Oracle Cloud Infrastructureドキュメント

Autonomous Databaseのウォレットのローテーション

Walletローテーションを使用すると、データベース・インスタンスまたはクラウド・アカウントがリージョン内に所有するすべてのAutonomous Databaseインスタンスの既存のクライアント認証キーを無効にできます。

親トピック: セキュリティ

Wallet Rotationについて

2つのタイプのウォレット・ローテーション(即時または猶予期間あり)のいずれかを実行できます。

  • 即時ウォレットのローテーションは、遅延なしですぐに開始されます。

  • グレース期間の後ウォレットのローテーションは、グレース期間ありで発生します。猶予期間中、古いクライアント認証キーは、選択した時間(1時間から24時間)の間有効なままになります。猶予期間が終了すると、新しいクライアント認証キーのみが有効です。

次のいずれかの理由でウォレットをローテーションする必要がある場合があります:

  • 組織のポリシーで通常のクライアント証明書キー・ローテーションが必要な場合。

  • クライアント証明キーまたはキーのセットのセキュリティが侵害されている可能性がある場合。

即時ローテーションを使用したウォレットのローテーション

即時ウォレット・ローテーションでは、Autonomous Databaseインスタンスまたはクラウド・アカウントがリージョンで所有するすべてのAutonomous Databaseインスタンスの既存のクライアント認証キーを無効にできます。

即時クライアント認証キー・ローテーションには、次の2つのオプションがあります:

  • 「インスタンス・ウォレット」が選択されたデータベースごと:
    • 認証キーがローテーションされるデータベースの場合、既存のデータベース固有のインスタンス・ウォレットはすべて無効になります。ウォレットをローテーションした後、データベースに接続するために新しいウォレットをダウンロードする必要があります。
    • すべてのデータベース証明キーを含むリージョン・ウォレットは引き続き機能します。
    • ウォレットがローテーションされるデータベースに対してすべてのユーザー・セッションが終了します。ユーザー・セッションの終了はウォレット・ローテーションの完了後に開始されますが、このプロセスはすぐには実行されません。
    ノート

    ウォレットのローテーションが完了した直後にすべての接続を終了する場合、OracleではAutonomous Databaseインスタンスを再起動することをお薦めします。これにより、データベースに最高レベルのセキュリティが提供されます。
  • 「リージョナル・ウォレット」が選択されたリージョン・レベル:
    • 証明キーがローテーションされるリージョンについて、リージョンおよびデータベース固有のインスタンス・ウォレットの両方が無効になります。ウォレットをローテーションした後、リージョン内のすべてのデータベースに接続するには、新しいリージョン・ウォレットまたはインスタンス・ウォレットをダウンロードする必要があります。
    • ウォレットがローテーションされるリージョン内のデータベースに対してすべてのユーザー・セッションが終了します。ユーザー・セッションの終了はウォレット・ローテーションの完了後に開始されますが、このプロセスはすぐには実行されません。
    ノート

    ウォレットのローテーションが完了した直後にすべての接続を終了する場合、Oracleでは、リージョン内のAutonomous Databaseインスタンスを再起動することをお薦めします。これにより、データベースに最高レベルのセキュリティが提供されます。

特定のデータベースまたはクラウド・アカウントが1つのリージョンで所有するすべてのAutonomous Databaseインスタンスのクライアント認証キーをすぐにローテーションするには:

  1. Autonomous Databaseの詳細ページに移動します。
  2. 「データベース接続」をクリックします。
  3. 「データベース接続」ページで、「Walletタイプ」を選択します:
    • インスタンス・ウォレット: 単一データベースのWalletローテーションのみ。これにより、データベース固有のウォレット・ローテーションが提供されます。
    • リージョナル・ウォレット: 特定のテナントおよびリージョンのすべてのAutonomous DatabaseのWalletローテーション(このオプションでは、クラウド・アカウントが所有するすべてのサービス・インスタンスのクライアント認証キーがローテーションされます)。
  4. 「ウォレットのローテーション」をクリックします。
  5. ダイアログに示すように名前を入力し、ウォレット・ローテーションを確認します。
  6. 「Walletのローテーション」ダイアログで、「ローテーション」をクリックします。

「データベース接続」ページにローテーション進行中が表示されます。

ローテーションが完了すると、「Wallet last rotationed」フィールドに最後のローテーション日時が表示されます。

Oracleでは、「ウォレットのダウンロード」を使用するときに、Walletタイプを「インスタンス・ウォレット」に設定し、可能なかぎりエンド・ユーザーおよびアプリケーションで使用するために、データベース固有のインスタンス・ウォレットを提供することをお薦めします。リージョナル・ウォレットは、リージョン内のすべてのAutonomous Databaseへの潜在的なアクセスを必要とする管理目的でのみ使用する必要があります。

