しないかぎり機能しません。さらに、ユーザーがキーの使用方法をこれらのサービスに委任することを最初に認可する必要もあります。詳細は、共通ポリシーのユーザー・グループによるコンパートメントでのキーの使用の委任および暗号化キーを有効にするポリシーの作成を参照してください。データベースに関連付けられているキーは、テナンシ内のキーを管理するためにDBシステム内のすべてのノードを含む動的グループを認可しないかぎり機能しません。詳細は、Exadata Cloud Serviceで必要なIAMポリシーを参照してください
Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。