Oracle Cloud Infrastructureドキュメント

Google CloudでのExadata Databaseサービスの管理

OracleDB@GCPリソースをプロビジョニングした後、限られた管理機能セットにGoogle Cloudコンソールを使用できます。

Google Cloudコンソールの共通管理機能

次の管理機能は、そのリソースのGoogle Cloudコンソールのすべてのリソースで使用できます。

リソース・コンソールへのアクセス

リソース・コンソールにアクセスするために実行するステップは次のとおりです。

  1. Google Cloudコンソールから、「Oracle Database@Google Cloudアプリケーション」を選択します。
  2. 左側のメニューから、「Exadata Database」を選択します。
  3. コンソールが複数のリソースを表示および管理する場合は、コンソールの上部にあるリソースタイプを選択します。

同じタイプのすべてのリソースのリスト・ステータス

これらは、同じタイプのすべてのリソースのステータスをリストするために実行するステップです。

  1. リソース・コンソールへのアクセスのステップに従います。
  2. リソースは、「成功」「失敗」または「プロビジョニング」としてリストに表示されます。
  3. 表の「名前」フィールドでリンクを選択して、そのリソースの詳細にアクセスします。

新規リソースのプロビジョニング

新しいリソースをプロビジョニングするステップは、次のとおりです。

  1. リソース・コンソールへのアクセスのステップに従います。
  2. コンソールの上部にある「+作成」アイコンを選択します。
  3. 必要に応じて、タスク2: Google Cloud用のExadataインフラストラクチャのプロビジョニングまたはタスク3: Google Cloud用のExadata VMクラスタのプロビジョニングのプロビジョニング・フローに従います。

コンソールの情報のリフレッシュ

コンソールの情報をリフレッシュするために実行するステップは次のとおりです。

  1. リソース・コンソールへのアクセスのステップに従います。
  2. コンソールの上部にある「リフレッシュ」アイコンを選択します。
  3. コンソールがリロードされるまで待ちます。

リソースの削除

リソースを削除するために実行する手順は次のとおりです。

  1. リソース・コンソールへのアクセスのステップに従います。
  2. コンソールから単一のリソースを削除するには、表の右側にある垂直方向の省略記号を選択します。削除するリソースを選択したら、「削除」アイコンを選択できます。

OCIコンソールへのアクセス

これらは、OCIコンソールにアクセスするために実行するステップです。

  1. リソース・コンソールへのアクセスのステップに従います。
  2. 表の「表示名」フィールドからリソースへのリンクを選択します。
  3. 詳細ページの上部にある「OCIでの管理」アイコンを選択します。
  4. OCIコンソール内からリソースを管理します。

接続テストの実行

接続テストを実行するステップは、次のとおりです。

  1. OCIコンソールへのアクセスのステップに従います。
  2. 「プラガブル・データベースの詳細」ページにナビゲートします。
  3. 「PDB接続」を選択します。
  4. 「表示」を選択して、「接続文字列」情報を展開します。
  5. Oracle SQL Developerを開きます。SQL Developerがインストールされていない場合は、SQL Developerをダウンロードしてインストールします。
  6. SQL Developerで、次の情報を使用して新しい接続を開きます。
    1. 名前 - 接続の保存に使用する任意の名前を入力します。
    2. ユーザー名 - SYSと入力します。
    3. パスワード - PDBの作成時に使用するパスワードを入力します。
    4. ロール - 「SYSDBA」を選択します。
    5. パスワードの保存 - セキュリティ・ルールで許可されている場合、ボックスを選択します。そうでない場合は、SQL Developerでこの接続を使用するたびにPDBパスワードを入力する必要があります。
    6. 接続タイプ - 「基本」を選択します。
    7. ホスト名 - 前述の「接続文字列」からホストIPの1つを入力します。
    8. ポート - デフォルトは1521です。これを変更する必要があるのは、PDBのデフォルト・ポート設定を変更した場合のみです。
    9. サービス名 - 以前に選択したホストIPのSERVICE_NAME値を入力します。これは、前述の接続文字列からのものです。
    10. 「テスト」ボタンを選択します。接続リストの下部にある「ステータス」は、「成功」と表示されます。接続が成功しない場合、「ホスト名」「ポート」および「サービス名」フィールドの1つ以上が正しくないか、PDBが現在実行されていません。
    11. 「保存」ボタンを選択します。
    12. 「接続」ボタンを選択します。

