Oracle Break Glassの顧客管理キー
Oracle Break Glassと顧客管理キーを使用してFusion Applications環境を保護します。
デフォルトでは、Fusion Applications環境はOracle管理暗号化キーによって保護されます。Oracle Break Glassサービスをサブスクライブすることで、環境を保護する暗号化キーを提供および管理できる顧客管理キーの機能が提供されます。このオプションは、アドオンのサブスクリプションとして購入することもできます。
Fusion Applicationsでは、OCI Vaultサービスを利用して暗号化キーを作成および管理し、本番環境および非本番環境で保存されているデータを保護できます。環境の作成時にキーを設定することも、既存の環境にキーを追加することもできます。既存の環境で構成を追加すると、次回のスケジュール済メンテナンス・サイクル中に環境の暗号化が行われます。
ボールトとキーの設定および管理のベスト・プラクティス
本番環境と非本番環境に個別のボールトを作成することをお薦めします。非本番ボールト内で、テスト環境と開発環境に個別のキーを作成します。たとえば、次のように作成します:
環境 | ボールト | マスター暗号化キー |
---|---|---|
本番 | my-production-vault | my-production-key |
テスト | my-nonproduction-vault | my-test-environment-key |
開発 | my-development-environment-key |
本番用と非本番用に別々のボールトを使用する利点:
- 個別のボールトを保持すると、本番環境と非本番環境でキーを個別にローテーションできます。
- ボールト当たりのキー数には制限があります。ボールトを別にすると、本番環境と非本番環境に対して個別の件数が提供されます。
テスト環境が顧客管理キーを使用する本番からテストへのリフレッシュでもキー・バージョンが消費されるため、P2Tを頻繁に行うと、ボールト内の残りのキー・バージョンの数が早く減ります。
キーの制限および使用状況を確認するには、特定のリージョンのリソース制限、割当て制限および使用状況がサービスごとに分類されている「制限、割当ておよび使用状況」ページを表示します:
- コンソールでナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「テナンシ管理」で、「制限、割当ておよび使用状況」をクリックします。
- 「サービス」リストから、「キー管理」を選択します。
使用するように選択したキー・タイプに応じて、仮想ボールトのキー・バージョン数または仮想ボールトのソフトウェア・キー・バージョン数に対するキー制限を確認します。
顧客管理キーの設定
Fusion Applicationsでは、OCI Vaultサービスを利用して暗号化キーを作成および管理し、本番環境および非本番環境を保護できます。環境の作成時にキーを設定することも、既存の環境にキーを追加することもできます。既存の環境で構成を追加すると、次回のスケジュール済メンテナンス・サイクル中に環境の暗号化が行われます。
設定タスクおよびロールの概要
顧客管理キーの管理には、組織内の様々なロールで実行する必要があるタスクが含まれます。次に、それぞれによって実行されるロールおよびタスクの概要を示します:
ロール | 設定タスク | メンテナンス・タスク |
---|---|---|
テナンシ管理者 |
|
|
セキュリティ管理者 |
|
|
Fusion Applications管理者 |
|
|
テナンシ管理者の設定タスク
テナンシ管理者は、セキュリティ管理者およびFusion Applications管理者のテナンシを設定して、顧客管理キーを有効化および管理するタスクを実行します。
Fusion Applications環境のセキュリティ機能へのアクセスを制限するために、個別のセキュリティ管理者グループを作成することをお薦めします。
セキュリティ管理者グループのポリシーによって、グループはボールトおよびキーを管理できますが、削除は許可されません。ポリシーは次のとおりです:
allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')
セキュリティ管理者ロールに必要な特定の権限など、ロールを定義するグループおよびポリシーを作成する手順は、特定のジョブ・ファンクションを使用したOracle Cloudユーザーの管理を参照してください。
read
権限が必要です。read
権限により、FA管理者は次のことを実行できます:- 構成時のボールトおよびキーの選択。
- キー・ローテーションの検証。
- トラブルシューティングのためのOCI Vaultサービスのボールトおよびキーの表示。
Fusion Applications管理者の権限を追加するには:
- Fusion Applications管理者ロールの作成については、特定のジョブ・ファンクションを使用したOracle Cloudユーザーの管理の手順を参照してください。
- 次のステートメントをFusion Applications環境管理者ロールに追加します(まだ存在しない場合):
Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>
すべての<location>変数を、ボールトおよびキーが作成されたコンパートメントの名前に置き換えてください。
このポリシーは、ボールトおよびキーを環境に追加する前に追加する必要があります。このポリシーが追加されていない場合、環境はプロビジョニングを完了しない(環境の作成中に追加された場合)か、またはメンテナンス・サイクルを完了しません(既存の環境に追加された場合)。
次のステートメントを使用してポリシーを作成します:
define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in compartment <location>
