Oracle Cloud Infrastructureドキュメント

Autonomous Databaseのウォレットのローテーション

Walletローテーションを使用すると、データベース・インスタンスまたはクラウド・アカウントがリージョンに所有するすべてのAutonomous Databaseインスタンスの既存のクライアント証明キーを無効にできます。

親トピック: セキュリティ

Walletのローテーションについて

2つのタイプのウォレット・ローテーション(即時または猶予期間)のいずれかを実行できます。

  • 即時ウォレットのローテーションは、遅延なくただちに開始されます。

  • 猶予期間の後ウォレットのローテーションは猶予期間とともに行われます。猶予期間中、古いクライアント証明キーは、選択した1時間から24時間の間有効なままです。猶予期間が終了すると、新しいクライアント証明キーのみが有効になります。

次のいずれかの理由でウォレットをローテーションする必要が生じる場合があります:

  • 組織のポリシーで通常のクライアント証明書キー・ローテーションが必要な場合。

  • クライアント証明キーまたはキーのセットが侵害される可能性がある場合。

即時ローテーションによるウォレットのローテーション

即時ウォレット・ローテーションを使用すると、Autonomous Databaseインスタンスまたはクラウド・アカウントがリージョンに所有するすべてのAutonomous Databaseインスタンスの既存のクライアント証明キーを無効にできます。

クライアント証明のキー・ローテーションには、2つのオプションがあります:

  • 「インスタンス・ウォレット」が選択されているデータベースごと:
    • 証明キーがローテーションされるデータベースの場合、既存のデータベース固有のインスタンス・ウォレットはすべて無効になります。ウォレットをローテーションした後、データベースに接続するために新しいウォレットをダウンロードする必要があります。
    • すべてのデータベース証明キーを含むリージョナル・ウォレットは引き続き機能します。
    • ウォレットがローテーションされるデータベースに対してすべてのユーザー・セッションが終了します。ユーザー・セッションの終了はウォレットのローテーションの完了後に開始されますが、このプロセスはすぐには実行されません。
    ノート

    ウォレットのローテーションが完了した直後にすべての接続を終了する場合、OracleではAutonomous Databaseインスタンスを再起動することをお薦めします。これにより、データベースに最高レベルのセキュリティが提供されます。
  • 「リージョン・ウォレット」が選択されたリージョン・レベル:
    • 証明キーがローテーションされるリージョンに対して、リージョンおよびデータベース固有のインスタンス・ウォレットは両方とも無効になります。ウォレットをローテーションした後、リージョン内の任意のデータベースに接続するには、新しいリージョナル・ウォレットまたはインスタンス・ウォレットをダウンロードする必要があります。
    • ウォレットがローテーションされるリージョン内のデータベースに対してすべてのユーザー・セッションが終了します。ユーザー・セッションの終了はウォレットのローテーションの完了後に開始されますが、このプロセスはすぐには実行されません。
    ノート

    ウォレットのローテーションが完了した直後にすべての接続を終了する場合、Oracleでは、リージョン内のAutonomous Databaseインスタンスを再起動することをお薦めします。これにより、データベースに最高レベルのセキュリティが提供されます。

特定のデータベースまたはクラウド・アカウントがリージョンに所有するすべてのAutonomous Databaseインスタンスのクライアント証明キーをすぐにローテーションするには:

  1. Autonomous Databaseの詳細ページに移動します。
  2. 「データベース接続」をクリックします。
  3. 「データベース接続」ページで、「Walletタイプ」を選択します:
    • インスタンス・ウォレット: 単一データベースのWalletローテーションのみ。これにより、データベース固有のウォレット・ローテーションが提供されます。
    • リージョナル・ウォレット: 特定のテナントおよびリージョンのすべてのAutonomous DatabasesのWalletローテーション(このオプションでは、クラウド・アカウントが所有するすべてのサービス・インスタンスのクライアント認証キーがローテーションされます)。
  4. 「ウォレットのローテーション」をクリックします。
  5. ダイアログに示すように名前を入力し、ウォレット・ローテーションを確認します。
  6. 「Walletのローテーション」ダイアログで、「ローテーション」をクリックします。

「データベース接続」ページにローテーション進行中と表示されます。

ローテーションが完了すると、「最後にローテーションされたWallet」フィールドに最後のローテーション日時が表示されます。

Oracleでは、「ウォレットのダウンロード」を使用するときに、Walletタイプを「インスタンス・ウォレット」に設定して、データベース固有のインスタンス・ウォレットをエンド・ユーザーに提供し、可能なかぎりアプリケーションで使用することをお薦めします。リージョナル・ウォレットは、リージョン内のすべてのAutonomous Databaseへの潜在的なアクセスが必要な管理目的のみで使用される必要があります。

