Oracle Break Glassの顧客管理キー

Oracle Break Glassと顧客管理キーを使用してFusion Applications環境を保護します。

デフォルトでは、Fusion Applications環境はOracle管理暗号化キーによって保護されます。Oracle Break Glassサービスをサブスクライブすることで、環境を保護する暗号化キーを提供および管理できる顧客管理キーの機能が提供されます。このオプションは、アドオンのサブスクリプションとして購入することもできます。

Fusion Applicationsでは、OCI Vaultサービスを利用して暗号化キーを作成および管理し、本番環境および非本番環境で保存されているデータを保護できます。環境の作成時にキーを設定することも、既存の環境にキーを追加することもできます。既存の環境で構成を追加すると、次回のスケジュール済メンテナンス・サイクル中に環境の暗号化が行われます。

ボールトとキーの設定および管理のベスト・プラクティス

本番環境と非本番環境に個別のボールトを作成することをお薦めします。非本番ボールト内で、テスト環境と開発環境に個別のキーを作成します。たとえば、次のように作成します:

環境 ボールト マスター暗号化キー
本番 my-production-vault my-production-key
テスト my-nonproduction-vault my-test-environment-key
開発 my-development-environment-key

本番用と非本番用に別々のボールトを使用する利点:

  • 個別のボールトを保持すると、本番環境と非本番環境でキーを個別にローテーションできます。
  • ボールト当たりのキー数には制限があります。ボールトを別にすると、本番環境と非本番環境に対して個別の件数が提供されます。
重要

テスト環境が顧客管理キーを使用する本番からテストへのリフレッシュでもキー・バージョンが消費されるため、P2Tを頻繁に行うと、ボールト内の残りのキー・バージョンの数が早く減ります。

キーの制限および使用状況を確認するには、特定のリージョンのリソース制限、割当て制限および使用状況がサービスごとに分類されている「制限、割当ておよび使用状況」ページを表示します:

  1. コンソールでナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「テナンシ管理」で、「制限、割当ておよび使用状況」をクリックします。
  2. 「サービス」リストから、「キー管理」を選択します。

    使用するように選択したキー・タイプに応じて、仮想ボールトのキー・バージョン数または仮想ボールトのソフトウェア・キー・バージョン数に対するキー制限を確認します。

顧客管理キーの設定

Fusion Applicationsでは、OCI Vaultサービスを利用して暗号化キーを作成および管理し、本番環境および非本番環境を保護できます。環境の作成時にキーを設定することも、既存の環境にキーを追加することもできます。既存の環境で構成を追加すると、次回のスケジュール済メンテナンス・サイクル中に環境の暗号化が行われます。

設定タスクおよびロールの概要

顧客管理キーの管理には、組織内の様々なロールで実行する必要があるタスクが含まれます。次に、それぞれによって実行されるロールおよびタスクの概要を示します:

ロール 設定タスク メンテナンス・タスク
テナンシ管理者
  • ボールトおよびキーのコンパートメントを作成します
  • セキュリティ管理者グループを作成し、管理ユーザーをグループに追加し、ボールトおよびキーを管理できるようにグループのポリシーを作成します。
  • Fusion Applicationsで顧客管理キーを使用できるようにするシステム・ポリシーを追加します
  • Fusion Applications管理者にボールトおよびキーの読取りを許可する権限を追加します
  • なし
セキュリティ管理者
  • 本番環境および非本番環境のボールトを作成します
  • 本番環境および非本番環境のキーを作成します
  • ボールトおよびキーの情報をFusion Applications管理者に提供して、環境に追加します
  • キーのローテーション
  • キー・ローテーションの検証
  • キーの無効化(必要な場合)
Fusion Applications管理者
  • 本番環境および非本番環境で顧客管理キーを有効にします
  • キー・ローテーションの検証

テナンシ管理者の設定タスク

テナンシ管理者は、セキュリティ管理者およびFusion Applications管理者のテナンシを設定して、顧客管理キーを有効化および管理するタスクを実行します。

