Oracle Break Glassの顧客管理キー
Oracle Break Glassと顧客管理キーを使用してFusion Applications環境を保護します。
デフォルトでは、Fusion Applications環境はOracle管理暗号化キーによって保護されます。Oracle Break Glassサービスをサブスクライブすることで、環境を保護する暗号化キーを提供および管理できる顧客管理キーの機能が提供されています。このオプションは、アドオンのサブスクリプションとして購入することもできます。
顧客管理キーでは、OCIボールトに格納されたキーを使用して、本番環境および非本番環境で保存されているデータを保護します。環境の作成中または環境の作成後に、環境で顧客管理キー・オプションを有効にできます。
ボールトとキーの設定および管理のベスト・プラクティス
ベスト・プラクティスは、本番環境と非本番環境用に個別のボールトを作成することです。非本番ボールト内で、テスト環境と開発環境に個別のキーを作成します。たとえば、次のように作成します:
| 環境 | ボールト | マスター暗号化キー |
|---|---|---|
| 本番 | my-production-vault | my-production-key |
| テスト | my-nonproduction-vault | my-test-environment-key |
| 開発 | my-development-environment-key |
本番用と非本番用に別々のボールトを使用する利点:
- 個別のボールトを保持すると、本番環境と非本番環境でキーを個別にローテーションできます。
- ボールト当たりのキー数に制限があります。ボールトを別にすると、本番環境と非本番環境に対して個別の件数が提供されます。
テスト環境が顧客管理キーを使用する本番からテストへのリフレッシュでは、キー・バージョンも使用されます。したがって、頻繁にP2Tsを使用すると、ボールト内の残りのキー・バージョンの数をより迅速に減らすことができます。
キーの制限および使用状況を確認するには、特定のリージョンのリソース制限、割当て制限および使用状況がサービスごとに表示される「制限、割当ておよび使用状況」ページを参照します:
- ナビゲーション・メニューを開き、「ガバナンスと管理」を選択します。「テナンシ管理」で、「制限、割当ておよび使用状況」を選択します。
- 「サービス」の横にある「フィルタの編集」を選択します。
- 「サービス」リストで、「キー管理」、「更新」の順に選択します。
使用するように選択したキー・タイプに応じた、仮想ボールトのキー・バージョン・カウントまたは仮想ボールトのソフトウェア・キー・バージョン・カウントのキー制限を確認します。
顧客管理キーの設定
Fusion Applicationsでは、OCI Vaultサービスを利用して暗号化キーを作成および管理し、実稼働環境および非実稼働環境を保護します。環境の作成時にキーを設定することも、既存の環境にキーを追加することもできます。
設定タスクおよびロールの概要
顧客管理キーの管理には、組織内の様々なロールで実行する必要があるタスクが含まれます。それぞれによって実行されるロールおよびタスクの概要を次に示します:
| ロール | 設定タスク | メンテナンス・タスク |
|---|---|---|
| テナンシ管理者 |
|
|
| セキュリティ管理者 |
|
|
| Fusion Applications管理者 |
|
|
テナンシ管理者の設定タスク
テナンシ管理者は、セキュリティユーザーおよびFusion Applications管理者が顧客管理キーを有効化および管理できるように、テナンシを設定するタスクを実行します。
Fusion Applications環境のセキュリティ機能へのアクセスを制限するために、個別のセキュリティ管理者グループを作成することをお薦めします。
セキュリティ管理者グループのポリシーによって、グループはボールトおよびキーを管理できますが、削除は許可しません。ポリシーは次のとおりです:
allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')
セキュリティ管理者役割に必要な特定の権限など、ロールを定義するグループおよびポリシーを作成する手順は、特定のジョブ・ファンクションを使用したOracle Cloudユーザーの管理を参照してください。
read権限が必要です。read権限により、FA管理者は次のことを実行できます:- 構成時のボールトおよびキーを選択します。
- キー・ローテーションの検証。
