Oracle Cloud Infrastructureドキュメント

リモート・テナンシにある顧客管理暗号化キーの使用

リモート・テナンシのVaultから顧客管理のマスター暗号化キーを選択するステップを示します。

顧客管理マスター暗号化キーをリモート・テナンシのVaultとともに使用する場合、VaultとAutonomous AI Databaseインスタンスは同じリージョンに存在する必要があります。テナンシを変更するには、サインオン・ページで「テナンシの変更」をクリックします。テナンシを変更したら、VaultインスタンスとAutonomous AI Databaseインスタンスの両方に同じリージョンを選択してください。

  1. 必要に応じて、顧客管理の必須暗号化キー前提条件ステップを実行します。詳細は、OCI VaultのAutonomous AI Databaseで顧客管理暗号化キーを使用するための前提条件を参照してください。

  2. 「詳細」ページで、「その他のアクション」ドロップダウン・リストから「暗号化キーの管理」を選択します。

  3. 「暗号化キーの管理」ページで、「顧客管理キーを使用した暗号化」オプションを選択します。

    すでに顧客管理キーを使用しており、TDEキーをローテーションする場合は、次のステップに従って、同じボールトOCIDで別のキーOCIDを使用するか、新しいボールトOCIDおよび新しいキーOCIDを使用します。これにより、現在のマスター暗号化キーとは異なるキーを使用できます。

  4. 「キー・タイプ」で、「Oracle」を選択します。

  5. 「キーの場所」で、「異なるテナンシ」をクリックします。

  6. リモート・テナンシ・ボールトOCIDを入力します。

  7. リモート・テナンシ・マスター暗号化キーOCIDを入力します。

    adb_switch_master_key_remote.pngの説明が続きます

    図adb_switch_master_key_remote.pngの説明

  8. 保存」をクリックします。

「ライフサイクル状態」「更新中」に変わります。リクエストが完了すると、「ライフサイクル状態」「使用可能」と表示されます。

リクエストが完了すると、Oracle Cloud Infrastructure Consoleで、主要な情報が「Autonomous AI Database Information」ページの「暗号化」という見出しの下に表示されます。この領域には、マスター暗号化キーへのリンクを含む「暗号化キー」フィールドと、マスター暗号化キーOCIDを含む「暗号化キーOCID」フィールドが表示されます。

Vault Serviceでの独自のキー持込み(BYOK)の使用

OCI Vaultサービスを使用して顧客管理キーを作成する場合は、Vaultサービスでキー・マテリアルを内部的に生成するのではなく、独自のキー・マテリアル(独自のキーまたはBYOKを使用)をインポートすることもできます。

Vaultサービス内に独自のキーを導入する前に、いくつかの準備構成タスクを実行してボールトおよびマスター暗号化キーを作成し、そのボールトとそのキーをAutonomous AI Databaseで使用できるようにする必要があります。具体的には:

  1. 新しいボールトを作成するにはの手順に従って、Vaultサービスにボールトを作成します。

    ボールトの作成後、新しいマスター暗号化キーを作成するにはの手順に従って、ボールトに少なくとも1つのマスター暗号化キーを作成できます。顧客暗号化キーを既存のボールトにインポートすることもできます。これらの手順に従う際には、次の選択を行います:

    • コンパートメントに作成: Oracleでは、ボールトと同じコンパートメント(顧客管理キーを含むボールトを含むように特別に作成されたコンパートメント)にマスター暗号化キーを作成することをお薦めします。

    • 保護モード: ドロップダウン・リストから適切な値を選択します:

      • HSM: ハードウェア・セキュリティ・モジュール(HSM)で格納および処理されるマスター暗号化キーを作成します。

      • ソフトウェア: Vaultサービスのソフトウェア・ファイル・システムに格納されるマスター暗号化キーを作成します。ソフトウェアで保護されたキーは、保存時にHSMベースのルート・キーを使用して保護されます。ソフトウェア・キーは、他のキー管理デバイスまたは別のOCIクラウド・リージョンにエクスポートできます。HSMキーとは異なり、ソフトウェアで保護されたキーはコストがかかりません。

    • キー・シェイプ・アルゴリズム: AES

    • キー・シェイプの長さ: 256ビット

    • 外部キーのインポート:顧客暗号化キー(BYOK)を使用するには、「外部キーのインポート」を選択し、次の詳細を指定します:

      • ラッピング・キー情報このセクションは読取り専用ですが、公開ラッピング・キーの詳細を表示できます。

      • ラッピング・アルゴリズムドロップダウンリストから折返しアルゴリズムを選択します。

      • 外部キーのデータ・ソースラップされたRSAキー・マテリアルを含むファイルをアップロードします。

    ノート

    ノート:キー・マテリアルを新しい外部キー・バージョンとしてインポートするか、既存のマスター暗号化キーの名前をクリックして新しいキー・バージョンにローテーションできます。

  2. IAMサービスを使用して、動的グループを作成し、Autonomous AI Databaseインスタンスに作成したマスター暗号化キーへのアクセス権を付与するポリシーを定義します。

詳細は、外部キー・バージョンとしてのキー・マテリアルのインポートを参照してください。