Oracle Cloud Infrastructureドキュメント

AzureでのExadata Databaseサービスの管理

OracleDB@Azureリソース(Oracle Exadata Infrastructure、Oracle Exadata VMクラスタ、Oracle Exascale VMクラスタなど)をプロビジョニングした後、Microsoft Azureブレードを使用して限られた管理機能セットを使用でき、これらの機能についてはこのドキュメントで説明しています。

ノート

Exadata Databaseサービスをプロビジョニングする前に完了する必要がある前提条件があります。次の操作を実行する必要があります。
  1. 既存のAzureサブスクリプション
  2. Oracle Database@Azureサービスに委任されたサブネットを持つAzure VNet (Oracle.Database/networkAttachments)
  3. 次の条件で、リージョンにリソースを作成するAzureの権限:
    • OracleSubscriptionリソースはオンボーディング中にタグなしで自動的に作成されるため、タグなしのリソースの作成を禁止するポリシーはありません。
    • OracleSubscriptionリソースはデフォルトのリソース名で自動的に作成されるため、ネーミング規則を適用するポリシーはありません。
  4. AzureポータルでOracleDB@Azureを購入します。
  5. Oracle Cloud Infrastructure (OCI)アカウントを選択します。
オプションのステップを含む詳細なドキュメントについては、Oracle Database@Azureを使用したオンボーディングを参照してください。

Microsoft Azure Bladeの共通管理機能

次の管理機能は、そのリソースの Microsoft Azureブレードのすべてのリソースで使用できます。

Exascaleインフラストラクチャ上のOracle Exadata Database Serviceの追加管理関数

リソースブレードへのアクセス

Exadata Database Servicesのリソース・ブレードにアクセスするステップは、次のとおりです。

  1. Microsoft Azureポータルから、「Oracle Database@Azureアプリケーション」を選択します。
  2. 左側のメニューから、「Oracle Exadata Database Service Service」または「Oracle Exadata Database Service on Exascale Infrastructure」を選択します。
  3. ブレードが複数のリソースをリストおよび管理する場合は、ブレードの上部にあるリソースタイプを選択します。たとえば、Oracle Exadata Database ServiceブレードはOracle Exadata InfrastructureとOracle Exadata VMクラスタ・リソースの両方にアクセスし、Oracle Exadata Database Service on Exascale InfrastructureブレードはVmクラスタExascaleストレージ・ボールトの両方にアクセスします。

同じタイプのすべてのリソースのリスト・ステータス

これらは、すべてのExadata Databaseサービスのステータスをリストするステップです。

  1. Access the Resource Bladeのステップに従います。
  2. リソースは、「使用可能」「失敗」または「プロビジョニング中」としてリストに表示されます。
  3. 表の「名前」フィールドでリンクを選択して、そのリソースの詳細にアクセスします。

新規リソースのプロビジョニング

Exadata Database Servicesの新しいリソースをプロビジョニングするステップは、次のとおりです。

  1. Access the Resource Bladeのステップに従います。
  2. ブレードの上部にある「+作成」アイコンを選択します。
  3. リソースのプロビジョニング・フローに従います。

ブレードの情報をリフレッシュする

Exadata Databaseサービスのブレード情報をリフレッシュするステップは、次のとおりです。

  1. Access the Resource Bladeのステップに従います。
  2. ブレードの上部にある「Refresh」アイコンを選択します。
  3. ブレードがリロードされるまで待ちます。

Oracle Exadata VMクラスタまたはOracle Exascale VMクラスタの削除

Exadata Databaseサービス用のOracle Exadata VMクラスタまたはOracle Exascale VMクラスタを削除するステップは、次のとおりです。

ノート

Oracle Exadataインフラストラクチャごとに、一度に削除できるExadata VMクラスタは1つのみで、Exascale VMクラスタは1つのみです。
  1. Access the Resource Bladeのステップに従います。
    ノート

    Exadata VMクラスタを削除するには、Oracle Exadata Database Serviceブレードにアクセスします。Exascale VMクラスタを削除するには、Exascaleインフラストラクチャ・ブレード上のOracle Exadata Database Serviceにアクセスします。
  2. 表の左側にあるチェックボックスを選択すると、1つまたは複数のリソースをブレードから削除できます。削除するリソースを選択したら、ブレードの上部にある「削除」アイコンを選択できます。
  3. 表の「名前」フィールドからリソースへのリンクを選択して、単一のリソースを削除することもできます。リソースの詳細ページで、ブレードの上部にある「削除」アイコンを選択します。
  4. AzureポータルでExadata VMクラスタまたはExascale VMクラスタが削除されるまで待機します。
    ノート