- トラブルシューティングのためのOCI Vaultサービスのボールトおよびキーの表示。
Fusion Applications管理者の権限を追加するには:
- Fusion Applications管理者ロールの作成の詳細は、特定のジョブ・ファンクションを使用したOracle Cloudユーザーの管理を参照してください。
- 次のステートメントをFusion Applications環境管理者ロールに追加します(まだ存在しない場合):
Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>
すべての<location>変数を、ボールトおよびキーが作成されたコンパートメントの名前に置き換えてください。
ボールトおよびキーを環境に追加する前に、顧客管理キーを有効にするポリシーを追加する必要があります。このポリシーが追加されていない場合:
- 環境のプロビジョニングが完了していません。
- 既存の環境のメンテナンスが完了していません。
- 顧客管理キーの有効化が完了していません。
このポリシーは、商用クラウド(OC1レルム)のテナンシのみを対象としています。Fusion Applications環境が他のレルム(Oracle US Government CloudやUnited Kingdom Government Cloudなど)にある場合、正しいポリシーを取得するには、サポート・リクエストを開く必要があります。
次のステートメントを使用して、OC1レルムにポリシーを作成します:
define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}ベスト・プラクティスとして、これらの正確な文を使用して、前述のポリシーをOC1レルムにコピーすることをお薦めします。その前に、組織のセキュリティ・チームとこれらのステートメントを確認して、内部セキュリティ要件およびベスト・プラクティスに整合していることを確認してください。
セキュリティ管理者の設定タスク
セキュリティ管理者は、ボールトおよびキーを設定し、情報をFusion Applications管理者に提供して、環境に追加します。
VaultドキュメントのVaultの作成の手順に従います。外部ボールトを作成するには、外部キー管理サービスを参照してください。
基本ボールト・タイプは、Break Glassサービス・サブスクリプションに含まれています。ボールトを作成するときに、「仮想プライベート・ボールトにする」オプションを選択するか、「外部」ボールトの作成を選択した場合、追加料金が発生します。ボールト・タイプの詳細は、キーおよびシークレット管理の概念を参照してください。
2つのボールト(本番環境キー用と非本番環境キー用)を作成することをお薦めします。
ボールトを作成した後、本番環境に作成したボールトをレプリケートします。レプリケートされたボールトは、障害時リカバリに使用されます。
- 本番Fusion Applications環境があるリージョンのディザスタ・リカバリ・リージョンのペアリングを確認します。リージョンのペアリングのリストは、ディザスタ・リカバリのサポートを参照してください。
- リージョンのペアリングとしてリストされたリージョンをサブスクライブします。リージョンをサブスクライブするには、インフラストラクチャ・リージョンへのサブスクライブを参照してください。
- ボールトおよびキーのレプリケートのステップに従って、本番環境に作成したボールトをレプリケートします。レプリケーションの宛先リージョンを選択する場合は、前のステップでサブスクライブしているディザスタ・リカバリ・リージョンを選択してください。
Vaultドキュメントのマスター暗号化キーの作成の手順に従うか、独自のキーをインポートするには、キーおよびキー・バージョンのインポートの手順に従います。
HSM (ハードウェア・セキュリティ・モジュール)のキー保護モードでは、暗号化キーはFIPS 140-2レベル3認定のハードウェア・セキュリティ・モジュール内に格納および保護されます。
Fusion Applicationsのキーを作成する場合は、次の選択を行う必要があります:
- 「キー・シェイプ: アルゴリズム」で、「AES (暗号化および復号化に使用される対称キー)」を選択します。(Fusion Applicationsの顧客管理キーの場合、このオプションを選択する必要があります。)
- 「キー・シェイプ: 長さ」で、「256ビット」を選択します。
本番環境用の本番ボールトのキーを1つ、非本番ボールトの非本番環境ごとにキーを1つ作成することをお薦めします。