1. セキュリティ管理者グループの作成

Fusion Applications環境のセキュリティ機能へのアクセスを制限するために、個別のセキュリティ管理者グループを作成することをお薦めします。

セキュリティ管理者グループのポリシーによって、グループはボールトおよびキーを管理できますが、削除は許可されません。ポリシーは次のとおりです:

allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')
 

セキュリティ管理者ロールに必要な特定の権限など、ロールを定義するグループおよびポリシーを作成する手順は、特定のジョブ・ファンクションを使用したOracle Cloudユーザーの管理を参照してください。

2. Fusion Applications管理者の権限の追加
Fusion Applications管理者は、ボールトおよびキーに対してread権限が必要です。read権限により、FA管理者は次のことを実行できます:
  • 構成時のボールトおよびキーの選択。
  • キー・ローテーションの検証。
  • トラブルシューティングのためのOCI Vaultサービスのボールトおよびキーの表示。

Fusion Applications管理者の権限を追加するには:

  1. Fusion Applications管理者ロールの作成については、特定のジョブ・ファンクションを使用したOracle Cloudユーザーの管理の手順を参照してください。
  2. 次のステートメントをFusion Applications環境管理者ロールに追加します(まだ存在しない場合):
    
    Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location>
    Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location>
    Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>

すべての<location>変数を、ボールトおよびキーが作成されたコンパートメントの名前に置き換えてください。

3. テナンシで顧客管理キーを有効にするためのシステム・ポリシーの追加
重要

このポリシーは、ボールトおよびキーを環境に追加する前に追加する必要があります。このポリシーが追加されていない場合、環境はプロビジョニングを完了しない(環境の作成中に追加された場合)か、またはメンテナンス・サイクルを完了しません(既存の環境に追加された場合)。

次のステートメントを使用してポリシーを作成します:

define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in compartment <location>
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in compartment <location>
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in compartment <location>
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in compartment <location>
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}

すべての<location>変数を、ボールトおよびキーが作成されたコンパートメントの名前に置き換えてください。

複数のコンパートメントにボールトおよびキーを作成する場合は、コンパートメントごとにポリシーを作成します。または、テナンシへのアクセスを許可するポリシーを作成して、すべてのコンパートメントへのアクセスを許可することもできます。

セキュリティ管理者の設定タスク

セキュリティ管理者は、ボールトおよびキーを設定し、情報をFusion Applications管理者に提供して、環境に追加します。

1. 環境用のボールトの作成

VaultドキュメントのVaultの作成の手順に従います。

本番環境キー用と非本番環境キー用の2つのボールトを作成することをお薦めします。

ボールトを作成したら、本番環境に作成したボールトをレプリケートします。レプリケートされたボールトは、ディザスタ・リカバリに使用されます。

  1. 本番Fusion Applications環境が配置されているリージョンのディザスタ・リカバリ・リージョンのペアリングを確認します。リージョンのペアリングのリストは、ディザスタ・リカバリのサポートを参照してください。
  2. リージョンのペアリングとしてリストされたリージョンをサブスクライブします。リージョンにサブスクライブするには、インフラストラクチャ・リージョンのサブスクライブを参照してください。
  3. ボールトおよびキーのレプリケートのステップに従って、本番環境に作成したボールトをレプリケートします。レプリケーションの宛先リージョンを選択する場合は、前のステップでサブスクライブしたディザスタ・リカバリ・リージョンを必ず選択してください。
2. キーの作成

Vaultドキュメントのマスター暗号化キーの作成の手順に従います。

Fusion Applicationsのキーを作成する場合は、次の選択を行う必要があります:

  • 「キー・シェイプ: アルゴリズム」で、「AES (暗号化および復号化に使用される対称キー)」を選択します(Fusion Applicationsの顧客管理キーの場合、このオプションを選択する必要があります)。
  • 「キー・シェイプ: 長さ」で、「256ビット」を選択します。