    Azure Portalから消えても、終了はまだ処理中です。
  5. OCIに移動し(OCIコンソールへのアクセスのステップに従って)、Exadata VMクラスタまたはExascale VMクラスタ・ページに移動します。このステップの実行を待機した時間によっては、リソースがまだ終了している可能性があります。
  6. 終了が完了するまで待機します。
  7. 関連付けられたExadataインフラストラクチャが「使用可能」ステータスであることを確認します。必要に応じて、他のExadata VMクラスタおよびExascale VMクラスタに対してこのプロセスを繰り返します。

Oracle Exadataインフラストラクチャの削除

Oracle Exadata Infrastructure for Exadata Database Servicesを削除するステップは、次のとおりです。

ノート

Exadataインフラストラクチャ内のすべてのExadata VMクラスタまたはExascale VMクラスタがOCIで「終了済」ステータスであることを確認します。
  1. Azureに移動し(OCIコンソールへのアクセスのステップに従って)、Exadataインフラストラクチャ・ページに移動して、すべてのExadata VMクラスタまたはExascale VMクラスタが終了していることを確認します。
  2. 確認後、AzureポータルからExadataインフラストラクチャを削除します。削除すると、追加のアクションや待機時間は不要になります。

割り当てられたVMノードの変更

Exadata Database Servicesに割り当てられたVMノードを変更するステップは、次のとおりです。

  1. Access the Resource Bladeのステップに従います。
  2. 表の「名前」フィールドからリソースへのリンクを選択します。
  3. リソースの概要ページで、左側のメニューの「設定」→「仮想マシン」リンクを選択します。
  4. 仮想マシン(VM)を変更するには、「削除」アイコンを選択します。「仮想マシンの削除」パネルが開きます。「VMクラスタ」ドロップダウン・リストから、編集するVMを選択します。ドロップダウン・リストから「DBサーバー」を選択します。どちらのドロップダウン・リストにも、使用可能なVMおよび選択したVM上のデータベース・サーバーのみが移入されます。「送信」ボタンを選択して変更されたVMをコミットするか、「取消」ボタンを選択して操作を取り消します。

リソース・タグの追加、管理または削除

Exadata Databaseサービスのリソース・タグを追加、管理または削除するステップは、次のとおりです。

  1. Access the Resource Bladeのステップに従います。
  2. リソース・タグには、次の2つの異なる方法でアクセスできます。
    1. 表の「名前」フィールドからリソースへのリンクを選択し、リソースの概要ページで「タグ」セクションを選択します。
    2. 表の「名前」フィールドの末尾にある3つのドット「...」をクリックし、「タグの編集」を選択します。
  3. 新しいタグを作成するには、「名前」および「値」フィールドに値を入力します。
  4. 既存のタグを編集するには、既存のタグの「値」フィールドの値を変更します。
  5. 既存のタグを削除するには、タグの右側にある「ごみ箱」アイコンを選択します。

Oracle Exadata VMクラスタまたはOracle Exascale VMクラスタ・VMの管理

Exadata Database ServicesのOracle Exadata VMクラスタまたはOracle Exascale VMクラスタ仮想マシンを追加、リフレッシュ、削除、起動、停止または再起動するステップは次のとおりです。