ボールトとキーを作成した後、ボールト・コンパートメント名、ボールト名およびキー名(および異なる場合はキー・コンパートメント名)をFusion Applications管理者に提供します。
新規および既存の環境への顧客管理キーの追加
Fusion Applications管理者は、顧客管理キーを環境に追加します。これは、環境の作成時または環境の作成後に実行できます。既存の環境の場合、Oracleでは、更新をスケジュールするための時間枠を選択できます。新しい環境では、環境のプロビジョニング時にキーが追加され、スケジューリングは必要ありません。
顧客管理キーを有効にした後、管理者は環境のキーを変更することもできます。キーの変更およびローテーションを参照してください。
24時間以内に顧客管理キーを2回以上追加または変更しないでください。
前提条件:
- サブスクリプションが環境ファミリに追加されている。サブスクリプションが追加されていない場合は、顧客管理キーを選択するオプションが表示されません。
- セキュリティ管理者がボールトおよびキーを作成している ノート
基本ボールト・タイプは、Break Glassサービス・サブスクリプションに含まれています。ボールトを作成するときに、「仮想プライベート・ボールトにする」オプションを選択するか、外部ボールトの作成を選択した場合、追加料金が発生します。ボールト・タイプの詳細は、キーおよびシークレット管理の概念を参照してください。 - テナンシ管理者が、テナンシで顧客管理キーを有効にするためのシステム・ポリシーを設定している。
- テナンシ管理者が、ボールトおよびキーを読み取り、Fusion Applications環境に関連付けするためのFusion Applications管理者のポリシーを作成している。
この手順には、顧客管理キーを有効にするステップのみが含まれます。環境を作成する完全な手順については、環境管理タスクを参照してください。
環境の作成ページで:
- 「拡張オプション」で、「暗号化」セクションを展開します。
- 「顧客管理キー(推奨)」を選択します。
このオプションが表示されない場合、サブスクリプションが環境ファミリに追加されていません。
- ポリシーが作成されたことを確認します。
- ボールトを選択します。
ボールトが環境の作成先と同じコンパートメントにない場合は、適切なコンパートメントを選択します。
- キーを選択します。
キーが環境を作成しているコンパートメントと同じコンパートメントにない場合は、適切なコンパートメントを選択します。AES-256-bitキーのみが表示されます。
環境を設定するためのすべてのステップを完了すると、プロビジョニング・プロセスが開始されます。顧客管理キーを追加すると、プロビジョニング・プロセスに時間がかかります。キーが有効になっている間、環境が使用不可であることを警告するメッセージが表示されます。
- 既存の環境で顧客管理キーを有効にした場合、暗号化はすぐに実行されない。かわりに、Oracleでは、更新をスケジュールするための時間ウィンドウを選択できます。これらのオプションは、更新をリクエストするために「暗号化の編集」ダイアログを開くと、OCIコンソールに表示されます。詳細は、このトピックの既存の環境で顧客管理キーを有効にするにはを参照してください。
-
この更新は、更新が「スケジュール済」状態であるかぎり、Oracle Supportに連絡せずにOCIコンソールで再スケジュールまたは取り消すことができます。更新が進行中または完了している場合、更新を取り消したり、元に戻すことはできません。
- 更新に選択した時間が、リフレッシュ操作などの他の重要な環境アクティビティと競合しないことを確認します。リフレッシュ操作の場合、これは、リフレッシュの実行中に顧客管理キーのソース環境もターゲット環境も更新できないことを意味します。
- 顧客管理キーを有効にするために更新が行われるまで、環境はOracle管理キーによって引き続き暗号化されます。
既存の環境で顧客管理キーを有効にするには:
「環境」リスト・ページで、作業する環境を選択します。リスト・ページの検索に関するヘルプが必要な場合は、環境をリストするにはを参照してください。
- 環境の詳細ページで、「セキュリティ」を選択します。
- 「暗号化」では、「タイプ」はデフォルトでOracle管理です。「暗号化の編集」を選択して、ボールトおよびキーを追加します。
編集オプションが表示されない場合は、適切なオプションを追加していないか、環境が更新中です。
- 「顧客管理キー(推奨)」を選択します。
- ポリシーが作成されたことを確認します。
- ボールトを選択します。
