Oracle Cloud Infrastructureドキュメント

ボールトの管理

キーおよびシークレットを暗号化するためのコンテナとしてボールトを作成および管理します。

ボールトのバックアップおよびリストアの詳細は、ボールトおよびキーのバックアップおよびリストアを参照してください。ボールトおよびキーのリージョン間レプリケーションの構成の詳細は、ボールトおよびキーのレプリケートを参照してください。キーで実行できる操作の詳細は、キーの管理を参照してください。シークレットに関して実行できる操作の詳細は、シークレットの管理を参照してください。

ボールト・サービスを使用すると、暗号化キーおよびシークレットのコンテナとしてボールトをテナンシ内に作成できます。必要に応じて、仮想プライベート・ボールトは、ハードウェア・セキュリティ・モジュール(HSM)の専用パーティションを提供し、仮想に依存しないHSMと事実上同等の暗号化キーのストレージ分離レベルを提供します。

ボールト管理タスクは、次のとおりです。

  • ボールトの作成
  • ボールトの構成の詳細の表示

  • ボールト名の更新

  • ボールト・タグの管理

  • ボールトの削除

  • 新しいコンパートメントへのボールトの移動

必須IAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者向け: ボールト、キーおよびシークレットへのアクセス権を付与する一般的なポリシーについては、セキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。権限の詳細、またはより詳細なポリシーを記述する方法については、ボールト・サービスの詳細を参照してください。

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

リソースのタグ付け

リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用することも、後でリソースを必要なタグで更新することもできます。タグ適用についての一般情報は、リソース・タグを参照してください。

別のコンパートメントへのリソースの移動

ボールトはコンパートメント間で移動できます。ボールトを新規コンパートメントに移動すると、固有のポリシーが即座に適用され、ボールトへのアクセスに影響します。ボールトを移動しても、そのボールトに含まれるキーまたはシークレットへのアクセスには影響しません。キーまたはシークレットは、関連付けられているボールトの移動とは別に、コンパートメント間で移動できます。詳細は、コンパートメントの管理を参照してください。

コンソールの使用

コンソールを使用して、ボールト構成を作成、表示および管理します。

ボールトの構成の詳細を表示するには

この項では、コンソールを使用してVault構成の詳細を表示する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、表示するボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールトの名前をクリックします。

  4. コンソールには、次の情報が表示されます。

    • コンパートメント: ボールトを含むコンパートメントの一意のOracleによって割り当てられるID。
    • OCID: ボールトの一意のOracleによって割り当てられるID。
    • 作成日: ボールトを最初に作成した日時。
    • HSMキー・バージョンの使用状況:ボールトに含まれるHSMで保護されたすべてのマスター暗号化キーのすべてのキー・バージョンの数。マスター暗号化キーは、サービス制限で許可されている制限までの1つ以上のキー・バージョンで構成されます。
    • ソフトウェア・キー・バージョンの使用:ボールトに含まれるソフトウェアで保護されたすべてのマスター暗号化キーのすべてのキー・バージョンの数。これには、マスター暗号化キーごとに1つ以上のキー・バージョンを含めることができます(サービス制限で許可されている制限まで)。
    • 仮想プライベート: ボールトが仮想プライベート・ボールトかどうか。
    • 管理エンドポイント: CreateKeyCreateKeyVersionEnableKeyDisableKeyUpdateKeyListKeysListKeyVersionsGetKeyGetKeyVersionImportKeyおよびImportKeyVersion操作のサービス・エンドポイント。
    • 暗号化エンドポイント: EncryptDecryptおよびGenerateDataEncryptionKey操作のサービス・エンドポイント。
    • ラッピング・キー: ボールトの公開RSAラッピング・キー。
新しいボールトを作成するには

この項では、コンソールを使用して新しいVaultを作成する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」コンパートメント・リストで、ボールトを作成するコンパートメントの名前をクリックします。
  3. 「ボールトの作成」をクリックします。
  4. 「ボールトの作成」ダイアログ・ボックスで、「名前」をクリックしてボールトの表示名を入力します。機密情報の入力は避けてください。
  5. オプションで、「仮想プライベート・ボールトにする」チェック・ボックスを選択して、ボールトを仮想プライベート・ボールトにします。ボールト・タイプの詳細は、キーおよびシークレット管理の概念を参照してください。
    注記ボールトの作成後にボールトタイプを変更することは

    できません。
  6. リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  7. 終了したら、「ボールトの作成」をクリックします。
ボールトの名前を変更するには

この項では、コンソールを使用してVault名を変更する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、名前を変更するボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールトの名前をクリックします。
  4. 「ボールトの詳細」ページで、「名前の編集」をクリックします。
  5. 「ボールト名の編集」ダイアログ・ボックスで、「名前」をクリックしてボールトの新しい表示名を入力します。機密情報の入力は避けてください。
  6. 終了したら、「保存」をクリックします。
ボールトのタグを管理するには

この項では、コンソールを使用してVaultリソース・タグを管理する方法について説明します

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、タグを管理するボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールトの名前をクリックします。
  4. 「ボールトの詳細」ページで、「タグ」タブをクリックして既存のタグを表示または編集します。または、「タグの追加」をクリックして、新規タグを追加します。
ボールトを削除するには