OracleDB@GCPのサポート

サポート・リソースにアクセスするステップは、次のとおりです。

  1. OCIコンソールへのアクセスのステップに従います。
  2. OCIコンソールから、サポート・リソースにアクセスするには2つの方法があります。
    1. ページ上部のメニュー・バーの右上にある「ヘルプ」(?)アイコンを選択します。
    2. ページの右側で、浮動サポート・アイコンを選択します。注:このアイコンはユーザーが移動でき、水平方向の正確な位置はユーザーごとに異なる場合があります。
  3. ここには、ドキュメント、チャットによるヘルプのリクエスト、サポート・センターへの訪問、フォーラムへの質問の投稿、フィードバックの送信、制限の引上げのリクエスト、サポート・リクエストの作成など、いくつかのサポート・オプションがあります。
  4. サポート・リクエストを作成する必要がある場合は、そのオプションを選択します。
  5. サポート・リクエスト・ページには、リソース名、リソースOCID、サービス・グループ、サービス、および特定のOracleDB@GCPリソースに依存するその他のいくつかのアイテムなど、Oracle Support Servicesで必要な情報が自動移入されます。
  6. 次のオプションからサポートオプションを選択します。
    1. クリティカルな停止は、クリティカルな本番システムの停止またはクリティカルなビジネス機能が使用できないか、不安定です。必要に応じて、あなたまたは代替連絡先がこの問題24x7を操作できる必要があります。
    2. 重大な障害: 重大なサービス損失が発生するクリティカル・システムまたはビジネス機能。操作は制限付きで続行できます。あなたまたは代替連絡先は、通常の営業時間中にこの問題に対処できます。
    3. 技術的な問題: 機能、エラーまたはパフォーマンスの問題が一部の操作に影響します。
    4. 製品またはサービスの使用に関する質問、製品またはサービスのセットアップ、またはドキュメントの説明が必要な場合の一般的なガイダンス
  7. 「サポート・リクエストの作成」ボタンを選択します。
  8. サポート・チケットが作成されます。このチケットは、OCIコンソール内またはMy Oracle Support (MOS)を介して監視できます。

Google Cloudプロジェクトのアクセス制御

これらは、リソースへのアクセスを管理し、Google Cloudプロジェクトのユーザーのロールを指定するステップです。

  1. Google Cloudコンソールから、「Identity and Access Management (IAM)」ページにナビゲートします。
  2. 「PRINCIPALSによる表示」セクションには、プロジェクトの一部のロールが付与されているすべてのプリンシパルがリストされます。
  3. リソースに既存のロールを持たないプリンシパルへのアクセス権を付与するには、「+ GRANT ACCESS」リンクを選択し、プリンシパルの識別子を入力します。
    ノート

    プリンシパルは、ユーザー、グループ、ドメインおよびサービス・アカウントです。
  4. リソースにすでに他のロールを持つプリンシパルへのアクセス権を付与するには、「タイプ」フィールドの近くにあるチェックボックスをクリックし、鉛筆アイコンを選択して「プリンシパルの編集」を選択します。
  5. 「ロールの割当て」セクションにあるドロップダウン・リストからロールを選択します。
  6. ロールに条件を追加する場合は、+ IAM CONDITIONリンクをクリックします。
    ノート

    ロールへの条件の追加はオプションです。
  7. プリンシパルに他のロールを追加する場合は、「+ ANOTHER ROLEの追加」を選択し、「保存」ボタンをクリックします。

Google Cloudクロスプロジェクトに必要な権限

Exadataインフラストラクチャが異なるプロジェクトにあるGoogle CloudプロジェクトでExadata VMクラスタをプロビジョニングする場合、ユーザーまたは必要な権限を持つ管理者は、Exadataインフラストラクチャユーザー・ロールを割り当てる必要があります。

