外部Key Management Vaultのレプリケート
OCI外部ボールトおよびキー参照を、EKMSのリージョン間ボールト・レプリケーションをサポートする同じレルム内のセカンダリ・リージョンにレプリケートします。
- ディザスタ・リカバリの向上: ボールトとキーのレプリケートにより、地域が混乱した場合に堅牢なディザスタ・リカバリ・ソリューションが保証されます。
- データ保護:冗長キー・コピーを維持すると、偶発的な損失や不正アクセスから保護されます。
- コンプライアンスとデータ・レジデンシ:特定のデータ・レジデンシ要件を持つ規制対象の業界や組織にとって、レプリケーションは関連する法律への準拠を保証します。
リージョン間レプリケーションの仕組み
外部ボールトのリージョン間レプリケーションを有効にすると、OCIのKey Managementサービスは、プライマリ外部ボールトとセカンダリ・リージョン内のそのレプリカとの間の外部キーまたはキー・バージョン参照の作成、削除、変更または再配置を同期します。ソース・ボールトと呼ばれる元のボールトは、レプリケーション・プロセスを開始します。宛先ボールト(ボールト・レプリカ)は、レプリケートされたデータを受け取ります。
このリージョナル・レプリケーション・プロセス中、外部ボールトはFIPS 140-2レベル3セキュリティ標準を維持し、外部キー参照は暗号化されたバイナリ・オブジェクトとしてエクスポートされます。
外部ボールトに対するOCIのリージョン間レプリケーションには、ボールトとその関連キー参照のレプリケートが含まれます。ただし、外部管理キーのレプリケートはユーザーの責任であり、OCIのレプリケーション・プロセスの一部ではないことを理解することが重要です。
ソースおよびレプリカVault管理
Key Managementサービスでは、暗号化操作のためのボールト・レプリカの使用がサポートされています。ただし、外部ボールト・レプリカおよびそのキー参照に対して管理操作を直接実行することはできません。たとえば、レプリカ・ボールトでキー参照を直接作成したり、バックアップ操作を実行することはサポートされていません。暗号化タスクにレプリカ・ボールトを使用するには、その暗号化エンドポイントにアクセスできます。このエンドポイントは、ボールト・レプリカの詳細にあります。
ソース・ボールトのレプリケーションを停止するには、宛先リージョンのボールト・レプリカを削除します。ソース・ボールトに関連付けることができるレプリカは1つのみであるため、別の宛先リージョンへのレプリケーションが必要な場合は、既存のレプリカの削除が必要です。
フェイルオーバー中のリカバリ時間およびリカバリ・ポイント
フェイルオーバー・シナリオのリカバリ時間目標(RTO)は、宛先リージョンに切り替える際のアプリケーションの潜在的な最大停止時間です。安定した状態では、ソース・リージョンで作成されたすべての外部キーがすぐに宛先にレプリケートされるため、RTOはほぼゼロになります。最小遅延は、主にリージョン間のネットワーク待機時間から発生し、ミリ秒単位で測定されます。これにより、アプリケーションは宛先リージョンにすばやくフェイルオーバーし、外部キーにほぼ瞬時にアクセスできます。
リカバリ・ポイント目標(RPO)は、フェイルオーバー中のソース・リージョンのデータ損失の最大量です。レプリケートされた外部ボールト・キーの場合、RPOはゼロです。これは、Key Managementサービスが、キーが正常にレプリケートされた後にのみレプリケーションの成功を確認し、データ損失のリスクを排除するためです。