ボールトの管理
キーおよびシークレットを暗号化するためのコンテナとしてボールトを作成および管理します。
ボールトのバックアップおよびリストアの詳細は、ボールトおよびキーのバックアップおよびリストアを参照してください。ボールトおよびキーのリージョン間レプリケーションの構成の詳細は、ボールトおよびキーのレプリケートを参照してください。キーで実行できる操作の詳細は、キーの管理を参照してください。シークレットに関して実行できる操作の詳細は、シークレットの管理を参照してください。
ボールト・サービスを使用すると、暗号化キーおよびシークレットのコンテナとしてボールトをテナンシ内に作成できます。必要に応じて、仮想プライベート・ボールトは、ハードウェア・セキュリティ・モジュール(HSM)の専用パーティションを提供し、仮想に依存しないHSMと事実上同等の暗号化キーのストレージ分離レベルを提供します。
ボールト管理タスクは、次のとおりです。
- ボールトの作成
- ボールトの構成の詳細の表示
-
ボールト名の更新
-
ボールト・タグの管理
-
ボールトの削除
-
新しいコンパートメントへのボールトの移動
必須IAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。
管理者向け: ボールト、キーおよびシークレットへのアクセス権を付与する一般的なポリシーについては、セキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。権限の詳細、またはより詳細なポリシーを記述する方法については、ボールト・サービスの詳細を参照してください。
リソースのタグ付け
リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用することも、後でリソースを必要なタグで更新することもできます。タグ適用についての一般情報は、リソース・タグを参照してください。
別のコンパートメントへのリソースの移動
ボールトはコンパートメント間で移動できます。ボールトを新規コンパートメントに移動すると、固有のポリシーが即座に適用され、ボールトへのアクセスに影響します。ボールトを移動しても、そのボールトに含まれるキーまたはシークレットへのアクセスには影響しません。キーまたはシークレットは、関連付けられているボールトの移動とは別に、コンパートメント間で移動できます。詳細は、コンパートメントの管理を参照してください。
コンソールの使用
コンソールを使用して、ボールト構成を作成、表示および管理します。
この項では、コンソールを使用してVault構成の詳細を表示する方法について説明します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、表示するボールトが含まれるコンパートメントの名前をクリックします。
- コンパートメント内のボールトのリストから、ボールトの名前をクリックします。
-
コンソールには、次の情報が表示されます。
- コンパートメント: ボールトを含むコンパートメントの一意のOracleによって割り当てられるID。
- OCID: ボールトの一意のOracleによって割り当てられるID。
- 作成日: ボールトを最初に作成した日時。
- HSMキー・バージョンの使用状況:ボールトに含まれるHSMで保護されたすべてのマスター暗号化キーのすべてのキー・バージョンの数。マスター暗号化キーは、サービス制限で許可されている制限までの1つ以上のキー・バージョンで構成されます。
- ソフトウェア・キー・バージョンの使用:ボールトに含まれるソフトウェアで保護されたすべてのマスター暗号化キーのすべてのキー・バージョンの数。これには、マスター暗号化キーごとに1つ以上のキー・バージョンを含めることができます(サービス制限で許可されている制限まで)。
- 仮想プライベート: ボールトが仮想プライベート・ボールトかどうか。
- 管理エンドポイント: CreateKey、CreateKeyVersion、EnableKey、DisableKey、UpdateKey、ListKeys、ListKeyVersions、GetKey、GetKeyVersion、ImportKeyおよびImportKeyVersion操作のサービス・エンドポイント。
- 暗号化エンドポイント: Encrypt、DecryptおよびGenerateDataEncryptionKey操作のサービス・エンドポイント。
- ラッピング・キー: ボールトの公開RSAラッピング・キー。
この項では、コンソールを使用して新しいVaultを作成する方法について説明します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」のコンパートメント・リストで、ボールトを作成するコンパートメントの名前をクリックします。
- 「ボールトの作成」をクリックします。
- 「ボールトの作成」ダイアログ・ボックスで、「名前」をクリックしてボールトの表示名を入力します。機密情報の入力は避けてください。
- オプションで、「仮想プライベート・ボールトにする」チェック・ボックスを選択して、ボールトを仮想プライベート・ボールトにします。ボールト・タイプの詳細は、キーおよびシークレット管理の概念を参照してください。
注記ボールトの作成後にボールトタイプを変更することは
できません。 -
リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
- 終了したら、「ボールトの作成」をクリックします。
この項では、コンソールを使用してVault名を変更する方法について説明します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、名前を変更するボールトが含まれるコンパートメントの名前をクリックします。
- コンパートメント内のボールトのリストから、ボールトの名前をクリックします。
- 「ボールトの詳細」ページで、「名前の編集」をクリックします。
- 「ボールト名の編集」ダイアログ・ボックスで、「名前」をクリックしてボールトの新しい表示名を入力します。機密情報の入力は避けてください。
- 終了したら、「保存」をクリックします。
この項では、コンソールを使用してVaultを削除する方法について説明します。
ボールトを削除すると、ボールトおよびそれに関連付けられているすべてのキーは、待機期間が終了するまで削除の保留中状態になります。デフォルトでは、これは30日間ですが、最小7日から最大30日までは設定できます。ボールトを削除すると、それに関連付けられたすべてのキーも削除されます。レプリケーションが構成されている場合、ソース領域のボールトを削除すると、宛先領域のボールトおよびボールト内のキーも削除されます。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、削除するボールトが含まれるコンパートメントの名前をクリックします。