  1. Access the resource bladeのステップに従います。
  2. Exadata VMクラスタにアクセスするには、Oracle Exadata Database Serviceブレードに移動します。Exascale VMクラスタにアクセスするには、Exascaleインフラストラクチャ上のOracle Exadata Database Serviceブレードに移動します。
  3. 表の「名前」フィールドからリソースへのリンクを選択します。
  4. リソースの概要ページで、「設定」セクションを選択し、左側のメニューにある「仮想マシン」リンクをクリックします。
  5. 仮想マシン(VM)を追加するには、「追加」アイコンを選択し、追加する複数のVMを指定して、「送信」ボタンをクリックします。
  6. 仮想マシン(VM)をリフレッシュするには、「リフレッシュ」アイコンを選択します。
  7. 仮想マシン(VM)を削除するには、「削除」アイコンを選択します。ドロップダウン・リストから、クラスタから削除するVMを選択し、「送信」ボタンをクリックします。
  8. 仮想マシン(VM)を起動するには、「起動」アイコンを選択します。「仮想マシンの起動」パネルが開きます。「仮想マシン」ドロップダウン・リストから、開始するVMを選択します。ドロップダウン・リストには、使用できないすべてのVMのみが移入されます。「送信」ボタンを選択してそのVMを起動するか、「取消」ボタンを選択して操作を取り消します。
  9. 仮想マシン(VM)を停止するには、「停止」アイコンを選択します。「仮想マシンの停止」パネルが開きます。停止するVMを「仮想マシン」ドロップダウン・リストから選択します。ドロップダウン・リストには、使用可能なすべてのVMのみが移入されます。ノート:ノードを停止すると、進行中のバックエンド・ソフトウェア操作およびデータベースの可用性が中断されることがあります。「送信」ボタンを選択してそのVMを停止するか、「取消」ボタンを選択して操作を取り消します。
  10. 仮想マシン(VM)を再起動するには、「再起動」アイコンを選択します。「仮想マシンの再起動」パネルが開きます。「仮想マシン」ドロップダウン・リストから、再起動するVMを選択します。ドロップダウン・リストには、使用可能なすべてのVMのみが移入されます。注:再起動すると、ノードはシャットダウンされ、起動されます。単一ノード・システムの場合は、再起動の進行中にデータベースがオフラインになります。「送信」ボタンを選択してそのVMを再起動するか、「取消」ボタンを選択して操作を取り消します。

OCIコンソールへのアクセス

Exadata Database ServicesのOCIコンソールにアクセスするステップは、次のとおりです。

  1. Access the resource bladeのステップに従います。
  2. 表の「名前」フィールドからリソースへのリンクを選択します。
  3. 「概要」セクションで、「OCIデータベースURL」フィールドの「OCIに移動」リンクを選択します。
  4. OCIにログインします。
  5. OCIコンソール内からリソースを管理します。

接続テストの実行

Exadata Database Servicesの接続テストを実行するステップは、次のとおりです。

  1. OCIコンソールへのアクセスのステップに従います。
  2. OCIコンソールで、テストするデータベースの「プラガブル・データベースの詳細」ページに移動します。
  3. 「PDB接続」ボタンを選択します。
  4. 「表示」リンクを選択して、「接続文字列」の詳細を展開します。
  5. Oracle SQL Developerを開きます。SQL Developerがインストールされていない場合は、SQL Developerをダウンロードしてインストールします。
  6. SQL Developerで、次の情報を使用して新しい接続を開きます。
    1. 名前 - 接続の保存に使用する任意の名前を入力します。
    2. ユーザー名 - SYSと入力します。
    3. パスワード - PDBの作成時に使用するパスワードを入力します。
    4. ロール - 「SYSDBA」を選択します。
    5. パスワードの保存 - セキュリティ・ルールで許可されている場合、ボックスを選択します。そうでない場合は、SQL Developerでこの接続を使用するたびにPDBパスワードを入力する必要があります。
    6. 接続タイプ - 「基本」を選択します。
    7. ホスト名 - 前述の「接続文字列」からホストIPの1つを入力します。
    8. ポート - デフォルトは1521です。これを変更する必要があるのは、PDBのデフォルト・ポート設定を変更した場合のみです。
    9. サービス名 - 以前に選択したホストIPのSERVICE_NAME値を入力します。これは、前述の接続文字列からのものです。
    10. 「テスト」ボタンを選択します。接続リストの下部にある「ステータス」は、「成功」と表示されます。接続が成功しない場合、「ホスト名」「ポート」および「サービス名」フィールドの1つ以上が正しくないか、PDBが現在実行されていません。
    11. 「保存」ボタンを選択します。
    12. 「接続」ボタンを選択します。

