Oracle Cloud Infrastructureドキュメント

自律型AIデータベースのウォレットのローテーション

Walletローテーションを使用すると、データベース・インスタンスまたはクラウド・アカウントがリージョン内に所有するすべてのAutonomous AI Databaseインスタンスの既存のクライアント認証キーを無効にできます。

Walletのローテーションについて

2つのタイプのウォレット・ローテーション(即時または猶予期間)のいずれかを実行できます。

  • 即時ウォレットのローテーションは、遅延なく即時に開始されます。

  • 猶予期間の後のウォレット・ローテーションは猶予期間とともに発生します。猶予期間中は、以前の選択内容に基づいて、古いクライアント証明書キーは1 - 72時間有効です。猶予期間が経過すると、新しいクライアント証明キーのみが有効になります。

次のいずれかの理由でウォレットをローテーションする必要が生じる場合があります:

  • 組織のポリシーで通常のクライアント証明書キー・ローテーションが必要な場合。

  • クライアント証明キーまたはキーのセットが侵害される可能性がある場合。

即時ローテーションによるウォレットのローテーション

即時ウォレット・ローテーションを使用すると、Autonomous AI Databaseインスタンスまたはクラウド・アカウントがリージョン内に所有するすべてのAutonomous AI Databaseインスタンスの既存のクライアント認証キーを無効にできます。

クライアント証明のキー・ローテーションには、2つのオプションがあります:

  • 「インスタンス・ウォレット」が選択されたデータベースごと:

    • 証明キーがローテーションされるデータベースの場合、既存のデータベース固有のインスタンス・ウォレットはすべて無効になります。ウォレットをローテーションした後、データベースに接続するために新しいウォレットをダウンロードする必要があります。

    • すべてのデータベース証明キーを含むリージョナル・ウォレットは引き続き機能します。

    • ウォレットがローテーションされるデータベースに対してすべてのユーザー・セッションが終了します。ユーザー・セッションの終了はウォレットのローテーションの完了後に開始されますが、このプロセスはすぐには実行されません。

      ノート

      ノート:ウォレット・ローテーションの完了直後にすべての接続を終了する場合は、OracleではAutonomous AI Databaseインスタンスを再起動することをお薦めします。これにより、データベースに最高レベルのセキュリティが提供されます。

  • 「地域ウォレット」が選択された地域レベル:

    • 証明キーがローテーションされるリージョンに対して、リージョンおよびデータベース固有のインスタンス・ウォレットは両方とも無効になります。ウォレットをローテーションした後、リージョン内の任意のデータベースに接続するには、新しいリージョナル・ウォレットまたはインスタンス・ウォレットをダウンロードする必要があります。

    • ウォレットがローテーションされるリージョン内のデータベースに対してすべてのユーザー・セッションが終了します。ユーザー・セッションの終了はウォレットのローテーションの完了後に開始されますが、このプロセスはすぐには実行されません。

      ノート

      ノート:ウォレット・ローテーションの完了直後にすべての接続を終了する場合、Oracleでは、リージョン内のAutonomous AI Databaseインスタンスを再起動することをお薦めします。これにより、データベースに最高レベルのセキュリティが提供されます。

特定のデータベースまたはクラウド・アカウントがリージョン内に所有するすべてのAutonomous AI Databaseインスタンスのクライアント証明キーをすぐにローテーションするには:

  1. Autonomous AI Databaseの詳細ページにナビゲートします。

  2. 「データベース接続」をクリックします。

  3. 「データベース接続」ページで、Walletタイプを選択します。

    • インスタンス・ウォレット: 単一のデータベースに対してのみWalletローテーションを行います。これにより、データベース固有のウォレット・ローテーションが提供されます。

    • リージョナル・ウォレット: 特定のテナントおよびリージョンのすべてのAutonomous AIデータベースのWalletローテーション(このオプションは、クラウド・アカウントが所有するすべてのサービス・インスタンスのクライアント証明キーをローテーションします)。

  4. 「ウォレットのローテーション」をクリックします。

  5. ダイアログに示すように名前を入力し、ウォレット・ローテーションを確認します。

  6. 「Rotate Wallet」ダイアログで「Rotate」をクリックします。

「データベース接続」ページにローテーション進行中と表示されます。

ローテーションが完了すると、「Wallet last rotated」フィールドに最後のローテーション日時が表示されます。

Oracleでは、「ウォレットのダウンロード」を使用する場合、Walletタイプを「インスタンス・ウォレット」に設定して、エンド・ユーザーや可能なかぎりアプリケーションで使用するために、データベース固有のインスタンス・ウォレットを提供することをお薦めします。リージョナル・ウォレットは、リージョン内のすべてのAutonomous AIデータベースへの接続文字列を提供し、単一のウォレット・ファイルを使用してそのリージョン全体の複数のデータベースに接続する必要がある場合にのみ使用する必要があります。