OracleDB@GCPの制限の引上げをリクエストします

サービス制限の引上げのリクエスト方法について学習します。

OracleDB@GCPのサービス制限を増やす必要がある場合は、データベース・リソースの制限の引上げのリクエストを参照してください。

Oracle Database@Google CloudでのExadata Database ServiceのGoogle Cloud Key Management統合

Oracle Database@Google Cloud上のExadata Database Serviceは、Google Cloud Platformのキー管理サービス(KMS)との統合をサポートしています。この機能拡張により、ユーザーはGCP顧客管理暗号化キー(CMEK)を使用して透過的データ暗号化(TDE)マスター暗号化キー(MEK)を管理できます。以前は、TDE MEKは、ファイルベースのOracle Wallet、Oracle Cloud Infrastructure (OCI) VaultまたはOracle Key Vault (OKV)にのみ格納できました。この機能を使用すると、MEKをGCP KMSに直接格納および管理できるため、主要なライフサイクル管理が向上し、組織固有のセキュリティ・ポリシーに準拠できます。この統合により、アプリケーション、Google Cloudサービスおよびデータベースは、セキュリティを強化し、キー・ライフサイクル管理を簡素化する一元化されたキー管理ソリューションの恩恵を受けることができます。

前提条件:

データベースのキー管理サービスとしてGCP顧客管理暗号化キー(CMEK)を構成する前に、次の前提条件が満たされていることを確認してください。

  1. Exadataインフラストラクチャをプロビジョニングします。ステップバイステップの手順については、タスク1: Google Cloud用のExadataインフラストラクチャのプロビジョニングを参照してください。
  2. Exadata VMクラスタをプロビジョニングします。ステップバイステップの手順については、タスク2: Google Cloud用のExadata VMクラスタのプロビジョニングを参照してください。
    ノート

    Exadata VMクラスタをプロビジョニングすると、アイデンティティ・コネクタが自動的に作成され、Exadata VMクラスタに関連付けられます。
  3. Exadata VMクラスタ・レベルでGCP顧客管理暗号化キー(CMEK)をキー管理サービスとして構成します。
    ノート

    Exadata DatabaseにデプロイされたデータベースでGCP CMEKを有効にするには、VMクラスタ・レベルでキー管理オプションとしてCMEKを構成する必要があります。CMEKを有効にすると、すべてのデータベース暗号化および復号化操作で、指定されたGCP管理キーが使用されます。CMEKを有効にする前に、次のことを確認する必要があります。
    • 必要なGCPキー・リングおよび暗号化キーは、GCPにすでに作成されています。
    • これらのキーはOCIでアンカー・リソースとしてミラー化され、GCPとOCI間の同期が確保されます。
    • データベースのプロビジョニングや、キーのローテーション、失効、監査などの暗号化キー・ライフサイクルの管理のために、アンカー・リソースが配置されています。
  4. データベースは、クラスタ・リソース・プリンシパルを使用して、GCPキー・リソースを安全に取得します。この機能を有効にするには、OCIテナンシで適切なIAMポリシーを定義する必要があります。
    Oracle GCPキーへの読取り専用アクセス: 
    Allow any-user to read oracle-db-gcp-keys in compartment id <your-compartment-OCID> 
where all { request.principal.type = 'cloudvmcluster'}
    このポリシーは、VMクラスタ・リソース・プリンシパルのGCPキー・リソースへの読取り専用アクセス権を付与します。

VMクラスタにアタッチされたデフォルトのアイデンティティ・コネクタの検証

これらは、アイデンティティ・コネクタの詳細を表示するために必要なステップです。

  1. OCIナビゲーション・メニューから、「Oracle Database」を選択し、「Oracle Exadata Database Service on Dedicated Infrastructure」を選択します。
  2. 左側のメニューから、「Oracle Exadata Database Service on Dedicated Infrastructure」の下にある「Exadata VMクラスタ」を選択します。
  3. Exadata VMクラスタのリストから、使用しているクラスタを選択します。
  4. 「VMクラスタ情報」タブを選択し、「マルチクラウド情報」の下にある「アイデンティティ・コネクタ」に移動します。
    ノート

