OCI VaultのAutonomous AI Databaseで顧客管理暗号化キーを使用するための前提条件

OCI VaultのAutonomous AI Databaseで顧客管理キーを使用するには、次の前提条件ステップを実行します:

1. Oracle Cloud Infrastructure Vaultを作成します。

   1. Oracle Cloudの横にあるをクリックして、Oracle Cloud Infrastructureコンソールを開きます。

   2. Oracle Cloud Infrastructureの左側のナビゲーション・メニューから、「アイデンティティとセキュリティ」をクリックします。

   3. 「キー管理およびシークレット管理」で、「Vault」をクリックします。

   4. 既存の Vaultを選択するか、新しい Vaultを作成します。

      詳細は、Vaultの作成を参照してください。

2. Vaultにマスター暗号化鍵を作成します。

   ノート
   
   

   注意:

   キーを作成するときは、次のオプションを使用する必要があります。

   • キー・シェイプ: アルゴリズム: AES (暗号化および復号化に使用される対称キー)

   • キー・シェイプ: 長さ: 256ビット

   詳細は、マスター暗号化キーの作成およびキー管理の概要を参照してください。

   

   図adb_security_vault_key.pngの説明

3. 動的グループの動的グループおよびポリシー・ステートメントを作成して、Oracle Cloud Infrastructureリソース(Vaults and Keys)へのアクセスを有効にします。

   このステップは、ボールトがAutonomous AI Databaseインスタンスと同じテナンシにあるか、別のテナンシにあるかによって異なります:

   • Vaultとキーは、Autonomous AI Databaseインスタンスと同じテナンシにあります。詳細は、データベースと同じテナンシにVaultを使用した顧客管理対象キーの動的グループおよびポリシーの作成を参照してください。

   • Vaultとキーは別のテナンシにあります。詳細は、データベースとは異なるテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成を参照してください。

リモート・スタンバイ・データベースでAutonomous Data Guardで顧客管理暗号化キーを使用するには、ボールトおよびキーをレプリケートする必要があります。顧客管理暗号化キーは、単一のクロス・リージョンAutonomous Data Guardスタンバイでのみサポートされます。Oracle Cloud Infrastructure Vaultでは1つのリモート・リージョンへのレプリケーションのみがサポートされるため、複数のクロス・リージョン・スタンバイはサポートされていません。

詳細は、次を参照してください:

• Vaultとそのキーをレプリケートするには

• 顧客管理暗号化キーを使用したクロス・リージョンAutonomous Data Guard

Vaultがデータベースと同じテナンシにある顧客管理キーの動的グループおよびポリシーの作成

動的グループおよびポリシーを作成して、ボールトおよびキーがAutonomous AI Databaseインスタンスと同じテナンシにある場合に、顧客管理キーのボールトおよびキーへのアクセスを提供します。

1. Autonomous AI Databaseインスタンスからマスター暗号化キーにアクセスできるようにする動的グループを作成します。

   1. Oracle Cloud Infrastructureコンソールで、「アイデンティティおよびセキュリティ」をクリックします。

   2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。

   3. 「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。

   4. 「動的グループの作成」をクリックし、「名前」、「説明」およびルールを入力します。

      • 既存のデータベースの動的グループの作成:

        Autonomous AI Databaseインスタンスが動的グループの一部であることを指定できます。次の例の動的グループには、OCIDがresource.idパラメータに指定されているAutonomous AIデータベースのみが含まれます:

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • まだプロビジョニングされていないデータベースの動的グループを作成します。

        Autonomous AI Databaseインスタンスをプロビジョニングまたはクローニングする前に動的グループを作成している場合、新しいデータベースのOCIDはまだ使用できません。この場合、特定のコンパートメントのリソースを指定する動的グループを作成します:

        resource.compartment.id = '*<your_Compartment_OCID>*'

   5. 「作成」をクリックします。

2. Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にするための動的グループのポリシー・ステートメントを記述します

   1. Oracle Cloud Infrastructureコンソールで「Identity and Security」をクリックし、「Policies」をクリックします。

   2. 動的グループのポリシーを記述するには、「ポリシーの作成」をクリックし、「名前」および「説明」を入力します。

   3. ポリシー・ビルダーを使用して、ローカル・テナンシのボールトおよびキーのポリシーを作成します。

      たとえば、次のようにすると、動的グループDGKeyCustomer1のメンバーは、trainingという名前のコンパートメント内のボールトおよびキーにアクセスできます。

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
      Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      このサンプル・ポリシーは、単一のコンパートメントに適用されます。ポリシーがテナンシ、コンパートメント、リソースまたはリソースのグループに適用されるように指定できます。

      リモート・スタンバイでAutonomous Data Guardで顧客管理キーを使用するには、次のポリシーも必要です:

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
      Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training

   4. ポリシーを保存するには、「作成」をクリックします。

   詳細は、次を参照してください:

   • ポリシーの管理

   • 顧客管理暗号化キーを使用したクロス・リージョンAutonomous Data Guard

   • ボールトおよびキーのレプリケート

Vaultがデータベースとは異なるテナンシにある顧客管理キーの動的グループおよびポリシーの作成

Autonomous AI Databaseインスタンスとボールトおよびキーが異なるテナンシにある場合に顧客管理キーを使用するには、次のステップを実行します。

この場合、顧客管理キーに変更するときにOCID値を指定する必要があります。また、Autonomous AI Databaseインスタンスが別のテナンシでボールトおよびキーを使用できるようにする動的グループおよびポリシーを定義する必要があります。