ネットワーク・セキュリティ・グループ(NSG)ルールの管理

Exadata Database Servicesのネットワーク・セキュリティ・グループ(NSG)ルールを管理するステップは、次のとおりです。

  1. ステップに従ってAccess the Resource Bladeにアクセスします。
  2. 表の「名前」フィールドからリソースへのリンクを選択します。
  3. リソースの詳細ページで、「OCIネットワーク・セキュリティ・グループURL」フィールドの「OCIに移動」リンクを選択します。
  4. OCIにログインします。
  5. OCIコンソール内からNSGルールを管理します。
  6. OracleDB@Azure内のNSGルールおよび考慮事項の詳細は、Exadata Database Services for Azureのトラブルシューティングおよび既知の問題自動ネットワーク・イングレス構成の項を参照してください。
ノート

Azureプライベート・リンク、複数のネットワーク・セキュリティ・グループ(NSG)のサポートおよびグローバル仮想ネットワーク(VNet)ピアリングを含むAzureの高度なネットワーキング機能により、Oracle Exadata VMクラスタでAzure委任サブネットを使用できます。詳細は、Oracle Database@Azureのネットワーク計画を参照してください。

増加したストレージまたはECPU制限のリクエスト

Exadata Database ServicesのストレージまたはECPU制限の増加をリクエストするステップは、次のとおりです。

  1. Oracle Database@Azureホームから、「概要」を選択します。
  2. 「Oracle Subscriptionの表示」ボタンを選択します。
  3. デフォルト・サブスクリプションを選択します。
  4. デフォルト・サブスクリプションの左側のメニューから、「ヘルプ」セクション、「サポートとトラブルシューティング」の順にクリックします。
  5. 「ソリューションおよびサポートを取得するための問題について教えてください」フィールドに「Oracle Database@Azure」と入力し、「実行」ボタンを選択します。
  6. 「どのサービスに問題がありますか。」ドロップダウン・フィールドで、リストから「データベース」/「Oracle Database@Azure」を選択します。
  7. 「次へ」ボタンを選択します。
  8. 表示されるメッセージで、「OCIサポート・ポータル」リンクを選択します。
  9. OracleDB@Azureのサポート・プロセスで説明されているステップに従います。

OracleDB@Azureのサポート

次に、OracleDB@Azureのサポートを取得するステップを示します。

  1. OCIコンソールへのアクセスのステップに従います。
  2. OCIコンソールから、サポート・リソースにアクセスするには2つの方法があります。
    1. ページ上部のメニュー・バーの右上にある「ヘルプ」(?)アイコンを選択します。
    2. ページの右側で、浮動サポート・アイコンを選択します。注:このアイコンはユーザーが移動でき、水平方向の正確な位置はユーザーごとに異なる場合があります。
  3. ここには、ドキュメント、チャットによるヘルプのリクエスト、サポート・センターへの訪問、フォーラムへの質問の投稿、フィードバックの送信、制限の引上げのリクエスト、サポート・リクエストの作成など、いくつかのサポート・オプションがあります。
  4. サポート・リクエストを作成する必要がある場合は、そのオプションを選択します。
  5. サポート・リクエスト・ページには、リソース名、リソースOCID、サービス・グループ、サービス、および特定のOracleDB@Azureリソースに依存するその他のいくつかのアイテムなど、Oracle Support Servicesで必要な情報が自動移入されます。
  6. 次のオプションからサポートオプションを選択します。
    1. クリティカルな停止は、クリティカルな本番システムの停止またはクリティカルなビジネス機能が使用できないか、不安定です。必要に応じて、あなたまたは代替連絡先がこの問題24x7を操作できる必要があります。
    2. 重大な障害: 重大なサービス損失が発生するクリティカル・システムまたはビジネス機能。操作は制限付きで続行できます。あなたまたは代替連絡先は、通常の営業時間中にこの問題に対処できます。
    3. 技術的な問題: 機能、エラーまたはパフォーマンスの問題が一部の操作に影響します。
    4. 製品またはサービスの使用に関する質問、製品またはサービスのセットアップ、またはドキュメントの説明が必要な場合の一般的なガイダンス
  7. 「サポート・リクエストの作成」ボタンを選択します。
  8. サポート・チケットが作成されます。このチケットは、OCIコンソール内またはMy Oracle Support (MOS)を介して監視できます。

Exascaleインフラストラクチャ上のOracle Exadata Database ServiceでのExascaleデータベース・ボールトの管理

Exascaleインフラストラクチャ(ExaDB-XS)上のOracle Exadata Database ServiceでExascaleストレージ・ボールトを表示および削除するステップは次のとおりです。