    「アイデンティティ・コネクタ」フィールドに、Exadata VMクラスタにアタッチされたアイデンティティ・コネクタが表示されることを確認します。
  5. 「アイデンティティ・コネクタ」リンクを選択して、その詳細を表示します。
ノート

「GCP情報」セクションから、次の項に必要なワークロード・リソース・サービス・エージェントをコピーします。

Google Cloudコンソールでのキー・リングの作成

  1. GCPコンソールで、「キー管理」を選択し、「キーリング」タブを選択します。
  2. 「+ CREATE KEY RING」ボタンを選択してプロセスを開始します。
  3. 「キー・リングの作成」ページで、「キー・リング名」フィールドにわかりやすい名前を入力します。
  4. 「ロケーション・タイプ」フィールドには、3つのオプションがあります。これらのオプションは、「リージョン」「マルチリージョン」および「グローバル」です。システム要件に基づいて、事業所タイプを選択します。
    ノート

    • 同じ名前のキーリングは異なる場所に存在できるため、常に場所を指定する必要があります。
    • 保護するリソースに近い場所を選択します。
    • 顧客管理暗号化キー(CMEK)の場合、キー・リングがそれを使用するリソースと同じ場所にあることを確認します。
    • クラウド・キー管理でキー・リングを作成する際には、適切な場所を選択することが重要です。選択内容は、暗号化キーが格納される場所およびレプリケートされる方法に影響します。詳細は、クラウドKMSの場所を参照してください。
  5. 情報をレビューして、「作成」ボタンを選択します
  6. キー・リングが作成されると、その中に暗号化キーを作成および管理できます。

Google Cloudコンソールでのキーの作成

指定されたキー・リングおよび場所にRAW対称暗号化キーを作成するには、次のステップを実行します。

  1. GCPコンソールで、「キー管理」を選択し、「キーリング」タブを選択します。
  2. キー・リング・リストから、以前に作成したキー・リングを選択します。
  3. 「キー・リングの詳細」ページで、「+ CREATE KEY」ボタンを選択します。
  4. 「キーの作成」ページで、次のサブステップを完了します:
    1. 「名前と保護」セクションで、「キー名」フィールドにわかりやすい名前を入力します。
    2. 「保護レベル」を選択します。「ソフトウェア」または「HSM」オプションのいずれかを選択します。
      ノート

      キーの保護レベルは、キーの作成後に変更できません。詳細は、保護レベルを参照してください。
    3. 「続行」ボタンを選択します。
    4. 「キー・マテリアル」セクションで、「生成済キー」オプションを選択し、「CONTINUE」ボタンを選択します。
      ノート

      生成済キー資料をCloud KMSで入手するか、Google Cloudの外部で保持されているキー資料をインポートします。詳細は、顧客管理暗号化キー(CMEK)を参照してください。
    5. 「目的とアルゴリズム」セクションで、「目的」として「RAW対称暗号化/復号化」オプションを選択します。「アルゴリズム」ドロップダウン・リストから、「AES-128-CBC」または「AES-256-CBC」オプションを選択します。次に、「CONTINUE」ボタンを選択してください。詳細は、主要な目的およびアルゴリズムを参照してください
    6. 「バージョン」セクションで、「続行」ボタンを選択します。
    7. 「追加設定」セクションはオプションです。
    8. 「CREATE」ボタンを選択して、キーを作成します。
  5. 「ロケーション・タイプ」フィールドには、2つのオプションがあります。これらのオプションは、「リージョン」および「マルチリージョン」です。システム要件に基づいて、事業所タイプを選択します。
  6. 情報をレビューして、「作成」ボタンを選択します
  7. キーの作成後、AES-CBCの暗号化および復号化を必要とする暗号化操作に使用できます。

Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与

OCIでキーを検出できるようにするには、次のステップを実行します:

  1. カスタム・ロールを作成します。詳細は、カスタム・ロールの作成と管理を参照してください。
  2. 次のサブステップを完了して、OCIでのキー検出のためにカスタム・ロールに次の権限を割り当てます。
    1. GCPコンソールで、「キー管理」を選択し、「キーリング」タブを選択します。
    2. リストから、使用するキーを選択します。
    3. 「権限」タブで、「+主体の追加」を選択します。
    4. 「新規プリンシパル」フィールドに、アイデンティティ・コネクタのワークロード・リソース・サービス・エージェントを貼り付けます。
    5. 「ロールの割当て」セクションから、選択したロールを追加します。
      ノート

      次の権限を持つカスタム・ロールを作成し、キー・リングに割り当てる必要があります。

      表1-2必要な権限:

      ロール名 摘要
      cloudkms.cryptoKeyVersions.get 特定のキー・バージョンのメタデータの取得
      cloudkms.cryptoKeyVersions.manageRawAesCbcKeys AES-CBCの原材料の管理
      cloudkms.cryptoKeyVersions.create キー内に新しいキー・バージョンを作成します。
      cloudkms.cryptoKeyVersions.list キーのすべてのバージョンを一覧表示します
      cloudkms.cryptoKeyVersions.useToDecrypt キー・バージョンを使用したデータの復号化
      cloudkms.cryptoKeyVersions.useToEncrypt キー・バージョンを使用したデータの暗号化
      cloudkms.cryptoKeys.get キーのメタデータの取得
      cloudkms.cryptoKeys.list キー・リング内のすべてのキーをリストします
      cloudkms.keyRings.get キー・リングのメタデータの取得
      cloudkms.locations.get サポートされているキーの場所に関する情報を取得します
    6. 「保存」ボタンを選択して変更を適用します。
  3. 次のサブステップを完了して、ブラウザ・ロールをアイデンティティ・コネクタに割り当てます。
    1. GCPコンソールから、「IAMと管理」を選択し、「IAM」を選択します。
    2. 「IAM」ページで、「+アクセス権の付与」ボタンを選択します。
    3. 「プリンシパルの追加」ドロップダウン・リストから、アイデンティティ・コネクタのサービス・アカウントを選択します。
      ノート

      「アイデンティティ・コネクタの詳細」ページの「GCP情報」セクションで、「ワークロード・リソース・サービス・エージェント」を見つけて、そのIDを書き留めます。これは、アイデンティティ・コネクタに関連付けられたサービス・アカウントです。
    4. 「ロール」ドロップダウン・リストから「ブラウザ」を選択し、「保存」ボタンを選択します。
  4. 次のサブステップを完了して、次のロールをキー・リングに割り当てます。
    1. GCPコンソールから、「キー管理」を選択し、「キー・リング」タブを選択します。
    2. 使用しているキー・リングのチェック・ボックスを選択し、「+ ADD PRINCIPAL」ボタンを選択します。
    3. 「新規プリンシパル」フィールドに、アイデンティティ・コネクタのワークロード・リソース・サービス・エージェントを貼り付けます。
    4. 「ロール」ドロップダウン・リストから、次のロールを選択します。
      1. クラウドKMS暗号オペレータ
      2. クラウドKMSエキスパートRAW AES-CBCキー・マネージャ
      3. クラウドKMSビューア
    5. 「保存」ボタンを選択します。

Oracle Cloud Infrastructure (OCI)でのGCPキー・リングの登録

Exadata VMクラスタでGCP CMEKを有効にするには、まずOCIにキー・リングを登録する必要があります。
ノート

続行する前に、「GCPコンソールからのロールの作成および必要な権限の割当て」の項で説明されている必要な権限が付与されていることを確認します。
  1. OCIコンソールから、「Oracle Database」を選択し、「データベース・マルチクラウド統合」「Google Cloud統合」の順に選択します。
  2. 左側のメニューから、「GCPキー・リング」リンクを選択し、「GCPキー・リングの登録」ボタンをクリックします。
  3. 「GCPキー・リングの登録」ページで、「コンパートメント」を選択します。
  4. 「GCPキー・リング」セクションで、アイデンティティ・コネクタを選択し、「キー・リング名」フィールドにキー・リング名を入力します。
  5. 「検出」ボタンを選択すると、キー・リングのリストが表示されます。キー・リングを選択し、「登録」ボタンを選択します。
    ノート