Autonomous Database APIを使用して、UpdateAutonomousDatabaseRegionalWalletおよびUpdateAutonomousDatabaseWalletによりウォレットをローテーションすることもできます。詳細は、Autonomous Database Walletリファレンスを参照してください。

猶予期間のあるウォレットのローテーション

Autonomous Databaseでは、Autonomous Databaseインスタンス、またはクラウド・アカウントがリージョンで所有するすべてのインスタンスのウォレットをローテーションできます。猶予期間は1時間から24時間です。

猶予期間を設定すると、停止時間なしでウォレットのローテーションを実行できます。猶予期間中、新しいウォレットをダウンロードし、新しいウォレットを使用するようにアプリケーションを更新するようユーザーに通知できます。猶予期間中は、古いクライアント認証キーと新しいクライアント認証キーの両方が有効です。猶予期間が終了すると、Autonomous Databaseは古いクライアント認証キーを無効にし、新しいクライアント認証キーのみが有効になります。

猶予期間があるクライアント認証キー・ローテーションには、次の2つのオプションがあります:

  • 「インスタンス・ウォレット」が選択されたデータベースごと:

    • 認証キーがローテーションされるデータベースの場合、ウォレットのローテーション前に使用中だったデータベース固有のインスタンス・ウォレットは、猶予期間が終了すると無効になります。

    • 猶予期間のクライアント認証キー・ローテーションを実行した後、すぐにウォレットをダウンロードし、新しいウォレットを使用してデータベースに接続できます。

    • すべてのデータベース証明キーを含むリージョン・ウォレットは引き続き機能します。

    • 猶予期間の終了後、古いウォレットを使用している既存の接続は引き続き機能します。

    ノート

    猶予期間が終了した後、古いウォレットを使用している接続を終了する場合、OracleではAutonomous Databaseインスタンスを再起動することをお薦めします。
  • 「リージョナル・ウォレット」が選択されたリージョン・レベル:

    • 証明キーがローテーションされるリージョンについて、リージョンおよびデータベース固有のインスタンス・ウォレットの両方が無効になります。猶予期間の終了後、リージョン内のすべてのデータベースに接続するには、新しいリージョン・ウォレットまたはインスタンス・ウォレットをダウンロードする必要があります。

    • 猶予期間の終了後、古いウォレットを使用している既存の接続は引き続き機能します。

    ノート

    猶予期間が終了した後、古いウォレットを使用している接続を終了する場合、Oracleでは、リージョン内のすべてのAutonomous Databaseインスタンスを再起動することをお薦めします。

特定のデータベースまたはクラウド・アカウントが1つのリージョンで所有するすべてのAutonomous Databaseインスタンスに対して、猶予期間のあるクライアント認証キーをローテーションするには:

  1. Autonomous Databaseの詳細ページに移動します。
  2. 「データベース接続」をクリックします。
  3. 「データベース接続」ページで、「Walletタイプ」を選択します:
    • インスタンス・ウォレット: 単一データベースのWalletローテーションのみ。これにより、データベース固有のウォレット・ローテーションが提供されます。
    • リージョナル・ウォレット: 特定のテナントおよびリージョンのすべてのAutonomous DatabaseのWalletローテーション(このオプションでは、クラウド・アカウントが所有するリージョン内のすべてのサービス・インスタンスのクライアント認証キーがローテーションされます)。
  4. 「ウォレットのローテーション」をクリックします。
  5. 「猶予期間の後」を選択します。
  6. 「間隔(時間)」領域で、テキスト・フィールドに値を入力するか、スライダを使用して値を選択します。
    adb_wallet_rotation_scheduled.pngの説明が続きます
  7. ダイアログに示すように名前を入力し、ウォレット・ローテーションを確認します。
  8. 「Walletのローテーション」ダイアログで、「ローテーション」をクリックします。

「データベース接続」ページにローテーション進行中が表示されます。

ローテーションが完了すると、「Wallet last rotationed」フィールドに最後のローテーション日時が表示されます。

猶予期間のあるウォレット・ローテーションに関するノート:

  • Always FreeのAutonomous Databaseでは、即時ウォレット・ローテーションのみがサポートされます(グレース期間のあるウォレット・ローテーションはサポートされていません)。

  • Oracleでは、「ウォレットのダウンロード」を使用するときに、Walletタイプを「インスタンス・ウォレット」に設定し、可能なかぎりエンド・ユーザーおよびアプリケーションで使用するために、データベース固有のインスタンス・ウォレットを提供することをお薦めします。リージョナル・ウォレットは、リージョン内のすべてのAutonomous Databaseへの潜在的なアクセスを必要とする管理目的でのみ使用する必要があります。

Autonomous Database APIを使用して、UpdateAutonomousDatabaseRegionalWalletおよびUpdateAutonomousDatabaseWalletによりウォレットをローテーションすることもできます。詳細は、Autonomous Database Walletリファレンスを参照してください。