本番環境用の本番ボールトに1つのキーを作成し、非本番ボールト内の非本番環境ごとに1つのキーを作成することをお薦めします。

3. Fusion Applications管理者へのボールトおよびキー情報の提供

ボールトとキーを作成した後、ボールト・コンパートメント名、ボールト名とキー名(および異なる場合はキー・コンパートメント名)をFusion Applications管理者に提供します。

Fusion Applications管理者の設定タスク

Fusion Applications管理者は、顧客管理キーを環境に追加します。これは、環境の作成時または環境の作成後に実行できます。

前提条件:

環境作成時の顧客管理キーの追加

この手順には、顧客管理キーを有効にするステップのみが含まれます。環境を作成する完全な手順については、環境管理タスクを参照してください。

環境の作成ページで:

  1. 「拡張オプションの表示」をクリックします。
  2. 「暗号化」タブをクリックします。
  3. 「顧客管理キー(推奨)」を選択します。

    顧客管理キーの選択が強調表示された、環境の作成フロー

    このオプションが表示されない場合、サブスクリプションが環境ファミリに追加されていません。

  4. 「Vault」を選択します。ボールトが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」をクリックし、適切なコンパートメントを選択する必要があります。
  5. 「キー」を選択します。キーが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」をクリックし、適切なコンパートメントを選択する必要があります。AES-256-bitキーのみが表示されます。

環境を設定するためのすべてのステップを完了すると、プロビジョニング・プロセスが開始されます。顧客管理キーを追加すると、プロビジョニング・プロセスに時間がかかります。キーが有効になっている間、環境が使用不可であることを警告するメッセージが表示されます。

既存の環境への顧客管理キーの追加
重要

既存の環境で顧客管理キーを有効にした場合、暗号化はすぐに実行されません。新しいキーによる暗号化は、次回のスケジュール済メンテナンス・サイクル中に実行されます。キーを追加した後、スケジュールされた暗号化を変更するには、サポートに連絡する必要があります。メンテナンス・サイクルまで、環境はOracle管理キーによって引き続き暗号化されます。

既存の環境で顧客管理キーを有効にするには:

  1. 環境にナビゲートします: コンソールの「アプリケーション」タブで、「Fusionアプリケーション」をクリックします。「概要」ページで、環境の環境ファミリを検索し、環境名をクリックします。
  2. 「リソース」で、「セキュリティ」をクリックします。「暗号化」タブが表示されます。
  3. デフォルトでは、「タイプ」はOracle管理です。「暗号化キーの編集」をクリックして、ボールトおよびキーを追加します。

    編集オプションが表示されない場合は、適切なオプションを追加していないか、環境が更新中です。

  4. 「顧客管理キー」を選択します。


    顧客管理キーの選択が強調表示された、既存の環境への顧客管理キーの追加
  5. 「Vault」を選択します。ボールトが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」をクリックし、適切なコンパートメントを選択する必要があります。
  6. 「キー」を選択します。キーが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」をクリックし、適切なコンパートメントを選択する必要があります。AES-256-bitキーのみが表示されます。
  7. 「変更の保存」をクリックします。

暗号化の実行がスケジュールされると、ウィンドウの下部にメッセージが表示されます。暗号化は、次のメンテナンス・サイクルまたはパッチ更新で実行されます。メンテナンスが発生するまで、環境はOracle管理キーによって暗号化されたままになります。

キーのステータスおよび詳細の表示

キーのステータスおよび詳細を表示するには:

  1. 環境にナビゲートします: コンソールの「アプリケーション」タブで、「Fusionアプリケーション」をクリックします。「概要」ページで、環境の環境ファミリを検索し、環境名をクリックします。
  2. 「リソース」で、「セキュリティ」をクリックします。「暗号化」タブが表示されます。

