外部KMSの仕組み
Oracle Cloud Infrastructure (OCI)の内外で発生する操作など、外部キー管理サービス(EKMS)モデルについて学習します。
EKMSを使用すると、サードパーティのキー管理システムを使用して、オンプレミスで暗号化キーをホストできます。OCIサービスは、OCI KMS APIを介してEKMSと統合し、暗号化操作を実行します。EKMSの主な特徴は次のとおりです。
- サードパーティのキー管理システムで作成されたキー・マテリアルは、Oracle Cloudにインポートされません。
- 暗号化操作は、サードパーティーの鍵管理システムで実行されます。
- キー参照のみがOCIボールトに格納されます。つまり、すべてのキー管理操作がサードパーティのキー管理システムに残ります。
- サードパーティ・システムへのアクセスが取り消されると、OCIでの暗号化操作は失敗します。
- 動作は、Oracleパブリック・クラウドおよびAlloy環境全体でOCI EKMSに対して一貫しています。
外部KMS統合
オブジェクト・ストレージやデータベースなどのOCIサービスは、ワークロードにEKMS管理キーを使用できます。統合は、業界標準のプロトコルとセキュアな接続に基づいています。これには以下が含まれます。
オブジェクト・ストレージやデータベースなどのOCIサービスは、ワークロードにEKMS管理キーを使用できます。統合は業界標準のプロトコルと安全な接続に基づいています。次の図は、EKMSワークフローを示しています。
- OCIサービスは、ワークロードにEKMS管理キーを使用します。
- EKMSでは、OAuth2を使用して、顧客に付与されたアクセス・トークンを使用して暗号化リクエストに署名します。
- すべての暗号化操作は、セキュアなネットワーク接続を介してオンプレミスのHSMに送信されます。
- サード・パーティ管理サービスは、操作を許可する前に、OCIアイデンティティ・サービスからOAuth2 JWTトークンを検証します。
メタデータおよびキー参照はOCIボールトに格納され、実際のキーはサード・パーティのHSMに残ります。