ボールトが環境の作成先と同じコンパートメントにない場合は、適切なコンパートメントを選択します。
ディザスタ・リカバリ(DR)を使用している場合は、レプリケーションをサポートするボールトを選択する必要があります。すべてのプライベート・ボールトでレプリケーションがサポートされています。仮想ボールトの場合、仮想ボールトでレプリケーションがサポートされているかどうかを判断する方法は、ボールトおよびキーのレプリケートを参照してください。
- キーを選択します。
キーが環境を作成しているコンパートメントと同じコンパートメントにない場合は、適切なコンパートメントを選択します。AES-256-bitキーのみが表示されます。
- 「暗号化更新スケジュール」で、暗号化管理の更新を開始する時間ウィンドウを選択します。最大3つの日付が表示されます。
- 「送信」を選択して、環境内の顧客管理キーを有効にする更新をリクエストします。
暗号化がスケジュールされると、ウィンドウの下部にメッセージが表示されます。暗号化は、指定した時間ウィンドウ中に実行されます。更新が発生するまで、環境はOracle管理キーによって暗号化されたままになります。
顧客管理キーを使用可能にするための更新の再スケジュールまたは取消
更新のステータスが「スケジュール済」であるかぎり、更新を再スケジュールまたは取り消して顧客管理キーに切り替えることができます。更新が進行中または完了している場合、更新を取り消したり、元に戻すことはできません。
このトピックの手順を使用して、OCIコンソールで更新を取り消したり、再スケジュールできます。
これらの手順を使用するには、更新のステータスが「スケジュール済」である必要があります。
「環境」リスト・ページで、作業する環境を選択します。リスト・ページの検索に関するヘルプが必要な場合は、環境をリストするにはを参照してください。
- 環境の詳細ページで、「セキュリティ」を選択します。
- 「暗号化」で、「顧客管理」行を見つけます。を選択し、「再スケジュール」または「取消」を選択します。
- 再スケジュールのみ:顧客管理キーの更新を再スケジュールする場合は、新しい日付を選択し、「送信」を選択します。 ノート
更新に選択した時間が、リフレッシュ操作などの他の重要な環境アクティビティと競合しないことを確認します。リフレッシュ操作の場合、これは、リフレッシュの実行中に顧客管理キーのソース環境もターゲット環境も更新できないことを意味します。取消のみ:更新を取り消す場合は、環境名を入力して更新を取り消すことを確認し、「スケジュール済キーの取消」を選択します。
キーのステータスおよび詳細の表示
キーのステータスおよび詳細を表示するには:
「環境」リスト・ページで、作業する環境を選択します。リスト・ページの検索に関するヘルプが必要な場合は、環境をリストするにはを参照してください。
- 環境の詳細ページで、「セキュリティ」を選択します。
詳細は、「暗号化」で、「Vault」および「キー」の名前を選択して、これらのリソースに移動します。
顧客管理キーの操作
顧客管理キーをFusion Applications環境に追加した後、次のことができます。
24時間以内に顧客管理キーを追加または変更したり、キーを2回以上ローテーションしたりしないでください。
キーの変更とローテーション
必要に応じて、マスター暗号化キーを変更し、キー・バージョンをローテーションできます。
15分ごとにキーを複数回ローテーションしないでください。そうしないと、キーのローテーションの完了に時間がかかります。
「環境」リスト・ページで、作業する環境を選択します。リスト・ページの検索に関するヘルプが必要な場合は、環境をリストするにはを参照してください。
- 環境の詳細ページで、「セキュリティ」を選択します。
- 「暗号化」で、「暗号化キーの変更」を選択します。
- 「暗号化キーの変更」パネルで、「Vault」を選択します。
ディザスタ・リカバリ(DR)を使用している場合は、レプリケーションをサポートするボールトを選択する必要があります。すべてのプライベート・ボールトでレプリケーションがサポートされています。仮想ボールトの場合、仮想ボールトがレプリケーションをサポートしているかどうかを確認する方法の詳細は、ボールトおよびキーのレプリケートを参照してください。
選択したボールトが別のコンパートメントにある場合は、ボールト・アクセス用のIAMポリシーの作成が必要になる場合があります。See 3. Add the System Policy to Enable Customer-Managed Keys in Your Tenancy for details.
