Oracle Cloud Infrastructureドキュメント

Vaultキーおよびキー・バージョンのインポート

インポートしたキー マテリアルを使用すると、Vaultサービスでそのコピーを使用できるようにしながら、キー マテリアルの責任を引き続き負います。

次の場合は、「Bring your own key」(BYOK)を使用することもできます。
  • 要件に基づいてツールまたはソースによって生成されたキー・マテリアルを使用します。
  • 他のクラウド・システムやオンプレミス・システムで使用するのと同じ主要資料を使用します。
  • キー・マテリアル、その有効期限および削除をVaultサービスで管理します。
  • 耐久性を高め、リカバリを目的として、Oracle Cloud Infrastructure外部の主要な資材を所有および管理します。
キーまたはキー・バージョンを作成するときに、Vaultサービスでキー・マテリアルを内部的に生成するのではなく、独自のキー・マテリアルをインポートできます。
次のキー・タイプおよびキー・シェイプをVaultサービスにインポートできます。
サポートされる鍵のタイプと鍵のサイズ
キー・タイプ サポートされているキー・サイズ
対称キー: Advanced Encryption Standard (AES)アルゴリズムベースの対称キーは、暗号化または復号化に使用されます。 次のいずれかの長さのAESキーをインポートできます。
  • 128ビット(16バイト)
  • 192ビット(24バイト)
  • 256ビット(32バイト)
非対称キー: Rivest-Shamir-Adleman (RSA)アルゴリズムベースの非対称キーは、暗号化、復号化、署名または検証に使用されます。 次のいずれかの長さのRSAキーをインポートできます。
  • 2048ビット(256バイト)
  • 3072ビット(384バイト)
  • 4096ビット(512バイト)
ノート

楕円曲線暗号デジタル署名アルゴリズム(ECDSA)ベースの非対称キーはインポートできません。
キー・マテリアルの長さは、キーの作成時またはインポート時に指定した長さと一致している必要があります。さらに、キーをインポートする前に、各ボールトで提供される公開ラッピング・キーを使用してキー・マテリアルをラップする必要があります。ボールトのラッピング・キー・ペアによって、HSMはキーを安全にアンラップおよび格納できます。支払カード業界(PCI)のコンプライアンスを満たすために、ラップに使用するキーよりも強度の高いキーをインポートすることはできません。Vaultラッピング キーは4096ビットRSAキーです。したがって、PCI準拠を満たすために、128ビットを超えるAES鍵をインポートすることはできません。
ノート

ラッピング・キーは、Vaultの作成時に作成され、ボールト専用です。ただし、ラッピング・キーを作成、削除またはローテーションすることはできません。

また、CLIを使用して新しい外部キーまたは外部キー・バージョンを作成する場合は、キー・マテリアルがbase64でエンコードされている必要があります。

必須IAMポリシー

注意

ボリューム、バケット、ファイル・システム、クラスタおよびストリーム・プールに関連付けられたキーは、ブロック・ボリューム、オブジェクト・ストレージ、ファイル・ストレージ、Kubernetesエンジンおよびストリーミングがユーザーにかわってキーを使用することを認可しないかぎり機能しません。さらに、ユーザーがキーの使用方法をこれらのサービスに委任することを最初に認可する必要もあります。詳細は、共通ポリシーユーザー・グループによるコンパートメントでのキーの使用の委任および暗号化キーを有効にするポリシーの作成を参照してください。データベースに関連付けられているキーは、テナンシ内のキーを管理するためにDBシステム内のすべてのノードを含む動的グループを認可しないかぎり機能しません。詳細は、Exadata Cloud Serviceで必要なIAMポリシーを参照してください

Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。

管理者向け: ボールト、キーおよびシークレットへのアクセス権を付与する一般的なポリシーについては、セキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。権限の詳細、またはより詳細なポリシーを記述する方法については、ボールト・サービスの詳細を参照してください。

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

開始する前に

自分のキーを持ち込むには、インポートする前にRSA - Optimal Asymmetric Encryption Padding (OAEP)を使用してキー・マテリアルをラップする必要があります。鍵データを変換すると、非公開RSAラッピング鍵を所有しているハードウェアセキュリティーモジュール(HSM)のみで鍵をラップ解除できるようにすることで、保護層が追加されます。

Vaultサービスでは、キー・タイプに基づいて次のラッピング・メカニズムがサポートされます。
キー・タイプ サポートされるラップメカニズム
対称キー(AES)
  • RSA_OAEP_SHA256 (SHA-256ハッシュを使用したRSA-OAEP)
  • RSA_OAEP_AES_SHA256 (SHA-256ハッシュおよび一時AESキーを含むRSA-OAEP)
非対称キー(RSA) RSA_OAEP_AES_SHA256 (SHA-256ハッシュおよび一時AESキーを含むRSA-OAEP)

MacOSまたはLinuxを使用している場合、コマンドを実行するにはOpenSSL 1.1.1シリーズをインストールする必要があります。RSA_OAEP_AES_SHA256ラッピングを使用する場合は、それをサポートするOpenSSLパッチもインストールする必要があります。「キー・マテリアルをラップするためのOpenSSLパッチの構成」を参照してください。Windowsを使用している場合は、Git Bash for Windowsをインストールしてコマンドを実行する必要があります。