Oracle Cloud Infrastructureドキュメント

Amazon RDS for Oracle Databaseの登録

Amazon RDS for Oracleウィザードを使用して、Amazon RDS for OracleデータベースをOracle Data Safeのターゲット・データベースとして登録できます。

登録時に、Oracle Data Safeオンプレミス・コネクタまたはOracle Data Safeプライベート・エンドポイントを使用して、データベースをOracle Data Safe データベースにプライベートIPアドレスがあり、OCIテナンシとAmazonクラウド環境の間に確立されたネットワーク・ピアリング接続(FastConnectやVPN接続など)がある場合、プライベート・エンドポイントを使用します。それ以外の場合は、オンプレミス・コネクタを使用します。

ノート

ノート:ウィザードおよび登録後タスクを使用する前に、必ず事前登録タスクを完了してください。

登録前タスク

次の表に、Amazon RDS for Oracle登録ウィザードを実行する前に完了する必要がある事前登録タスクを示します。

タスク番号 タスク インストラクションへのリンク
1 Oracle Cloud Infrastructure Identity and Access Management (IAM)で、データベースを登録する権限を取得します。 Amazon RDS for Oracle DatabaseをOracle Data Safeに登録する権限
2 ターゲット・データベースにOracle Data Safeサービス・アカウントを作成し、Oracle Data Safeロールを付与します。SYSユーザーとしてサービス・アカウントを作成します。Amazon RDS for Oracleデータベースを登録する場合は、権限スクリプトを-RDSORACLEパラメータとともに必ず実行してください。 データベースでのOracle Data Safeサービス・アカウントの作成および非Autonomous AIデータベースでのOracle Data Safeサービスへのロールの付与
3 Amazon RDS固有リージョンのセキュリティ証明書を追加します。 Amazon RDS固有リージョンのセキュリティ証明書の追加
4 TLS接続のみ: オンプレミス・コネクタを使用している場合は、オンプレミス・コネクタとターゲット・データベースの間の接続を構成します。プライベート・エンドポイントを使用している場合は、ウォレットまたは証明書を作成します。TCP接続を確立している場合は、TLS接続用のウォレットを作成するステップを実行する必要はありません。 ホスト・マシン上のオンプレミス・コネクタとデータベース間のTLS接続の構成またはTLS接続のWalletまたは証明書の作成

ウィザードを実行します。

次のセクションでは、Amazon RDS for Oracle登録ウィザードのワークフローについて詳しく説明します。

ステップ1: ターゲット情報

  1. Oracle Data Safeの「概要」ページで、Amazon RDS for Oracleを検索し、「ウィザードの起動」を選択します。ウィザードは、ステップ1のターゲット情報で開きます。

  2. 「Data Safeターゲット表示名」に、わかりやすいターゲット表示名を入力します。Oracle Data Safeでは、この名前がレポートで使用されます。すべての文字が受け入れられます。最大文字数は255です。

  3. 「コンパートメント」で、ターゲット・データベース・リソースを格納するコンパートメントを選択します。

  4. (オプション)「説明」に、わかりやすい説明を入力します。

  5. 「データベース・サービス名」に、CDBまたはPDBのサービス名を入力します。RDS Amazonコンソールの「構成」タブにあるデータベース名をサービス名として使用できます。

  6. データベースIPアドレス/エンドポイントの場合、Oracleでは、データベースIPアドレスを入力することをお薦めします。このアドレスは、Amazon RDSコンソールの「接続性とセキュリティ」タブにあります。

  7. 「データベース・ポート番号」に、データベース・ポート番号を入力します。この番号は、Amazon RDSコンソールの「接続性とセキュリティ」タブにあります。

  8. 事前登録タスク中にデータベース・ユーザーにロールをまだ付与していない場合は、「権限スクリプトのダウンロード」を選択し、datasafe_privileges.sqlスクリプトをコンピュータに保存します。スクリプトには、これを使用してターゲット・データベースのOracle Data Safeサービス・アカウントに権限を付与する方法の手順が含まれています。詳細は、事前登録タスク非Autonomous AIデータベースでのOracle Data Safeサービスへのロールの付与も参照してください。

  9. 「データベース・ユーザー名」および「データベース・パスワード」に、事前登録タスクで作成したユーザーの名前およびパスワードを入力します。ユーザー名が大文字と小文字が混在している場合は、二重引用符(" ")で囲みます。Oracle Data Safeでは、このアカウントを使用してターゲット・データベースに接続します。

  10. (オプション)テナンシでこのリソースを編成および追跡するタグを追加するには、「タグの追加」を選択します。ネームスペースを選択し、キーを選択して、キー値を入力します。