  1. Oracle Exascale DB Storage Vaultを表示するには、Exascaleインフラストラクチャ上のOracle Exadata Database Serviceブレードに移動し、「Exascaleストレージ・ボールト」を選択します。ボールトの「名前」フィールドからリンクを選択して、Oracle Exascale DB Storage Vaultの情報を表示します。
  2. Oracle Exascale DB Storage Vaultを削除するには、Exascaleインフラストラクチャ上のOracle Exadata Database Serviceブレードに移動し、「Exascaleストレージ・ボールト」を選択します。ボールトの「名前」フィールドからリンクを選択して、「概要」ページを表示します。「削除」ボタンを選択してボールトを削除し、「はい」をクリックして削除を確認します。

OracleDB@Azureの制限の引上げをリクエストします

サービス制限の引上げのリクエスト方法について学習します。

OracleDB@Azureのサービス制限を増やす必要がある場合は、データベース・リソースの制限の引上げのリクエストを参照してください。

2つのExascale VMクラスタから単一のExascale VMクラスタへのスケール・イン

これらは、2つのVMクラスタから1つのVMクラスタにスケール・インするステップです。

  1. Microsoft Azureポータルから、「Oracle Database@Azureアプリケーション」を選択します。
  2. 左側のメニューから、「Exascaleインフラストラクチャ上のOracle Exadata Database Service」を選択します。
  3. 「Vmクラスタ」セクションには、使用可能なVMクラスタがリストされます。「Vmクラスタ」リストからリソースを選択します。
  4. 左側のメニューから、「設定」セクションの下にある「仮想マシン」を選択します。
  5. VMの名前を選択し、「削除」ボタンを選択します。プロセスが完了すると、「状態」「終了済」に変わります。

Oracle Database@Azure用のAzure Key Vault統合

Oracle Database@Azure上のExadata Database Serviceでは、データベースの透過的データ暗号化(TDE)キー(マスター暗号化キー(MEK)とも呼ばれる)を、ファイルベースのOracleウォレットまたはOCI Vaultに格納できます。この機能により、Oracle Database@AzureユーザーのExadata Database Serviceで、TDE MEKの管理にAzure Key Vault (AKV)管理対象HSM、AKV PremiumおよびAKV Standardを使用できます。この統合により、アプリケーション、Azureサービスおよびデータベースは、一元化されたキー管理ソリューションを使用してセキュリティを強化し、キー・ライフサイクル管理を簡素化できます。

前提条件:

Azure Key VaultをKey Management ServiceとしてExadata VMクラスタ・レベルで構成するには、次のステップを完了する必要があります。
  1. まず、委任サブネットがOracle Database@Azureのネットワーク計画に記載されている高度なネットワーク機能を使用するために必要な登録を完了し、次に、Exadata VMクラスタで使用される委任サブネットが少なくとも1つあるAzure Virtual Networkを作成する必要があります。
  2. Azureインタフェースを介してExadata VMクラスタをプロビジョニングします。ステップバイステップの手順については、Exadata VMクラスタfor Azureのプロビジョニングを参照してください。
  3. ネットワーク要件を確認して、VMクラスタがパブリック・ネットワークを介してAzure KMSに接続するか、プライベート接続を介して接続するかを決定します。詳細は、接続マシン・エージェントのネットワーク要件またはアイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件を参照してください。
  4. データベースを作成する前に、次のポリシーが作成されていることを確認してください。
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL {
            request.principal.type in ('cloudvmcluster')}

OCIコンソールからのアイデンティティ・コネクタの作成

アイデンティティ・コネクタを作成すると、Azure ArcエージェントがExadata VMクラスタ・ノードにインストールされ、Azure Arc対応仮想マシンとして登録されます。これにより、Arcエージェントによって生成されたAzureアイデンティティを使用して、Azure Key Management Service(KMS)とのセキュアな通信が可能になります。Azure Arcエージェントは、パブリック ネットワークまたはプライベート接続設定のいずれかを介して Azureサービスと通信できます。詳細は、Azure Arcの概要を参照してください。