Autonomous Database APIを使用して、UpdateAutonomousDatabaseRegionalWalletおよびUpdateAutonomousDatabaseWalletを使用してウォレットをローテーションすることもできます。詳細は、Autonomous Database Walletリファレンスを参照してください。

猶予期間でのウォレットのローテーション

Autonomous Databaseでは、Autonomous Databaseインスタンス、またはクラウド・アカウントがリージョン内に所有するすべてのインスタンスのウォレットをローテーションできます。猶予期間は1時間から24時間です。

猶予期間を設定すると、停止時間なしでウォレットのローテーションを実行できます。猶予期間中に、新しいウォレットをダウンロードし、新しいウォレットを使用するようにアプリケーションを更新するようにユーザーに通知できます。猶予期間中は、古い証明書キーと新しい証明書キーの両方が有効です。猶予期間が終了すると、Autonomous Databaseによって古いクライアント証明キーが無効になり、新しいクライアント証明キーのみが有効になります。

猶予期間があるクライアント証明のキー・ローテーションには、2つのオプションがあります:

  • 「インスタンス・ウォレット」が選択されているデータベースごと:

    • 証明キーがローテーションされているデータベースの場合、猶予期間が過ぎると、ウォレットのローテーション前に使用されていたデータベース固有のインスタンス・ウォレットは無効になります。

    • 猶予期間を指定してクライアント認証キーのローテーションを実行した後、ウォレットをすぐにダウンロードし、新しいウォレットを使用してデータベースに接続できます。

    • すべてのデータベース証明キーを含むリージョナル・ウォレットは引き続き機能します。

    • 猶予期間が過ぎると、古いウォレットを使用している既存の接続は引き続き機能します。

    ノート

    猶予期間の完了後、古いウォレットを使用して接続を終了する場合、OracleではAutonomous Databaseインスタンスを再起動することをお薦めします。
  • 「リージョン・ウォレット」が選択されたリージョン・レベル:

    • 証明キーがローテーションされるリージョンに対して、リージョンおよびデータベース固有のインスタンス・ウォレットは両方とも無効になります。猶予期間の終了後、リージョン内の任意のデータベースに接続するには、新しいリージョナルまたはインスタンス・ウォレットをダウンロードする必要がある。

    • 猶予期間が終了すると、古いウォレットを使用している既存の接続は引き続き機能します。

    ノート

    猶予期間の完了後、古いウォレットを使用して接続を終了する場合、Oracleでは、リージョン内のすべてのAutonomous Databaseインスタンスを再起動することをお薦めします。

特定のデータベースまたはクラウド・アカウントがリージョンに所有するすべてのAutonomous Databaseインスタンスについて、猶予期間を指定してクライアント証明キーをローテーションするには:

  1. Autonomous Databaseの詳細ページに移動します。
  2. 「データベース接続」をクリックします。
  3. 「データベース接続」ページで、「Walletタイプ」を選択します:
    • インスタンス・ウォレット: 単一データベースのWalletローテーションのみ。これにより、データベース固有のウォレット・ローテーションが提供されます。
    • リージョナル・ウォレット: 特定のテナントおよびリージョンのすべてのAutonomous DatabasesのWalletローテーション(このオプションでは、クラウド・アカウントが所有するリージョン内のすべてのサービス・インスタンスのクライアント認証キーがローテーションされます)。
  4. 「ウォレットのローテーション」をクリックします。
  5. 「猶予期間の後」を選択します。
  6. 「猶予期間(時間)」領域で、テキスト・フィールドに値を入力するか、スライダを使用して値を選択します。
  7. ダイアログに示すように名前を入力し、ウォレット・ローテーションを確認します。
  8. 「Walletのローテーション」ダイアログで、「ローテーション」をクリックします。

「データベース接続」ページにローテーション進行中と表示されます。

ローテーションが完了すると、「最後にローテーションされたWallet」フィールドに最後のローテーション日時が表示されます。

猶予期間でのウォレット・ローテーションのノート:

  • Always Free Autonomous Databasesでは、ウォレットの即時ローテーションのみがサポートされます(猶予期間のあるウォレットのローテーションはサポートされていません)。

  • Oracleでは、「ウォレットのダウンロード」を使用するときに、Walletタイプを「インスタンス・ウォレット」に設定して、データベース固有のインスタンス・ウォレットをエンド・ユーザーに提供し、可能なかぎりアプリケーションで使用することをお薦めします。リージョナル・ウォレットは、リージョン内のすべてのAutonomous Databaseへの潜在的なアクセスが必要な管理目的のみで使用される必要があります。

Autonomous Database APIを使用して、UpdateAutonomousDatabaseRegionalWalletおよびUpdateAutonomousDatabaseWalletを使用してウォレットをローテーションすることもできます。詳細は、Autonomous Database Walletリファレンスを参照してください。