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in compartment <location>
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in compartment <location>
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in compartment <location>
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}
すべての<location>変数を、ボールトおよびキーが作成されたコンパートメントの名前に置き換えてください。
複数のコンパートメントにボールトおよびキーを作成する場合は、コンパートメントごとにポリシーを作成します。または、テナンシへのアクセスを許可するポリシーを作成して、すべてのコンパートメントへのアクセスを許可することもできます。
セキュリティ管理者の設定タスク
セキュリティ管理者は、ボールトおよびキーを設定し、情報をFusion Applications管理者に提供して、環境に追加します。
VaultドキュメントのVaultの作成の手順に従います。
本番環境キー用と非本番環境キー用の2つのボールトを作成することをお薦めします。
ボールトを作成したら、本番環境に作成したボールトをレプリケートします。レプリケートされたボールトは、ディザスタ・リカバリに使用されます。
- 本番Fusion Applications環境が配置されているリージョンのディザスタ・リカバリ・リージョンのペアリングを確認します。リージョンのペアリングのリストは、ディザスタ・リカバリのサポートを参照してください。
- リージョンのペアリングとしてリストされたリージョンをサブスクライブします。リージョンにサブスクライブするには、インフラストラクチャ・リージョンのサブスクライブを参照してください。
- ボールトおよびキーのレプリケートのステップに従って、本番環境に作成したボールトをレプリケートします。レプリケーションの宛先リージョンを選択する場合は、前のステップでサブスクライブしたディザスタ・リカバリ・リージョンを必ず選択してください。
Vaultドキュメントのマスター暗号化キーの作成の手順に従います。
Fusion Applicationsのキーを作成する場合は、次の選択を行う必要があります:
- 「キー・シェイプ: アルゴリズム」で、「AES (暗号化および復号化に使用される対称キー)」を選択します(Fusion Applicationsの顧客管理キーの場合、このオプションを選択する必要があります)。
- 「キー・シェイプ: 長さ」で、「256ビット」を選択します。
本番環境用の本番ボールトに1つのキーを作成し、非本番ボールト内の非本番環境ごとに1つのキーを作成することをお薦めします。
ボールトとキーを作成した後、ボールト・コンパートメント名、ボールト名とキー名(および異なる場合はキー・コンパートメント名)をFusion Applications管理者に提供します。
Fusion Applications管理者の設定タスク
Fusion Applications管理者は、顧客管理キーを環境に追加します。これは、環境の作成時または環境の作成後に実行できます。
前提条件:
- サブスクリプションが環境ファミリに追加されている。サブスクリプションが追加されていない場合、顧客管理キーを選択するオプションは表示されません。
- セキュリティ管理者がボールトおよびキーを作成している。
- テナンシ管理者が、テナンシで顧客管理キーを有効にするためのシステム・ポリシーを設定している。
- テナンシ管理者が、ボールトおよびキーを読み取り、Fusion Applications環境に関連付けするためのFusion Applications管理者のポリシーを作成している。
この手順には、顧客管理キーを有効にするステップのみが含まれます。環境を作成する完全な手順については、環境管理タスクを参照してください。
環境の作成ページで:
- 「拡張オプションの表示」をクリックします。
- 「暗号化」タブをクリックします。
-
「顧客管理キー(推奨)」を選択します。
このオプションが表示されない場合、サブスクリプションが環境ファミリに追加されていません。
- 「Vault」を選択します。ボールトが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」をクリックし、適切なコンパートメントを選択する必要があります。
- 「キー」を選択します。キーが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」をクリックし、適切なコンパートメントを選択する必要があります。AES-256-bitキーのみが表示されます。
環境を設定するためのすべてのステップを完了すると、プロビジョニング・プロセスが開始されます。顧客管理キーを追加すると、プロビジョニング・プロセスに時間がかかります。キーが有効になっている間、環境が使用不可であることを警告するメッセージが表示されます。
既存の環境で顧客管理キーを有効にした場合、暗号化はすぐに実行されません。新しいキーによる暗号化は、次回のスケジュール済メンテナンス・サイクル中に実行されます。キーを追加した後、スケジュールされた暗号化を変更するには、サポートに連絡する必要があります。メンテナンス・サイクルまで、環境はOracle管理キーによって引き続き暗号化されます。
既存の環境で顧客管理キーを有効にするには:
- 環境にナビゲートします: コンソールの「アプリケーション」タブで、「Fusionアプリケーション」をクリックします。「概要」ページで、環境の環境ファミリを検索し、環境名をクリックします。
- 「リソース」で、「セキュリティ」をクリックします。「暗号化」タブが表示されます。
- デフォルトでは、「タイプ」はOracle管理です。「暗号化キーの編集」をクリックして、ボールトおよびキーを追加します。
