AWS Key Management Serviceでのマスター暗号化キーの管理
Autonomous AI Databaseは、AWS Key Management Service (KMS)に存在する顧客管理Transparent Data Encryption (TDE)キーをサポートしています。
AWS Key Management Serviceで顧客管理暗号化キーを使用するための前提条件
自律型AIデータベース上のAmazon Web Services (AWS) Key Management Service (KMS)に存在する顧客管理マスター暗号化キーを使用するための前提条件ステップについて説明します。
制限事項:
-
AWS KMSは商用リージョンでのみサポートされています。
-
AWS KMSは、クロスリージョンAutonomous Data Guardスタンバイではサポートされていません。
これらのステップに従います。
-
AWS KMSへの読み取りアクセス権を付与するAWSポリシーを作成します。
手順については、AWS KMSにアクセスするためのIAMポリシーの作成を参照してください。詳細は、Amazonリソース名(ARN)を使用するためのAWS管理の前提条件の実行を参照してください。
たとえば、
ADBS_AWS_Policy1ポリシーが作成されているとします。
ADBS_AWS_Policy1ポリシーには、KMSにアクセスする権限が含まれます。
-
AWSロールを作成し、そのロールにポリシーをアタッチします。
手順については、AWSサービスにアクセスするためのIAMロールの作成を参照してください。
たとえば、
ADBS_AWS_Role1ロールが作成されているとします。
この例では、
ADBS_AWS_Policy1ポリシーがADBS_AWS_Role1ロールにアタッチされています。
ポリシーの詳細ページのこの例では、ロールが「権限ポリシーとしてアタッチ」の下にリストされています:
-
ロールの信頼関係を指定します。
AWSロールの信頼関係を編集して、OracleのユーザーARNおよび外部ID (テナンシOCID)を含めてセキュリティを強化します。
-
Autonomous AI Databaseで、
CLOUD_INTEGRATIONSを問い合せます。たとえば:
SELECT * FROM CLOUD.INTEGRATIONS;SELECT * FROM CLOUD_INTEGRATIONS; PARAM_NAME PARAM_VALUE --------------- ------------------------------------------------------------------------------------------------------------------------------------------ aws_arn arn:aws:iam:...:user/oraclearnビュー
CLOUD_INTEGRATIONSは、ADMINユーザーまたはDWROLEロールを持つユーザーが使用可能です。 -
aws_user_arnのPARAM_VALUEをコピーし、後続のステップの値を保存します。 -
外部IDに必要なテナンシOCIDを取得します。
OCIコンソールで、「プロファイル」をクリックし、「テナンシ」を選択してテナンシの詳細ページに移動します。テナンシのOCIDをコピーし、後続のステップ用に保存します。
たとえば:
-
AWSポータルで、ロールの「信頼できるエンティティ」に移動し、「プリンシパル」文までスクロールします。
-
"Principal"には、保存されたOracleユーザーARNとして"AWS"を指定し、"Condition"には、保存されたOCIDとして"sts:ExternalId"を指定します。たとえば:
-
AWS Key Management Serviceを使用したAutonomous AI Databaseでの顧客管理暗号化キーの使用
AWS Key Management Service (KMS)に存在する顧客管理マスター暗号化キーを使用してAutonomous AI Databaseを暗号化するステップを示します。
これらのステップに従います。
-
必要に応じて、顧客管理の必須暗号化キー前提条件ステップを実行します。詳細は、Prerequisites to Use Customer-Managed Encryption Keys in AWS Key Management Serviceを参照してください。
-
Oracle管理キーを使用した暗号化のデフォルトの暗号化キー設定を使用するAutonomous AI Databaseインスタンスを作成します。詳細は、Autonomous AI Databaseインスタンスのプロビジョニングを参照してください。
ノート
ノート: AWS Key Vaultの顧客管理キーの暗号化キー設定は、Autonomous AI Databaseインスタンスの作成プロセスでは使用できません。このオプションは、インスタンスの編集時にプロビジョニング後に使用できます。 -
Autonomous AI Databaseインスタンスの「詳細」ページで、「その他のアクション」をクリックし、「暗号化キーの管理」を選択します。
ノート
ノート: AWS KMSで顧客管理キーをすでに使用していて、TDEキーをローテーションする場合は、次のステップに従って別のキーを選択します(現在選択されているマスター暗号化キーとは異なるキーを選択します)。 -
「暗号化キーの管理」ページで、「顧客管理キーを使用した暗号化」を選択します。
-
「キー・タイプ」ドロップダウンから、「Amazon Web Services (AWS)」を選択します。
-
サービス・エンドポイントURIを入力します。
サービス・エンドポイントURIは、AWS KMSが配置されているAWSリージョンです。
-
AWSポータルに移動し、キーがあるKMSに移動します。
-
ポータルの上部バーにリストされているリージョン名を見つけます。
たとえば、このKMSはOhioという名前のリージョンにあります。
-
リージョンに対応するエンドポイントを検索します。AWS Key Management Serviceエンドポイントおよび割当てに移動し、AWS KMSが配置されているAWSリージョン名のエンドポイントを検索します。
たとえば、AWSリージョン名が
Ohioの場合、エンドポイントはkms.us-east-2.amazonaws.comです。 -
サービス・エンドポイントURIのエンドポイントを入力します。
-
-
キーARNまたは別名を入力します。
-
AWSポータルのキー詳細ページにナビゲートします。キーの別名またはARNをコピーします。
たとえば、
ADBS_TestAWSKMSKeyの別名が選択されます。
-
「Key ARN or Alias」フィールドにキーの別名またはARNを入力します。
別名を入力する場合は、エントリの前に
alias/を付けます。たとえば、別名がADBS_TestAWSKMSKeyの場合、次のように入力します。alias/ADBS_TestAWSKMSKeyARNを入力する場合、接頭辞は不要です。たとえば、ARNが
arn.aws.kms.us-east-2:37807956...bd154の場合、次のように入力します。arn.aws.kms.us-east-2:37807956...bd154
-
-
ARNロールを入力します(オプション)。
-
AWSポータルのロール詳細ページにナビゲートします。
-
ロールのARNをコピーします。
たとえば、
ADBS_AWS_Role1のARNがコピーされます。
-
コピーしたARNを「ARNロール」フィールドに入力します。
-
-
外部IDを入力します(オプション)。
「外部ID」に
tenant_ocidと入力します。 -
「保存」をクリックします。
たとえば:
「ライフサイクル状態」が「更新中」に変わります。リクエストが完了すると、「ライフサイクル状態」に「使用可能」と表示されます。
リクエストが完了すると、Oracle Cloud Infrastructure Consoleで、「暗号化」という見出しの下のAutonomous AI Databaseインスタンスの詳細ページに主要な情報が表示されます。
たとえば:
詳細は、Autonomous AI Databaseで顧客管理キーを使用するためのノートを参照してください。