この項では、コンソールを使用してVaultを削除する方法について説明します。

ノート

ボールトを削除すると、ボールトおよびそれに関連付けられているすべてのキーは、待機期間が終了するまで削除の保留中状態になります。デフォルトでは、これは30日間ですが、最小7日から最大30日までは設定できます。ボールトを削除すると、それに関連付けられたすべてのキーも削除されます。レプリケーションが構成されている場合、ソース領域のボールトを削除すると、宛先領域のボールトおよびボールト内のキーも削除されます。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、削除するボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールトの名前をクリックします。
  4. 「ボールトの詳細」ページで、「削除」をクリックします。
  5. ボールトの削除を確認するには、ボールトの名前を入力し、ボールトを削除する日時を選択します。
  6. 終了したら、「ボールトの削除」をクリックします。
ボールトの削除を取り消すには

この項では、Vaultの削除を取り消す方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、削除保留中の状態にあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールトの名前をクリックします。
  4. 「ボールトの詳細」ページで、「削除の取消」をクリックします。
  5. ボールトの削除の取消を確認するには、「削除の取消」をクリックします。
ボールトを別のコンパートメントに移動するには

この項では、コンソールを使用してVaultを別のコンパートメントに移動する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックして、「Vault」をクリックします。
  2. 「リスト範囲」コンパートメント・リストで、移動するボールトが含まれるコンパートメントを選択します。
  3. リストでボールトを検索し、「アクション」メニューをクリックして、「リソースの移動」をクリックします。
  4. リストから宛先コンパートメントを選択します。
  5. 「リソースの移動」をクリックします。

コマンドライン・インタフェース(CLI)の使用

コンソールを使用して、ボールト構成を作成、表示および管理します。

CLIの使用の詳細は、コマンド・ライン・インタフェース(CLI)を参照してください。CLIコマンドで使用できるフラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。

ボールトの構成の詳細を表示するには

この項では、Vault構成詳細の表示方法について説明します。

コマンド・プロンプトを開き、oci kms management vault getを実行してボールトの構成の詳細を表示します。

oci kms management vault get --vault-id <target_vault_id>

例:


oci kms management vault get --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3j33edq
新しいボールトを作成するには

この項では、新しいVaultを作成する方法について説明します。

コマンド・プロンプトを開き、oci kms management vault createを実行して新しいボールトを作成します。

注記ボールトの作成後にボールトタイプを変更することは

できません。
oci kms management vault create --compartment-id <target_compartment_id> --display-name <vault_name> --vault-type <vault_type>

例:


oci kms management vault create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name vault-1 --vault-type VIRTUAL_PRIVATE

機密情報の入力は避けてください。

リソース・タグを使用して新しいボールトを作成するには

この項では、リソース・タグを使用して新しいボールトを作成する方法について説明します。

コマンド・プロンプトを開き、--defined-tagsオプションと--freeform-tagsオプションのいずれかまたは両方を指定してoci kms management vault createを実行し、リソース・タグを使用して新規のボールトを作成します。

注記ボールトの作成後にボールトタイプを変更することは

できません。
oci kms management vault create --compartment-id <target_compartment_id> --display-name <vault_name> --vault-type <vault_type> --defined-tags <JSON_formatted_defined_tag> --freeform-tags <JSON_formatted_freeform_tag>

たとえば、MacOSまたはLinuxマシンでは:


oci kms management vault create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name vault-1 --vault-type VIRTUAL_PRIVATE --defined-tags '{"Operations": {"CostCenter": "42"}}' --freeform-tags '{"Department":"Finance"}'

また、たとえば、Windowsマシンでは:


oci kms management vault create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name vault-1 --vault-type VIRTUAL_PRIVATE --defined-tags '{\"Operations\": {\"CostCenter\":\"42\"}}' --freeform-tags '{\"Department\":\"Finance\"}'

機密情報の入力は避けてください。

ボールトの名前を変更するには

この項では、Vault名を変更する方法について説明します。

コマンド・プロンプトを開き、oci kms management vault updateを実行してボールトの名前を変更します。

oci kms management vault update --vault-id <target_vault_id>

例:


oci kms management vault update --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3j33edq --display-name new-vault-name

機密情報の入力は避けてください。

ボールトを削除するには

この項では、Vaultを削除する方法について説明します。

コマンド・プロンプトを開き、oci kms management vault schedule-deletionを実行してボールトを削除します。

oci kms management vault schedule-deletion --vault-id <target_vault_id>

例:


oci kms management vault schedule-deletion --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3

ボールトを削除すると、待機期間が終了するまで、ボールトとそれに関連付けられているすべてのキーが削除の保留中状態になります。デフォルトでは、これは30日間ですが、最小7日から最大30日までは設定できます。ボールトを削除すると、それに関連付けられたすべてのキーも削除されます。レプリケーションが構成されている場合、ソース領域のボールトを削除すると、宛先領域のボールトおよびボールト内のキーも削除されます。

ボールトの削除を取り消すには

この項では、Vaultの削除を取り消す方法について説明します。

コマンド・プロンプトを開き、oci kms management vault cancel-deletionを実行して、ボールトの削除の保留中を取り消します。

oci kms management vault cancel-deletion --vault-id <target_vault_id>

例:


oci kms management vault cancel-deletion --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3
ボールトを別のコンパートメントに移動するには

この項では、Vaultを別のコンパートメントに移動する方法について説明します。

コマンド・プロンプトを開き、oci kms management vault change-compartmentを実行して、ボールトを同じテナンシ内の別のコンパートメントに移動します。

oci kms management vault change-compartment --vault-id <target_vault_id> --compartment-id <new_compartment_id>

例:


oci kms management vault change-compartment --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz

APIの使用

API操作を使用して、ボールト構成を作成、表示および管理します。

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

次の操作を使用して、ボールトを管理します。