マスター暗号化キーの作成

ボールト・マスター暗号化キーを作成します。

1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順にクリックします。
2. 「リスト範囲」で、作成するキーを含むボールトを含むコンパートメントを選択します。
3. キーを作成するボールトの名前をクリックします。
  
  キーに新しいボールトを作成する必要がある場合は、Vaultの作成の手順に従って、ボールトの名前をクリックします。
4. 「リソース」で、「マスター暗号化キー」をクリックし、次に「キーの作成」をクリックします。
5. 「マスター暗号化キー」をクリックし、次に「キーの作成」をクリックします。キーは、ボールトとは異なるコンパートメントでも存在できます。
6. 「保護モード」で、次のいずれかのオプションを選択します:
  
  ハードウェア・セキュリティ・モジュール(HSM)に格納されて処理されるマスター暗号化キーを作成するには、「HSM」を選択します。
  
  サーバーに格納および処理されるマスター暗号化キーを作成するには、「ソフトウェア」を選択します。
  
  キーの保護モードは、作成後に変更することはできません。キー保護モードに関する情報など、キーの詳細は、キーおよびシークレット管理の概念を参照してください。
7. キーを識別する名前を入力します。機密情報の入力は避けてください。
8. 「キー・シェイプ: アルゴリズム」で、次のいずれかのアルゴリズムを選択します。
  
  AESAdvanced Encryption Standard (AES)キーは、保存データの暗号化に使用できる対称キーです。
  
  RSARivest-Shamir-Adleman (RSA)キーは非対称キーで、公開キーと秘密キーで構成されるキー・ペアとも呼ばれます。これらを使用して、転送中のデータの暗号化、データの署名、および署名済データの整合性の検証を行うことができます。
  
  ECDSA。楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キーは、データの署名および署名済データの整合性の検証に使用できる非対称キーです。
9. AESまたはRSAを選択した場合は、対応するキーシェイプの長さをビット単位で選択します。
10. ECDSAを選択した場合は、「キー・シェイプ: 楕円曲線ID」の値を選択します。
11. 公開ラッピングされたキーをインポートしてキーを作成するには、「外部キーのインポート」チェック・ボックスを選択し、次の詳細を指定します:
  
  ラッピング・キー情報。このセクションは読取り専用ですが、公開ラッピング・キーの詳細を表示できます。
  
  ラッピング・アルゴリズムRSA_OAEP_AES_SHA256 (一時的なAESキーを持つSHA-256を持つRSA-OAEP)を選択します。
  
  外部キーのデータ・ソース。ラップされたRSAキー・マテリアルを含むファイルをアップロードします。
12. 「自動ローテーション」チェック・ボックスを選択して、自動キー・ローテーションを有効にします。
13. 「自動ローテーション・スケジュール」セクションで、次の詳細を指定します:
  
  開始日カレンダーアイコンを使用して、キーローテーションスケジュールを開始する日付を選択します。交代勤務は、予定日またはその前後に行われます。たとえば、今日キーを作成するか、既存のキーを更新する場合、自動ローテーション開始日を事前定義された間隔90日で4月10日にスケジュールすると、自動ローテーションは約July10 (4月10日+ 90日)以前に開始されます。
  ノート
  
  KMSでは、スケジュールされた間隔の数日前にローテーションを開始することを意味する場合でも、ローテーション間隔の前または前に自動ローテーションが行われます。
  
  ローテーション間隔キーをローテーションする必要がある事前定義の間隔を選択します。デフォルトでは、間隔は90日間に設定されます。回転間隔をカスタマイズするには、「カスタム」を選択します。
  
  カスタム・ローテーション間隔。事前定義されたローテーション間隔以外のカスタム間隔(60日から365日の間)を入力します。
  
  ノート
  
  ただし、キーの作成後はいつでも自動ローテーション設定を編集できます。
14. オプションで、タグを適用するには、「拡張オプションの表示」をクリックします。
  リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
15. 「キーの作成」をクリックします。

コマンド・プロンプトを開き、key createを実行して新規キーを作成します。

oci kms management key create --compartment-id <target_compartment_id> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <control_plane_url> --is-auto-rotation-enabled <true | false> --auto-key-rotation-details <schedule_interval_information>

たとえば、MacOSまたはLinuxマシンでは:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{"algorithm":"AES","length":"16"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com --is-auto-rotation-enabled enabled --auto-key-rotation-details '{"rotationIntervalInDays": 90, "timeOfScheduleStart": "2024-02-20T00:00:00Z"}'

また、たとえば、Windowsマシンでは:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

CLIコマンドのパラメータおよび値の完全なリストは、KMS CLIコマンド・リファレンスを参照してください。


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --protection-mode SOFTWARE --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

CreateKey操作を実行して、KMSMANAGMENTエンドポイントを使用して新しいボールト・マスター暗号化キーを作成します。

作成するキーの詳細は、CreateKeyDetails操作を参照してください。

Note

Each region uses the KMSMANAGMENT endpoint for managing keys. This endpoint is referred to as the control plane URL or vault management endpoint. For regional endpoints, see the API Documentation.

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

Oracle Cloud Infrastructureドキュメント

マスター暗号化キーの作成