ボールトおよびキーのレプリケート

ディザスタ・リカバリ・シナリオ用にプライベート・ボールトとキーをレプリケートします。レプリケーションは、同じレルム内の別のリージョンからボールト内のキーを読み取るのに役立ちます。

ノートボールトは、仮想プライベート・ボールトとして作成されていないかぎりレプリケートでき

ません。仮想プライベート・ボールトはAlways Freeリソースとして含まれていないため、レプリケーションを構成する前に、ボールトをレプリケートする宛先リージョンで適切なサービス制限をリクエストする必要があります。

仮想プライベート・ボールトをあるリージョンから別のリージョンにレプリケートして、コンプライアンス要件を満たすために、またはレイテンシを向上させるために、仮想プライベート・ボールトとそれに含まれるキーを使用できます。

仮想プライベート・ボールトのリージョン間レプリケーションを構成すると、Vaultサービスによって、開始ボールトと1つの宛先リージョンのボールト間でキーまたはキー・バージョンの作成、削除、更新または移動が自動的に同期されます。サービスがデータをレプリケートするボールトは、ソース・ボールトと呼ばれます。サービスがソース・ボールトからデータをレプリケートする宛先リージョンのボールトは、ボールト・レプリカと呼ばれます。

このサービスは、宛先リージョンのボールトおよびキーに対する暗号化操作をサポートします。宛先リージョンのボールトおよびキーに対する管理操作はサポートされていません。たとえば、ボールト・レプリカにキーを直接作成したり、ボールト・レプリカをバックアップすることはできません。レプリカの詳細を表示して宛先リージョンのボールトの暗号化エンドポイントを確認し、必要に応じてそのエンドポイントの使用を開始できます。

レプリケーションを停止する場合は、ボールト・レプリカのみを削除する必要があります。特定のソースボールトには一度に1つの宛先ボールトしか存在できないため、別の宛先リージョンへのレプリケーションを設定する場合は、既存のボールトレプリカを削除する必要があります。

必須IAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者向け:ボールト、キーおよびシークレットへのアクセス権を付与する典型的なポリシーについては、セキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。ユーザーおよびグループのポリシーに加えて、Vaultサービスがレプリケーション中にボールトを作成および管理できるように、ボールトに対してすべての操作を実行できるようにするポリシーも記述する必要があります。たとえば、次のポリシーは、すべてのリージョンのサービスに対する権限をレルム全体に付与します。

Allow service keymanagementservice to manage vaults in tenancy

権限を特定のコンパートメントに制限するには、かわりにコンパートメントを指定します。権限の詳細、またはより詳細なポリシーを記述する方法については、ボールト・サービスの詳細を参照してください。

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

コンソールの使用

コンソールを使用してボールトをレプリケートし、レプリケートされたキーの詳細を表示します。

ノート

レプリケートできるのは、アクティブな仮想プライベート・ボールトと、アクティブなキー、有効なキーまたは無効なキーのみです。
ボールトとそのキーを複製するには
ノート

特定の仮想プライベート・ボールトは1つのボールト・レプリカのみ持つことができ、レプリカは同じレルム内の別のリージョンに存在する必要があります。ボールトをレプリケートすると、サービスは既存のすべてのキーを自動的にレプリケートします。レプリケーションにシークレットは含まれません。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. リスト範囲」の「コンパートメント」リストで、レプリケートするボールトを含むコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、目的のボールトの名前をクリックします。

  4. [Vaultを複製]をクリックします。
  5. [ボールトの複製]ダイアログボックスで、一覧から目的のリージョンを選択し、[レプリカの作成]をクリックします。
別のボールトからレプリケートされたボールトの詳細を表示するには


この手順では、レプリケーションがソースボールトで構成されている場合に作成されるボールトの詳細を表示する方法について説明します。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. リスト範囲」の「コンパートメント」リストで、詳細を表示するレプリケーション用に構成されたボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ソース・ボールトの名前をクリックします。

  4. 「レプリカ詳細の表示」をクリックします。
  5. レプリケートされたボールトの詳細は次のとおりです。
    • 宛先リージョン:ボールト・レプリカが存在するリージョン。
    • レプリケーション状態:レプリケーションに関する宛先リージョンのボールトの現在の状態。(ボールトのレプリケーション状態は、そのライフサイクル状態とは無関係です。宛先リージョンのボールトのライフサイクル状態は、ソース・リージョンのボールトのライフサイクル状態と一致します。)
    • 作成日:宛先リージョンでボールトへのデータのレプリケートを開始した日付。
    • 搬送先ボールト名:搬送先リージョンのボールトの名前。
    • OCID:宛先リージョンのボールトの一意のOracleによって割り当てられるID。
    • 管理エンドポイント:宛先リージョンのボールトへの管理操作のリクエストの送信を開始する必要がある場合に使用するエンドポイント。
    • 暗号化エンドポイント:暗号化操作のリクエストを宛先リージョンのボールトに送信する必要がある場合に使用するエンドポイント。

ボールト・レプリカの実際の詳細ページを表示するには、ボールト・レプリカが存在するリージョンでボールト・サービスにアクセスする必要があります。別のリージョンの選択の詳細は、リージョンの切替えを参照してください。

ボールト・レプリカとその内容は表示できますが、ボールト・レプリカの詳細ページから直接管理アクションを実行することはできません。宛先リージョンのボールトに対する更新は、ソースリージョンのボールトに対する更新の結果として発生します。

レプリケートされたキーを表示するには
  1. 現在選択されているリージョンがコンソールの上部に表示されます。「リージョン」メニューから、レプリケーションの構成時に宛先リージョンとして選択したリージョンを選択します。
  2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  3. リスト範囲」の「コンパートメント」リストで、目的のキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  4. コンパートメント内のボールトのリストから、ボールトの名前をクリックします。
  5. このボールト内のキーのリストを表示するには、「マスター暗号化キー」をクリックします。リスト範囲を変更すると、他のコンパートメントのキーが表示されます。
ボールト・レプリカを削除するには
ノートボールトでレプリケーションを構成する

場合、レプリケートされたボールトを削除するとレプリケーションは停止しますが、それ以外の場合はソースに影響しません。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. リスト範囲」のコンパートメント・リストで、削除するレプリカのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールトの名前をクリックします。

  4. 「レプリカ詳細の表示」をクリックします。
  5. アクション・メニュー(3つのドット)をクリックし、「レプリカの削除」をクリックします。
  6. [削除の確認]ダイアログボックスで、ボックスをクリックし、目的の領域にボールトの名前を入力します。
  7. 終了したら、「レプリカの削除」をクリックします。