キーが追加されているが、メンテナンス・サイクルがまだ実行されていない場合、「キー・ステータス」「スケジュール済」と表示されます。

Vaultおよびキーの名前をクリックして、これらのリソースに移動できます。

キーのローテーション

組織のセキュリティ・プラクティスに基づいてキーをローテーションします。CLIジョブを設定してキーを自動的にローテーションすることも、指定したセキュリティ管理者がVaultサービス・コンソールUIを使用して手動でローテーションすることもできます。キー・バージョンの詳細は、キーおよびシークレット管理の概念を参照してください。

キーをローテーションする前に、次の条件を満たしている必要があります:

  • 環境の「ライフサイクルの状態」「アクティブ」で、「ヘルス・ステータス」「使用可能」である必要があります。
  • ボールトで使用可能なキー・バージョンの制限を満たしていない必要があります。テスト環境が顧客管理キーを使用する本番からテストへのリフレッシュでもキー・バージョンが消費されるため、P2Tを頻繁に行うと、ボールト内の残りのキー・バージョンの数も減ります。

キー・ローテーション中に予想されること:

  • 停止時間がなく、環境の「ヘルス・ステータス」「使用可能」のままです。
  • 環境の詳細ページに、ローテーションが進行中であることを警告するバナー・メッセージが表示されます。
  • 「キー・ステータス」は、「ローテーション進行中」と表示されます。

キーをローテーションするには

VaultドキュメントのVaultキーのローテーションの手順に従います。

キー・ローテーションを検証するには

キーをローテーションした後、環境の詳細ページでローテーションを検証できます:

  1. 環境にナビゲートします: コンソールの「アプリケーション」タブで、「Fusionアプリケーション」をクリックします。「概要」ページで、環境の環境ファミリを検索し、環境名をクリックします。
  2. 「リソース」で、「セキュリティ」をクリックします。「暗号化」タブが表示されます。
  3. 「キー・バージョン」をクリックして、Vaultサービスのバージョンに対応していることを確認します。

キーの無効化および有効化

Fusion Applicationsを停止してFusionデータベースにアクセスする状況が発生した場合、セキュリティ管理者は、キーを無効にして、すべてのユーザーを即時に強制的にシステムから除外できます。

警告

キーを無効にすると、データが失われる可能性があります。キーが無効になっている場合、Fusion Applications as a Serviceでは、環境の使用中に障害が発生する可能性を最小限に抑えるために、環境を事前に停止しようとします。ただし、キーが無効になると、再度有効になるまで環境を再起動できません。キーが無効な状態のままだと、Fusion Applicationsクラウド・サービスは、以前に保存された顧客データにアクセスできません。
キーを無効にすると予想されること:
  • 環境の「ヘルス・ステータス」「使用不可」に更新されます。「ライフサイクルの状態」「無効」に更新されます。すべてのユーザーが強制的にアプリケーションから除外されます。
  • 環境の詳細ページに、暗号化が無効になったことを警告するバナー・メッセージが表示されます。
  • 「キー・ステータス」は、「無効」と表示されます。
ノート

キーの無効化を開始すると、環境のコンポーネント(データベース・サービス、中間層、ロード・バランサなど)を停止する一連のプロセスが実行され、完了までに最大1時間かかる場合があります。これらのプロセスが完了するまで、キーを再度有効にしないでください。

同様に、キーの有効化を開始すると、システムをバックアップする一連のプロセスの完了には最大1時間かかる場合があります。

キーの削除

セキュリティ管理者ロールに付与される権限には、キーおよびボールトの削除は含まれません。キーおよびボールトの削除は、非常に破壊的な操作であり、まれな状況ではテナンシ管理者のみが実行する必要があります。

テナンシ管理者がキーを削除すると、このキーで暗号化されているデータまたはOCIリソース(Fusion Applicationsデータベースを含む)はすべて、即座に使用不可または取得不可になります。

キーの削除をスケジュールする前に、キーをバックアップすることを強くお薦めします。後でもう一度キーを使用することになった場合、バックアップを使用してキーおよびボールトをリストアできます。

詳細は、「Vaultキーの削除」を参照してください。