1. マスター暗号化キーのOCIDをコピーします。

2. ボールトOCIDをコピーします。

3. テナンシOCID (ボールトおよびキーを含むリモート・テナンシ)をコピーします。

4. Autonomous AI Databaseインスタンスを含むテナンシで、動的グループを作成します。

   a. Oracle Cloud Infrastructureコンソールで、Autonomous AI Databaseインスタンスがあるテナンシで、「アイデンティティとセキュリティ」をクリックします。

   b. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。

   c. 「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。

   d. 「動的グループの作成」をクリックし、「名前」、「説明」およびルールを入力します。

   • 既存のデータベースの動的グループの作成:

     Autonomous AI Databaseインスタンスが動的グループの一部であることを指定できます。次の例の動的グループには、OCIDがresource.idパラメータに指定されているAutonomous AIデータベースのみが含まれます:

     resource.id = '*<your_Autonomous_Database_instance_OCID>*'

   • まだプロビジョニングされていないデータベースの動的グループを作成します。

     Autonomous AI Databaseインスタンスをプロビジョニングまたはクローニングする前に動的グループを作成している場合、新しいデータベースのOCIDはまだ使用できません。この場合、特定のコンパートメントのリソースを指定する動的グループを作成します:

     resource.compartment.id = '*<your_Compartment_OCID>*'

   e. 「作成」をクリックします。

5. Autonomous AI Databaseインスタンスがあるテナンシで、ボールトおよびキー(ボールトおよびキーが異なるテナンシにある)へのアクセスを許可するポリシーを定義します。

   a. Oracle Cloud Infrastructureコンソールで、「アイデンティティおよびセキュリティ」をクリックします。

   b. 「アイデンティティ」で、「ポリシー」をクリックします。

   c. ポリシーを記述するには、「ポリシーの作成」をクリックします。

   d. 「ポリシーの作成」ページで、「名前」および「説明」を入力します。

   e. ポリシーの作成ページで、「手動エディタの表示」を選択します。

   

   図adb_keys_create_policy_manual.pngの説明

   f. ポリシー・ビルダーで、Autonomous AI Databaseインスタンスが別のテナンシにあるボールトおよびキーにアクセスできるようにポリシーを追加します。また、IAMユーザーが属するIAMグループのポリシーを追加して、Autonomous AI DatabaseインスタンスのOracle Cloud Infrastructure Consoleで、別のテナンシに存在するキーの詳細を表示できるようにします。

   たとえば、汎用ポリシーで、Autonomous AI DatabaseインスタンスTenancy-1と、ボールトおよびキーTenancy-2を持つテナンシをコールします:

   次のポリシーをコピーし、変数および名前を定義した値に置き換えます。ここで、動的グループ名ADB-DynamicGroupは、ステップ4で作成した動的グループです。

   define tenancy REMTEN as <*ocid of tenancy-2*>
   endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
   endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
   endorse group MyUserGroup to use vaults in tenancy REMTEN
   endorse group MyUserGroup to use keys in tenancy REMTEN

   たとえば、次のようにすると、動的グループDGKeyCustomer1のメンバーは、training2という名前のテナンシ内のリモート・ボールトおよびキーにアクセスできます。

   define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
   endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
   endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
   endorse group MyUserGroup to use vaults in tenancy training2
   endorse group MyUserGroup to use keys in tenancy training2

   g ポリシーを保存するには、「作成」をクリックします。

6. テナンシOCID (Autonomous AI Databaseインスタンスを含むテナンシ)をコピーします。

7. 動的グループOCID (ステップ4で作成した動的グループ用)をコピーします。

8. ボールトおよびキーがあるリモート・テナンシで、Autonomous AI Databaseインスタンスがボールトおよびキーにアクセスできるようにする動的グループおよびポリシーを定義します。

   a. Oracle Cloud Infrastructureコンソールから、「アイデンティティおよびセキュリティ」をクリックします。

   b. 「アイデンティティ」で、「ポリシー」をクリックします。

   c. ポリシーを作成するには、「ポリシーの作成」をクリックします。

   d. 「ポリシーの作成」ページで、「名前」および「説明」を入力します。

   e. ポリシーの作成ページで、「手動エディタの表示」を選択します。

   f. ポリシー・ビルダーで、ポリシーおよび動的グループを追加して、Autonomous AI DatabaseインスタンスがTenancy-2のボールトおよびキーを使用できるように、Autonomous AI Databaseインスタンス(Tenancy-1)を使用してテナンシの動的グループへのアクセスを提供します。また、ユーザー・グループがボールトおよびキーにアクセスできるようにするポリシーを追加して、別のテナンシのAutonomous AI DatabaseインスタンスのOracle Cloud Infrastructure Consoleに情報を表示する必要もあります。

   ポリシー・ビルダーを使用して、ボールトおよびキーの動的グループおよびポリシーを作成します。

   define tenancy ADBTEN as <*ocid of tenancy-1*>
   define dynamic-group REM-ADB-DG as <*ocid of the Dynamic Group in tenancy-1*>
   define group REMGROUP as <*group-ocid*>
   admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
   admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
   admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
   admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

   たとえば、動的グループDGKeyCustomer1およびグループREMGROUPのメンバーがtraining2という名前のテナンシ内のリモート・ボールトおよびキーにアクセスできるように、リモート・テナンシで次を定義します:

   define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
   define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
   define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
   admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
   admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
   admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
   admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

9. ポリシーを保存するには、「作成」をクリックします。