- コンパートメント内のボールトのリストから、ボールトの名前をクリックします。
- 「ボールトの詳細」ページで、「削除」をクリックします。
- ボールトの削除を確認するには、ボールトの名前を入力し、ボールトを削除する日時を選択します。
- 終了したら、「ボールトの削除」をクリックします。
この項では、Vaultの削除を取り消す方法について説明します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、削除保留中の状態にあるボールトが含まれるコンパートメントの名前をクリックします。
- コンパートメント内のボールトのリストから、ボールトの名前をクリックします。
- 「ボールトの詳細」ページで、「削除の取消」をクリックします。
- ボールトの削除の取消を確認するには、「削除の取消」をクリックします。
この項では、コンソールを使用してVaultを別のコンパートメントに移動する方法について説明します。
-
- 「リスト範囲」のコンパートメント・リストで、移動するボールトが含まれるコンパートメントを選択します。
- リストでボールトを検索し、「アクション」メニューをクリックして、「リソースの移動」をクリックします。
- リストから宛先コンパートメントを選択します。
- 「リソースの移動」をクリックします。
コマンドライン・インタフェース(CLI)の使用
コンソールを使用して、ボールト構成を作成、表示および管理します。
CLIの使用の詳細は、コマンド・ライン・インタフェース(CLI)を参照してください。CLIコマンドで使用できるフラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。
この項では、Vault構成詳細の表示方法について説明します。
コマンド・プロンプトを開き、oci kms management vault get
を実行してボールトの構成の詳細を表示します。
oci kms management vault get --vault-id <target_vault_id>
例:
oci kms management vault get --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3j33edq
この項では、新しいVaultを作成する方法について説明します。
コマンド・プロンプトを開き、oci kms management vault create
を実行して新しいボールトを作成します。
できません。
oci kms management vault create --compartment-id <target_compartment_id> --display-name <vault_name> --vault-type <vault_type>
例:
oci kms management vault create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name vault-1 --vault-type VIRTUAL_PRIVATE
機密情報の入力は避けてください。
この項では、Vault名を変更する方法について説明します。
コマンド・プロンプトを開き、oci kms management vault update
を実行してボールトの名前を変更します。
oci kms management vault update --vault-id <target_vault_id>
例:
oci kms management vault update --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3j33edq --display-name new-vault-name
機密情報の入力は避けてください。
この項では、Vaultを削除する方法について説明します。
コマンド・プロンプトを開き、oci kms management vault schedule-deletion
を実行してボールトを削除します。
oci kms management vault schedule-deletion --vault-id <target_vault_id>
例:
oci kms management vault schedule-deletion --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3
ボールトを削除すると、待機期間が終了するまで、ボールトとそれに関連付けられているすべてのキーが削除の保留中状態になります。デフォルトでは、これは30日間ですが、最小7日から最大30日までは設定できます。ボールトを削除すると、それに関連付けられたすべてのキーも削除されます。レプリケーションが構成されている場合、ソース領域のボールトを削除すると、宛先領域のボールトおよびボールト内のキーも削除されます。
この項では、Vaultの削除を取り消す方法について説明します。
コマンド・プロンプトを開き、oci kms management vault cancel-deletion
を実行して、ボールトの削除の保留中を取り消します。
oci kms management vault cancel-deletion --vault-id <target_vault_id>
例:
oci kms management vault cancel-deletion --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3
この項では、Vaultを別のコンパートメントに移動する方法について説明します。
コマンド・プロンプトを開き、oci kms management vault change-compartment
を実行して、ボールトを同じテナンシ内の別のコンパートメントに移動します。
oci kms management vault change-compartment --vault-id <target_vault_id> --compartment-id <new_compartment_id>
例:
oci kms management vault change-compartment --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz
APIの使用
API操作を使用して、ボールト構成を作成、表示および管理します。
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
次の操作を使用して、ボールトを管理します。