Autonomous AI Database APIを使用して、UpdateAutonomousDatabaseRegionalWalletおよびUpdateAutonomousDatabaseWalletを使用してウォレットにローテーションすることもできます。詳細は、Autonomous AI Database Walletリファレンスを参照してください。

猶予期間でのウォレットのローテーション

自律型AIデータベースでは、自律型AIデータベース・インスタンス、またはクラウド・アカウントがリージョン内に所有するすべてのインスタンスのウォレットをローテーションでき、猶予期間は1時間から72時間です。

猶予期間を設定すると、停止時間なしでウォレットのローテーションを実行できます。猶予期間中に、新しいウォレットをダウンロードし、新しいウォレットを使用するようにアプリケーションを更新するようにユーザーに通知できます。猶予期間中は、古い証明書キーと新しい証明書キーの両方が有効です。猶予期間が終了すると、Autonomous AI Databaseによって古いクライアント証明キーが無効になり、新しいクライアント証明キーのみが有効になります。

猶予期間があるクライアント証明のキー・ローテーションには、2つのオプションがあります:

  • 「インスタンス・ウォレット」が選択されたデータベースごと:

    • 証明キーがローテーションされているデータベースの場合、猶予期間が過ぎると、ウォレットのローテーション前に使用されていたデータベース固有のインスタンス・ウォレットは無効になります。

    • 猶予期間を指定してクライアント認証キーのローテーションを実行した後、ウォレットをすぐにダウンロードし、新しいウォレットを使用してデータベースに接続できます。

    • すべてのデータベース証明キーを含むリージョナル・ウォレットは引き続き機能します。

    • 猶予期間が過ぎると、古いウォレットを使用している既存の接続は引き続き機能します。

      ノート

      ノート:猶予期間の完了後、古いウォレットを使用して接続を終了する場合は、OracleではAutonomous AI Databaseインスタンスを再起動することをお薦めします。

  • 「地域ウォレット」が選択された地域レベル:

    • 証明キーがローテーションされるリージョンに対して、リージョンおよびデータベース固有のインスタンス・ウォレットは両方とも無効になります。猶予期間の終了後、リージョン内の任意のデータベースに接続するには、新しいリージョナルまたはインスタンス・ウォレットをダウンロードする必要がある。

    • 猶予期間が終了すると、古いウォレットを使用している既存の接続は引き続き機能します。

      ノート

      ノート:猶予期間の完了後、古いウォレットを使用して接続を終了する場合は、Oracleでは、リージョン内のすべてのAutonomous AI Databaseインスタンスを再起動することをお薦めします。

特定のデータベースまたはクラウド・アカウントがリージョン内に所有するすべてのAutonomous AI Databaseインスタンスについて、猶予期間を指定してクライアント認証キーをローテーションするには:

  1. Autonomous AI Databaseの詳細ページにナビゲートします。

  2. 「データベース接続」をクリックします。

  3. 「データベース接続」ページで、Walletタイプを選択します。

    • インスタンス・ウォレット: 単一のデータベースに対してのみWalletローテーションを行います。これにより、データベース固有のウォレット・ローテーションが提供されます。

    • リージョナル・ウォレット: 特定のテナントおよびリージョンのすべてのAutonomous AIデータベースのWalletローテーション(このオプションは、クラウド・アカウントが所有するリージョン内のすべてのサービス・インスタンスのクライアント証明キーをローテーションします)。

  4. 「ウォレットのローテーション」をクリックします。

  5. 「猶予期間の後」を選択します。

  6. 「猶予期間(時間)」領域で、テキスト・フィールドに値を入力します。

    adbs_wallet_rotation-scheduled.pngの説明が続きます

    図adbs_wallet_rotation-scheduled.pngの説明

  7. ダイアログに示すようにデータベース名を入力し、ウォレット・ローテーションを確認します。

  8. 「Rotate Wallet」ダイアログで「Rotate」をクリックします。

「データベース接続」ページにローテーション進行中と表示されます。

ローテーションが完了すると、「Wallet last rotated」フィールドに最後のローテーション日時が表示されます。

猶予期間でのウォレット・ローテーションのノート:

  • Always FreeのAutonomous AI Databaseでは、ウォレットの即時ローテーションのみがサポートされます(猶予期間のあるウォレットのローテーションはサポートされていません)。

  • Oracleでは、「ウォレットのダウンロード」を使用する場合、Walletタイプを「インスタンス・ウォレット」に設定して、エンド・ユーザーや可能なかぎりアプリケーションで使用するために、データベース固有のインスタンス・ウォレットを提供することをお薦めします。リージョナル・ウォレットは、リージョン内のすべてのAutonomous AI Databaseへの接続文字列を提供し、単一のウォレット・ファイルを使用してそのリージョン全体の複数のデータベースに接続する必要がある場合にのみ使用する必要があります。

Autonomous AI Database APIを使用して、UpdateAutonomousDatabaseRegionalWalletおよびUpdateAutonomousDatabaseWalletを使用してウォレットにローテーションすることもできます。詳細は、Autonomous AI Database Walletリファレンスを参照してください。