- マスター暗号化キーを選択します
- 「送信」を選択し、キーの変更を確認します。
キーをローテーションするには
組織のセキュリティ・プラクティスに基づいてキーをローテーションします。CLIジョブを設定してキーを自動的にローテーションすることも、指定したセキュリティ管理者がVaultサービス・コンソールUIを使用して手動でローテーションすることもできます。キー・バージョンの詳細は、キーおよびシークレット管理の概念を参照してください。
キーをローテーションする前に、次の条件を満たしている必要があります:
- 環境の「ライフサイクルの状態」が「アクティブ」で、「ヘルス・ステータス」が「使用可能」である必要があります。
- ボールトで使用可能なキー・バージョンの制限を満たしていない必要があります。テスト環境が顧客管理キーを使用する本番からテストにキー・バージョンも消費するため、P2Tsを頻繁に行うと、「ボールト」内の残りのキー・バージョンの数も少なくなります。
キー・ローテーション中に予想されること:
- 停止時間がなく、環境の「ヘルス・ステータス」は「使用可能」のままです。
- 環境の詳細ページのバナー・メッセージにより、ローテーションが進行中であることが通知されます。
- 「キー・ステータス」は、「ローテーション進行中」と表示されます。
VaultドキュメントのVaultキーのローテーションの手順に従います。
キー・ローテーションを検証するには
キーをローテーションした後、環境の詳細ページでローテーションを検証できます:
「環境」リスト・ページで、作業する環境を選択します。リスト・ページの検索に関するヘルプが必要な場合は、環境をリストするにはを参照してください。
- 環境の詳細ページで、「セキュリティ」を選択します。
- 「暗号化」で、キー・バージョンを選択して、Vaultサービスのバージョンに対応していることを確認します。
キーの無効化および有効化
Fusion Applicationsを停止してFusionデータベースにアクセスする状況が発生した場合、セキュリティ管理者は、キーを無効にして、すべてのユーザーを即時に強制的にシステムから除外できます。
キーを無効にすると、データが失われる場合があります。キーが無効になっている場合、Fusion Applicationsクラウド・サービスでは、環境が使用中に障害が発生する可能性を最小限に抑えるために、環境を事前に停止しようとします。ただし、キーが無効になると、再度有効になるまで環境を再起動することはできません。キーが無効な状態のままだが、Fusion Applicationsクラウド・サービスは、以前に保存された顧客データにアクセスすることはできません。
- 環境の「ヘルス・ステータス」が「使用不可」に更新されます。「ライフサイクルの状態」が「無効」に更新されます。すべてのユーザーが強制的にアプリケーションから除外されます。
- 環境の詳細ページのバナー・メッセージにより、暗号化が無効化されたことが通知されます。
- 「キー・ステータス」は、「無効」と表示されます。
キーの無効化を開始すると、環境のコンポーネント(データベース・サービス、中間層、ロード・バランサなど)を停止する一連のプロセスが実行されて、完了までに最大1時間かかる場合があります。これらのプロセスが完了するまで、キーを再度有効にしないでください。
同様に、キーの有効化を開始すると、システムをバックアップする一連のプロセスの完了には最大1時間かかる場合があります。
キーを無効にするには
VaultドキュメントのVaultキーの無効化の手順に従います。
キーを有効にするには
VaultドキュメントのVaultキーの有効化の手順に従います。
キーの削除
セキュリティ管理者ロールに付与される権限には、キーおよびボールトに対するdeleteは含まれていません。キーおよびボールトの削除は、非常に破壊的な操作であり、まれな状況ではテナンシ管理者のみが実行する必要があります。
テナンシ管理者がキーを削除すると、このキーによって暗号化されるデータまたはOCIリソース(Fusion Applicationsデータベースを含む)はすべて、即座に使用不可または取得不可になります
キーの削除をスケジュールする前に、キーをバックアップすることを強くお薦めします。後でもう一度キーを使用することになった場合、バックアップを使用してキーおよびボールトをリストアできます。
詳細は、「Vaultキーの削除」を参照してください。