Oracle Cloud Infrastructureドキュメント

マスター暗号化キーの作成

OCIのKey Managementサービスでマスター暗号化キーを作成する方法について学習します。

マスター暗号化キーを作成する場合は、次の点に注意してください。

  • 自動ローテーション:仮想プライベート・ボールトでマスター暗号化キーを作成する場合、自動キー・ローテーションを有効にするオプションがあります。詳細は、キーおよびシークレット管理の概念のトピックの自動キー・ローテーションの項を参照してください。自動ローテーション設定を更新する手順は、自動キー・ローテーションの有効化および更新を参照してください。

  • 使用可能なアルゴリズム:キーの作成時に、次のアルゴリズムから選択できます。

    • AES: Advanced Encryption Standard (AES)キーは、保存データの暗号化に使用できる対称キーです。
    • RSA: Rivest-Shamir-Adleman (RSA)キーは非対称キーで、公開キーと秘密キーで構成されるキー・ペアとも呼ばれます。これらを使用して、転送中のデータの暗号化、データの署名、および署名済データの整合性の検証を行うことができます。
    • ECDSA: 楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キーは、データの署名および署名済データの整合性の検証に使用できる非対称キーです。

OCIのキー管理サービスのキーの詳細は、キーおよびシークレット管理の概念のトピックのキーを参照してください。

    1. 使用しているボールトの「マスター暗号化キー」リスト・ページで、「キーの作成」を選択します。リスト・ページの検索に関するヘルプが必要な場合は、キーのリストを参照してください。
    2. キーを作成するコンパートメントを選択します。
    3. 「保護モード」で、次のオプションのいずれかを選択します。
      • HSM: ハードウェア・セキュリティ・モジュール(HSM)に格納されて処理されるマスター暗号化キーを作成するには、このオプションを選択します。
      • ソフトウェア:サーバーに格納および処理されるマスター暗号化キーを作成するには、このオプションを選択します。

      キーの保護モードは、作成後に変更できません。キー保護モードに関する情報など、キーの詳細は、キーおよびシークレット管理の概念を参照してください。

    4. キーを識別する名前を入力します。機密情報を入力しないでください。
    5. 「キー・シェイプ: アルゴリズム」で、次のいずれかのアルゴリズムを選択します。
      • AES: Advanced Encryption Standard (AES)キーは、保存データの暗号化に使用できる対称キーです。
      • RSA: Rivest-Shamir-Adleman (RSA)キーは非対称キーで、公開キーと秘密キーで構成されるキー・ペアとも呼ばれます。これらを使用して、転送中のデータの暗号化、データの署名、および署名済データの整合性の検証を行うことができます。
      • ECDSA: 楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キーは、データの署名および署名済データの整合性の検証に使用できる非対称キーです。
    6. RSAのみ。AESまたはRSAを選択した場合は、対応するキー・シェイプの長さをビット単位で選択します。
    7. ECDSAのみ。ECDSAを選択した場合は、「キー・シェイプ: 楕円曲線ID」の値を選択します。
    8. インポートされたキーのみ。公開ラップされたキーをインポートしてキーを作成するには、「外部キーのインポート」を選択し、次の詳細を指定します:
      • ラッピング・アルゴリズム: RSA_OAEP_AES_SHA256 (一時的なAESキーのSHA-256ハッシュを含むRSA-OAEP)を選択します。
      • 外部キー・データ・ソース:ラップ済RSAキー・マテリアルが含まれるファイルをアップロードします。
    9. オプション。自動キー・ローテーションを有効にするには、「自動ローテーション」を選択します。キーの作成後に自動ローテーション設定を編集できることに注意してください。
    10. 自動ローテーションの場合のみ。「自動ローテーション・スケジュール」セクションで、次の詳細を指定します:
      • 「開始日」:カレンダ・アイコンを使用して、キー・ローテーション・スケジュールを開始する日付を選択します。交代勤務は予定日以前に行われます。たとえば、今日キーを作成するか、既存のキーを更新し、自動ローテーション開始日を4月10日として事前定義された間隔90日でスケジュールすると、自動ローテーションは7月10日(4月10日+ 90日)以前に開始されます。
        ノート

        KMSでは、自動ローテーションがローテーション間隔の終了時または終了前に行われることが保証されます。ローテーションは、スケジュールされた間隔の数日前まで開始できます。
      • ローテーション間隔:キーをローテーションする必要がある事前定義済の間隔を選択します。デフォルトでは、間隔は90に設定されています。
      • カスタム: オプション。カスタム・ローテーション間隔を60から365日に設定するには、このオプションを選択します。
    11. タグを適用するには、「タグ」を選択します。
      リソースを作成する権限を持つ場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する許可が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。後でタグを適用できます。
    12. 「キーの作成」を選択します。

  • マスター暗号化キーを作成するには、oci kms management key createコマンドと必要なパラメータを使用します:

    oci kms management key create --compartment-id <target_compartment_ocid> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <kmsmanagement_control_plane_URL>

    CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

  • 管理エンドポイントとともにCreateKey APIを使用して、新しいマスター暗号化キーを作成します。

    ノート

    管理エンドポイントは、作成、更新、リスト、取得および削除などの管理操作に使用されます。管理エンドポイントは、コントロール・プレーンURLまたはKMSMANAGEMENTエンドポイントとも呼ばれます。

    暗号化エンドポイントは、暗号化、復号化、データ暗号化鍵の生成、署名、検証などの暗号化操作に使用されます。暗号化エンドポイントは、データ・プレーンURLまたはKMSCRYPTOエンドポイントとも呼ばれます。

    管理エンドポイントおよび暗号化エンドポイントは、ボールトの詳細メタデータにあります。手順については、Getting a Vault's Detailsを参照してください。

    キー管理、シークレット管理およびシークレット取得APIのリージョナル・エンドポイントについては、APIリファレンスおよびエンドポイントを参照してください。

    APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。