編集オプションが表示されない場合は、適切なオプションを追加していないか、環境が更新中です。
-
「顧客管理キー」を選択します。
- 「Vault」を選択します。ボールトが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」をクリックし、適切なコンパートメントを選択する必要があります。
- 「キー」を選択します。キーが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」をクリックし、適切なコンパートメントを選択する必要があります。AES-256-bitキーのみが表示されます。
- 「変更の保存」をクリックします。
暗号化の実行がスケジュールされると、ウィンドウの下部にメッセージが表示されます。暗号化は、次のメンテナンス・サイクルまたはパッチ更新で実行されます。メンテナンスが発生するまで、環境はOracle管理キーによって暗号化されたままになります。
キーのステータスおよび詳細の表示
キーのステータスおよび詳細を表示するには:
- 環境にナビゲートします: コンソールの「アプリケーション」タブで、「Fusionアプリケーション」をクリックします。「概要」ページで、環境の環境ファミリを検索し、環境名をクリックします。
- 「リソース」で、「セキュリティ」をクリックします。「暗号化」タブが表示されます。
キーが追加されているが、メンテナンス・サイクルがまだ実行されていない場合、「キー・ステータス」は「スケジュール済」と表示されます。
Vaultおよびキーの名前をクリックして、これらのリソースに移動できます。
キーのローテーション
組織のセキュリティ・プラクティスに基づいてキーをローテーションします。CLIジョブを設定してキーを自動的にローテーションすることも、指定したセキュリティ管理者がVaultサービス・コンソールUIを使用して手動でローテーションすることもできます。キー・バージョンの詳細は、キーおよびシークレット管理の概念を参照してください。
キーをローテーションする前に、次の条件を満たしている必要があります:
- 環境の「ライフサイクルの状態」が「アクティブ」で、「ヘルス・ステータス」が「使用可能」である必要があります。
- ボールトで使用可能なキー・バージョンの制限を満たしていない必要があります。テスト環境が顧客管理キーを使用する本番からテストへのリフレッシュでもキー・バージョンが消費されるため、P2Tを頻繁に行うと、ボールト内の残りのキー・バージョンの数も減ります。
キー・ローテーション中に予想されること:
- 停止時間がなく、環境の「ヘルス・ステータス」は「使用可能」のままです。
- 環境の詳細ページに、ローテーションが進行中であることを警告するバナー・メッセージが表示されます。
- 「キー・ステータス」は、「ローテーション進行中」と表示されます。
キーをローテーションするには
VaultドキュメントのVaultキーのローテーションの手順に従います。
キー・ローテーションを検証するには
キーをローテーションした後、環境の詳細ページでローテーションを検証できます:
- 環境にナビゲートします: コンソールの「アプリケーション」タブで、「Fusionアプリケーション」をクリックします。「概要」ページで、環境の環境ファミリを検索し、環境名をクリックします。
- 「リソース」で、「セキュリティ」をクリックします。「暗号化」タブが表示されます。
- 「キー・バージョン」をクリックして、Vaultサービスのバージョンに対応していることを確認します。
キーの無効化および有効化
Fusion Applicationsを停止してFusionデータベースにアクセスする状況が発生した場合、セキュリティ管理者は、キーを無効にして、すべてのユーザーを即時に強制的にシステムから除外できます。
キーを無効にすると、データが失われる可能性があります。キーが無効になっている場合、Fusion Applications as a Serviceでは、環境の使用中に障害が発生する可能性を最小限に抑えるために、環境を事前に停止しようとします。ただし、キーが無効になると、再度有効になるまで環境を再起動できません。キーが無効な状態のままだと、Fusion Applicationsクラウド・サービスは、以前に保存された顧客データにアクセスできません。
- 環境の「ヘルス・ステータス」が「使用不可」に更新されます。「ライフサイクルの状態」が「無効」に更新されます。すべてのユーザーが強制的にアプリケーションから除外されます。
- 環境の詳細ページに、暗号化が無効になったことを警告するバナー・メッセージが表示されます。
- 「キー・ステータス」は、「無効」と表示されます。
キーの無効化を開始すると、環境のコンポーネント(データベース・サービス、中間層、ロード・バランサなど)を停止する一連のプロセスが実行され、完了までに最大1時間かかる場合があります。これらのプロセスが完了するまで、キーを再度有効にしないでください。
同様に、キーの有効化を開始すると、システムをバックアップする一連のプロセスの完了には最大1時間かかる場合があります。
キーを無効にするには
VaultドキュメントのVaultキーの無効化の手順に従います。
キーを有効にするには
VaultドキュメントのVaultキーの有効化の手順に従います。
キーの削除
セキュリティ管理者ロールに付与される権限には、キーおよびボールトの削除は含まれません。キーおよびボールトの削除は、非常に破壊的な操作であり、まれな状況ではテナンシ管理者のみが実行する必要があります。
テナンシ管理者がキーを削除すると、このキーで暗号化されているデータまたはOCIリソース(Fusion Applicationsデータベースを含む)はすべて、即座に使用不可または取得不可になります。
キーの削除をスケジュールする前に、キーをバックアップすることを強くお薦めします。後でもう一度キーを使用することになった場合、バックアップを使用してキーおよびボールトをリストアできます。
詳細は、「Vaultキーの削除」を参照してください。