    登録できるのはキー・リングのみです。個々のキーは登録できません。登録済キー・リングに関連付けられたすべてのサポートされているキーは、必要な権限が付与されると使用可能になります。

Google Cloudキー管理の有効化または無効化

Exadata VMクラスタをプロビジョニングする場合、GCP CMEKはデフォルトで無効になっています。GCP CMEKを有効にするには、次のステップを実行します。

  1. OCIナビゲーション・メニューから、「Oracle Database」を選択し、「Oracle Exadata Database Service on Dedicated Infrastructure」を選択します。
  2. 左側のメニューから、「Oracle Exadata Database Service on Dedicated Infrastructure」の下にある「Exadata VMクラスタ」を選択します。
  3. Exadata VMクラスタのリストから、使用しているクラスタを選択します。
  4. 「VMクラスタ情報」を選択し、「マルチクラウド情報」の下にある「GCP顧客管理暗号化キー」に移動します。
  5. 「有効化」ボタンを選択して有効にします。
    ノート

    GCP顧客管理暗号化キーを無効にする場合は、「無効化」ボタンを選択します。

既存のExadata VMクラスタにデータベースを作成し、キー管理として「GCP顧客管理暗号化キー」を選択します。

既存のExadata Cloud Infrastructureインスタンスにデータベースを作成するにはのドキュメントの説明に従って、「GCP顧客管理暗号化キー」「キー管理」として選択します。

Oracle WalletからGCP Customer Managed Encryption KeyへのKey Managementの変更

これらは、異なる暗号化方式間で暗号化鍵を変更する手順です。

  1. OCIコンソールで既存のExadata VMクラスタに移動します。「データベース」タブを選択します。次に、使用するデータベース・リソースを選択します。
  2. 「データベース情報」タブを選択し、「キー管理」セクションまでスクロール・ダウンします。
  3. 「暗号化」セクションで、「キー管理」「Oracle Wallet」に設定されていることを確認します。次に、「変更」リンクを選択します。
  4. 「キー管理の変更」ページで次の情報を入力します。
    • ドロップダウン・リストから、「キー管理」「GCP顧客管理暗号化キー」を選択します。
    • 使用しているキー・リング・コンパートメントを選択し、コンパートメントで使用可能なキー・リングを選択します。
    • 使用しているキー・コンパートメントを選択し、ドロップダウン・リストからキーを選択します。
    • 送信する「変更の保存」ボタンを選択します。

コンテナ・データベース(CDB)のGCP顧客管理暗号化キーのローテーション

  1. OCIナビゲーション・メニューから、「Oracle Database」を選択し、「Oracle Exadata Database Service on Dedicated Infrastructure」を選択します。
  2. OCIコンソールで既存のExadata VMクラスタに移動し、「データベース」タブを選択します。次に、コンテナ・データベースを選択し、「データベース情報」タブを選択します。
  3. 「暗号化」セクションで、「キー管理」「GCP顧客管理暗号化キー」に設定されていることを確認し、「キーのローテーション」リンクを選択します。
  4. 「ローテーション」ボタンを選択して、キーのローテーションを確認します。

プラガブル・データベース(PDB)のGCP顧客管理暗号化キーのローテーション

  1. OCIナビゲーション・メニューから、「Oracle Database」を選択し、「Oracle Exadata Database Service on Dedicated Infrastructure」を選択します。
  2. Exadata VMクラスタを選択し、左側のメニューから「データベース」リンクを選択します。
  3. 使用しているデータベースの「名前」フィールドを選択し、「リソース」セクションの下の「プラガブル・データベース」リンクを選択します。
  4. 使用するプラガブル・データベースの「名前」フィールドを選択します。
  5. 「暗号化」セクションには、「キー管理」「GCP顧客管理暗号化キー」として設定されていることが表示されます。「ローテーション」リンクを選択し、「ローテーション」ボタンを選択してキーのローテーションを確認します。