ノート

  • Azureリソースにアクセスするには、各Exadata VMクラスタでアイデンティティ・コネクタが有効になっている必要があります。アイデンティティ・コネクタは、割り当てられたロールに応じて、Exadata VMクラスタとAzure Key Management Serviceリソース間のパブリック接続またはプライベート接続を確立します。
  • 現在のAzureアカウントのアクセス・トークンを生成するには、az account get-access-tokenを参照してください。

アイデンティティ・コネクタを作成するには2つの方法があります。Oracle Exadata Database Service on Dedicated Infrastructureインタフェースまたはデータベース・マルチクラウド統合インタフェースを使用できます。

  1. OCIナビゲーション・メニューから、「Oracle Database」を選択し、「Oracle Exadata Database Service on Dedicated Infrastructure」を選択して作成プロセスを開始します。
    1. 左側のメニューから、「Oracle Exadata Database Service on Dedicated Infrastructure」「Exadata VMクラスタ」を選択します。
    2. Exadata VMクラスタのリストから、使用しているクラスタを選択します。
    3. 「VMクラスタ情報」を選択し、「マルチクラウド情報」の下にある「アイデンティティ・コネクタ」に移動します。「作成」リンクを選択します。
      ノート

      アイデンティティ・コネクタが以前に作成されていない場合、「なし」と表示されます。
    4. 「アイデンティティ・コネクタ名」「Exadata VMクラスタ」「AzureサブスクリプションID」および「Azureリソース・グループ名」は読取り専用フィールドで、値が移入されます。
    5. AzureテナントIDおよびアクセス・トークンを入力します。
    6. 「拡張オプションの表示」セクションを展開します。「プライベート接続情報」および「タグ」セクションにデータが移入されます。プライベート・エンドポイント接続を有効にするには、IPアドレスおよびDNS別名を入力します。
    7. リソースのタグを追加する場合は、「タグの追加」ボタンをクリックし、必要な値を入力します。
    8. 選択内容を確認し、「作成」ボタンを選択してアイデンティティ・コネクタを作成します。
  2. または、「データベース・マルチクラウド統合」セクションからアイデンティティ・コネクタを作成できます。詳細は、OCIコンソールからのアイデンティティ・コネクタの作成を参照してください。
アイデンティティ・コネクタの詳細の表示
  1. OCIナビゲーション・メニューから、「Oracle Database」を選択し、「Oracle Exadata Database Service on Dedicated Infrastructure」を選択します。
  2. Exadata VMクラスタのリストから、使用しているクラスタを選択します。
  3. 「VMクラスタ情報」タブを選択します。
  4. 「マルチクラウド情報」セクションで、「アイデンティティ・コネクタ」フィールドに以前に作成したアイデンティティ・コネクタが表示されていることを確認します。
  5. アイデンティティ・コネクタの名前を選択して、「一般情報」および「アーク・エージェント」の詳細を表示します。

Azure Key Managementを有効化または無効化します。

このステップでは、Azure Key Vault統合をサポートするために、必要なライブラリをExadata VMクラスタにインストールします。Exadata VMクラスタでAzure Key Managementを有効にする前に、アイデンティティ・コネクタが作成されていることを確認します。

  1. OCIコンソールから既存のExadata VMクラスタに移動し、「VMクラスタ情報」タブを選択します。
  2. 「マルチクラウド情報」セクションで、Azureキー管理に移動し、「有効化」リンクを選択して、Exadata VMクラスタにライブラリをインストールします。
  3. キー管理を有効にすると、Azureキー管理のステータスが「無効」から「有効」に変わります。
  4. Azureキー管理を無効にするには、「無効化」リンクを選択し、「無効化」ボタンを選択して選択内容を確認します。
    ノート

    Azureキー管理を無効にすると、有効化時にインストールされたライブラリが削除され、それを使用するように構成されたデータベースの可用性に影響します。
ノート

Azureキー管理はVMクラスタ・レベルで構成されるため、クラスタ内のすべてのデータベースで同じキー管理ソリューションを使用する必要があります。ただし、Oracle Walletを使用するデータベースは、Azure Key Vaultを使用するデータベースと同じクラスタ内に共存できます。
Azure Key Vault (マネージドHSM、プレミアムおよび標準)の作成および必要なロールの割当て
ノート

TDEキー管理に使用するAzure Key Vaultを作成します。
ノート

Azure Key Vault管理対象HSMAzure Key Vault PremiumおよびAzure Key Vault標準リソースへのアクセスおよび管理に必要な権限を付与するために、グループに割り当てる必要がある特定のロールがあります。
  1. グループを作成し、メンバーを追加します。
    ノート

