Oracle Cloud Infrastructureドキュメント

Vaultキーおよびキー・バージョンのエクスポート

ソフトウェアで保護されたマスター暗号化キーをエクスポートするか、ボールト暗号化操作を実行するためにキー・バージョンをエクスポートします。

キーの内容を保護するために、キーをローカルで使用してからローカル・メモリーから破棄できます。エクスポートされたキーをローカルに使用すると、可用性、信頼性およびレイテンシが向上します。

必須IAMポリシー

注意

ボリューム、バケット、ファイル・システム、クラスタおよびストリーム・プールに関連付けられたキーは、ブロック・ボリューム、オブジェクト・ストレージ、ファイル・ストレージ、Kubernetesエンジンおよびストリーミングがユーザーにかわってキーを使用することを認可しないかぎり機能しません。さらに、ユーザーがキーの使用方法をこれらのサービスに委任することを最初に認可する必要もあります。詳細は、共通ポリシーユーザー・グループによるコンパートメントでのキーの使用の委任および暗号化キーを有効にするポリシーの作成を参照してください。データベースに関連付けられているキーは、テナンシ内のキーを管理するためにDBシステム内のすべてのノードを含む動的グループを認可しないかぎり機能しません。詳細は、Exadata Cloud Serviceで必要なIAMポリシーを参照してください

Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。

管理者向け: ボールト、キーおよびシークレットへのアクセス権を付与する一般的なポリシーについては、セキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。権限の詳細、またはより詳細なポリシーを記述する方法については、ボールト・サービスの詳細を参照してください。

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

開始する前に

キーをエクスポートするには、独自のRSAキー・ペアを生成してキー・マテリアルをラップおよびアンラップする必要があります。選択したサード・パーティ・ツールを使用して、RSAキー・ペアを生成できます。

キーまたはキー・バージョンは、CLIのみを使用してエクスポートできます。参照できるスクリプトの例が含まれています。スクリプトには、キー・マテリアルのラップからソフトウェアで保護されたキーまたはキー・バージョンのエクスポートまで、エクスポート・プロセスのすべてのステップが含まれます。

MacOSまたはLinuxを使用している場合、コマンドを実行するにはOpenSSL 1.1.1シリーズをインストールする必要があります。一時AESキーを使用するRSA暗号化アルゴリズムを使用する場合は、それをサポートするパッチとともにOpenSSLにパッチを適用する必要もあります。キー・マテリアルをラップするためのOpenSSLパッチの構成を参照してください。Windowsを使用している場合は、Git Bash for Windowsをインストールし、そのツールを使用してコマンドを実行する必要があります。