ボールトおよびキーのバックアップとリストア
ハードウェア・セキュリティ・モジュール(HSM)の仮想プライベート・ボールトおよびマスター暗号化キーをバックアップおよびリストアします。
これらのリソースのバックアップを作成して、OCIの外部のバケットまたはオフラインに格納できます。
現在、バックアップできるボールトのタイプは、仮想プライベート・ボールトのみです。同様に、バックアップできる暗号化キーのタイプは、ハードウェア・セキュリティ・モジュール(HSM)によって保護されるマスター暗号化キーのみです。ソフトウェアで保護されているマスター暗号化キーはバックアップできません。秘密もバックアップできません。
今すぐ必要ないが、後で復号化にキーを使用する必要があると思われる場合は、削除する前にボールトまたは暗号化キーをバックアップすることをお薦めします。また、ボールトとキーを削除すると、そのキーを使用して暗号化したすべてのリソースまたはデータを復号化する方法を失うことになります。キーをリストアすると、以前にそのキーで暗号化したリソースの使用を再開できます。
また、障害時リカバリ・シナリオで使用するボールトのバックアップを作成することもできます。レルム内の任意のリージョンにバックアップをリストアできるため、バックアップされたリソースのリージョンが使用できなくなったディザスタ・リカバリ・シナリオでも、暗号化されたリソースにアクセスできます。
デフォルトで、キー・バックアップには、関連付けられているボールトに関するメタデータが含まれます。ボールト・バックアップにはオプションでキー・メタデータが含まれることがありますが、個別に、またはボールト・バックアップの一部として、シークレットをバックアップすることはできません。バックアップおよびリストアできるのは、HSMおよび仮想プライベート・ボールトによって保護されている暗号化キーのみです。
次に、Vaultバックアップ操作を示します:
使用するキーの作成および管理の詳細は、キーの管理を参照してください。キーとシークレットを格納するボールトで実行できる操作の詳細は、ボールトの管理を参照してください。シークレットの使用の作成および管理の詳細は、Vaultシークレットの管理を参照してください。
仕組み
キーは、作成されたボールトに常に関連付けられます。この関係は、キーがバックアップやリストアされても維持されます。そのため、キーをリストアするには、そのキーに関連付けられたボールトが常に必要です。また、ボールトは、キーを管理したり使用したりする管理エンドポイントと暗号エンドポイントをホストすることからも必要です。つまり、ボールトとキーを両方ともバックアップしてから削除した場合、先にボールトをリストアしてからキーをリストアする必要があります。
ボールトまたはキーをバックアップするには、ボールトまたはキーに関する識別情報とその内容をエクスポートします。(サービスはバックアップを暗号化し、そのサービスのみがそれらをリストアできます。)ボールトにキーが含まれており、バックアップの実行時にそのキーがサポートされるライフサイクル状態であれば、オプションでボールト・バックアップにキーを含めることができます。バックアップできるのは、アクティブなキー、有効なキーまたは無効なキーのみです。バックアップでは、削除されたキーや一時的な状態にあるキー(たとえば、「作成中」や「削除の保留中」)は除外されます。キー・バックアップには、キー・メタデータに加え、常にボールト・メタデータが含まれます。ボールト・メタデータを保持しておけば、キーのリストアが可能になります。バックアップできるのは、アクティブなボールトのみです。
一度にバックアップできるボールトまたはキーは、1つのみです。(例外は、キーをボールト・バックアップの一部としてバックアップする場合です。)キー・バックアップを実行すると、有効な状態のすべての関連キー・バージョンがファイルに含まれます。削除済または削除保留中の状態のキー・バージョンは、バックアップから除外されます。
バックアップ操作では、バックアップをダウンロードする場所を指定する必要があります。ダウンロードは、新規または既存のオブジェクト・ストレージ・バケットか、事前認証済リクエスト専用に作成された一時URLに格納できます。事前認証済リクエストの詳細は、事前認証済リクエストの使用を参照してください。バックアップは同じリージョン内のバケットに格納する必要がありますが、オブジェクト・ストレージを使用してバックアップを別のリージョンにコピーできます。
バックアップおよびリストア操作では、進行状況のトラッキングに役立つ作業リクエストが生成されます。
ボールトまたはキーをリストアするには、バックアップをストレージから目的の場所にインポートします(最初にバックアップを作成した場所と同じテナンシおよびコンパートメントにボールトをリストアする場合)。キーもその元のテナンシおよびコンパートメントにのみリストアできます(ボールトとは異なるコンパートメントである可能性があります)。ただし、テナンシが複数のリージョンにまたがる場合は、ボールトとキーを別のリージョンにリストアできます。
ボールトまたはキーは個別にリストアできます。ボールト・バックアップにキーを含めた場合、ボールトをリストアすると、バックアップに含まれるすべてのキーがリストアされます。キーをリストアすると、バックアップに含まれるすべてのキー・バージョンがリストアされます。
ボールトまたはキーがリージョンにすでに存在する場合でも、ボールトまたはキーをリストアできます。また、ボールトに変更を取得する場合(新しい名前またはタグや、新しいキー・バージョンのキーなど)、いつでもボールトまたはキーの新しいバックアップを作成できます。すでにリストアされているボールトまたはキーを更新すると、それらの変更が反映されます。バックアップからの更新は常に付加的です。つまり、更新では新しい情報のみを追加できます。たとえば、参照ボールトで作成された新しいキー・バージョンは、リストアされたキーを更新すると、そのリストアされたキーに追加されます。ただし、参照ボールトからキーを削除した後で、参照ボールトのバックアップからリストアされたボールトを更新しても、リストアされたボールトでは対応するキーが削除されません。同様に、リストアされたボールトに対して作成するキーは、バックアップの作成元の参照ボールトに関連付けられているキーとは無関係です。これらも個別に管理します。
他のほとんどの操作は、バックアップまたはリストア操作の進行中は許可されません。これにより、たとえば、バックアップ中にキーを削除することが防止されます。禁止されている操作には、同じリソースに対する同時バックアップまたはリストア操作の実行が含まれます。
ボールトとキーの管理および使用を許可するために作成したポリシーの再利用を容易にするため、ボールトとキーをリストアしても、同じ一意のOracle Cloud Identifier (OCID)が維持されます(それらが最初にバックアップされたリージョンにリストアされる場合)。ボールトまたはキーを別のリージョンにリストアする場合、ポリシーを確認して新しいOCIDに対応するように更新する必要があります。
ボールトまたはキー(特に多くのキー・バージョンを持つキー)をリストアする場合、テナンシのサービス制限が適用されます。
必須IAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。
バックアップを格納して取得する場所によっては、オブジェクト・ストレージ・バケットへのアクセスが必要になる場合もあります。管理者向け: バケットへのアクセス権を付与する一般的なポリシーについては、ユーザーによるオブジェクト・ストレージ・バケットへのオブジェクトの書込みおよびユーザーによるオブジェクト・ストレージ・バケットからのオブジェクトのダウンロードを参照してください。