    Azureグループでは、リソースに同じアクセスおよび権限を割り当てることで、ユーザーを管理できます。
    ノート

  2. Azure Key Vaultのタイプに基づいて、次のロールを割り当てます:
    • Azure Key Vault管理対象HSMの場合:
      • アクセス制御(IAM): リーダー・ロールを割り当てます。
      • ローカルRBAC: マネージドHSM暗号ユーザーおよびマネージドHSM暗号責任者ロールを割り当てます。
    • Key Vault Premium and Standard: リーダーおよびKey Vault暗号化責任者ロールを割り当てます。

詳細は、「Azureポータルを使用したAzureロールの割当て」を参照してください。

OCIコンソールでのAzureキー・ボールトの登録

OCIコンソールへのAzure Key Vaultsの登録のドキュメントに記載されている指示に従って、ボールトをOCIにローカルに登録します。
ノート

既存のExadata VMクラスタでのデータベースの作成中にボールトをすでに登録している場合は、このステップをスキップできます。

既存のExadata VMクラスタにデータベースを作成し、キー管理としてAzure Key Vaultを選択します。

既存のExadata Cloud Infrastructureインスタンスにデータベースを作成するにはのドキュメントで説明されている手順に従い、キー管理をAzure Key Vaultとして選択します。

Oracle WalletからAzure Key VaultへのKey Managementの変更

異なる暗号化方式間で暗号化キーを変更する方法を学習します。

  1. OCIコンソールで既存のExadata VMクラスタに移動します。「データベース」タブを選択します。次に、使用するデータベース・リソースを選択します。
  2. 「データベース情報」タブを選択し、「キー管理」セクションまでスクロール・ダウンします。
  3. 「暗号化」セクションで、「キー管理」「Oracle Wallet」に設定されていることを確認します。次に、「変更」リンクを選択します。
  4. 「キー管理の変更」ページで次の情報を入力します。
    • ドロップダウン・リストから、「キー管理」「Azureキー・ボールト」を選択します。
    • 使用しているVaultコンパートメントを選択し、コンパートメントで使用可能なVaultを選択します。
    • 使用しているキー・コンパートメントを選択し、ドロップダウン・リストからキーを選択します。
    • 送信する「変更の保存」ボタンを選択します。
ノート

Azure Key VaultからOracle Walletへのキー管理の変更は、APIまたはOCIコンソールを使用して実行できません。これは、dbaascli tde fileToHsmコマンドでのみサポートされています。また、Azure Key VaultとOCI VaultまたはOracle Key Vault (OKV)の切替えはサポートされていません。
コンテナ・データベース(CDB)のAzure Key Vault暗号化キーのローテーション
  1. OCIナビゲーション・メニューから、「Oracle Database」を選択し、「Oracle Exadata Database Service on Dedicated Infrastructure」を選択します。
  2. OCIコンソールで既存のExadata VMクラスタに移動し、「データベース」タブを選択します。次に、コンテナ・データベースを選択し、「データベース情報」タブを選択します。
  3. 「暗号化」セクションで、「キー管理」「Azure Key Vault」に設定されていることを確認し、「キーのローテーション」リンクを選択します。「ローテーション」ボタンを選択して、キーのローテーションを確認します。
ノート

キー・ローテーションは、OCIコンソールから実行する必要があります。Azureポータルからキーを直接ローテーションしても、データベースには影響しません。
プラガブル・データベース(PDB)のAzure Key Vault暗号化キーのローテーション
  1. OCIナビゲーション・メニューから、「Oracle Database」を選択し、「Oracle Exadata Database Service on Dedicated Infrastructure」を選択します。
  2. Exadata VMクラスタを選択し、左側のメニューから「データベース」リンクを選択します。
  3. 使用しているデータベースの「名前」フィールドを選択し、「リソース」セクションの下の「プラガブル・データベース」リンクを選択します。
  4. 使用するプラガブル・データベースの「名前」フィールドを選択します。
  5. 「暗号化」セクションには、「キー管理」がAzure Key Vaultとして設定されていることが表示されます。「ローテーション」リンクを選択し、「ローテーション」ボタンを選択してキーのローテーションを確認します。