  11. 「次」を選択します。

ステップ2: 接続オプション

このステップでは、Oracle Data Safeオンプレミス・コネクタまたはOracle Data Safeプライベート・エンドポイントを使用して、Oracle Data SafeをAmazon RDS for Oracleデータベースに接続することを選択します。Oracle Cloud Infrastructureのネットワークと仮想クラウド・ネットワーク(VCN)の間にFastConnectまたはVPN接続が設定されている場合、Oracle Data Safeプライベート・エンドポイントを使用してデータベースをOracle Data Safeに登録できます。

  1. 「接続オプションの選択」で、「オンプレミス・コネクタ」または「プライベート・エンドポイント」を選択します。

  2. 「TCP/TLS」で、ネットワーク・プロトコルとして「TCP」または「TLS」を選択します。

  3. プライベート・エンドポイントおよびTLSを使用している場合は、次を実行します:

    1. 「One way TLS」または「Mutual TLS」を選択します。

    2. 「一方向TLS」を選択した場合は、データベースのトラストストアをPEM、PKCS#12ウォレットまたはJKSウォレット形式でアップロードします。必要に応じてウォレット・パスワードを入力することもできます。このファイルは、ターゲット・データベースでクライアント認証が有効か無効かに関係なく必要です。

    3. 「相互TLS」を選択した場合は、データベースのトラストストアをPEMファイル、PKCS#12ウォレットまたはJKSウォレットでアップロードし、ウォレット・パスワードを入力します。このファイルは、ターゲット・データベースでクライアント認証が有効か無効かに関係なく必要です。ターゲット・データベースでクライアント認証が有効になっている場合は、データベースのキーストアをPEMファイル、PKCS#12ウォレットまたはJKSウォレットという形式でアップロードします。クライアント認証が無効になっている場合、このファイルは必要ありません。

  4. プライベート・エンドポイントまたはオンプレミス・コネクタでTLSを使用している場合は、AWS環境で次を実行します。

    1. SSL接続を有効化するようにSSLオプション・グループを構成します。SSL接続を有効にすると、認証局が表示されます。SSLオプションを有効にする方法を学習するには、AmazonのOracle Secure Sockets Layerおよびオプション・グループの作成を参照してください。

    2. TLS接続を許可するように、Amazon RDSのポート2484のインバウンド・ルール(デフォルトでオープン)を変更します。

  5. 「既存のオンプレミス・コネクタ(またはプライベート・エンドポイント)を使用しますか。」で、「はい」または「いいえ」を切り替えます。

    • 「はい」の場合:オンプレミス・コネクタ(またはプライベート・エンドポイント)が存在するコンパートメントを選択し、オンプレミス・コネクタ(またはプライベート・エンドポイント)を選択します。プライベート・エンドポイントは、オンプレミス・データベースにアクセスできるVCN内に存在する必要があります。

    • いいえ:オンプレミス・コネクタの場合、オンプレミス・コネクタを格納するコンパートメントを選択し、オンプレミス・コネクタの名前を入力し、説明を入力します。プライベート・エンドポイントの場合は、表示名を入力し、プライベート・エンドポイントを格納するコンパートメントを選択し、仮想ネットワーク・コンパートメントおよび仮想クラウド・ネットワークを選択し、サブネット・コンパートメントおよびサブネットを選択し、オプションでプライベートIPアドレスを入力します。

  6. 「次」を選択します。

ステップ3: ピア・データベースの追加

Active Data Guard関連データベースを登録する場合は、このステップでピア・データベースを追加できます。

プライマリ・データベースの登録後にピア・データベースを登録することもできます。登録済Active Data Guardプライマリ・データベースに関連付けられたピア・データベースの追加および管理を参照してください。

  1. Active Data Guard関連データベースを登録していない場合は、「次へ」を選択してこのステップをスキップします。

  2. 追加するピア・データベースごとに、必要に応じて次の情報を指定します。

    • ピア表示名

    • データベースサービス名

    • データベースIPアドレス

    • データベース・ポート番号

    • TCPまたはTLS

    • TLS接続を構成する場合は、TLSタイプ(一方向TLSまたは相互TLS)を選択します。Mutual TLSの場合は、トラストストア・ウォレットをアップロードし、キーストア・ウォレットをアップロードして、ウォレット・パスワードを入力します。One Way TLSの場合は、トラストストア・ウォレットをアップロードし、ウォレット・パスワードを入力します。

  3. 「行の追加」を選択します。

  4. ステップ2と3を繰り返して、さらにピア・データベースを追加します。

  5. 「次」を選択します。

ステップ4: セキュリティ・ルールの追加

このステップは、Oracle Data Safeプライベート・エンドポイントを使用している場合に適用されます。Amazon RDS for OracleデータベースとOracle Data Safeプライベート・エンドポイント間の通信を許可するには、Oracle Cloud Infrastructure (OCI)でエグレス・セキュリティ・ルールを作成する必要があります。ウィザードでルールの作成を許可したり、OCIで手動で作成したり(Amazon RDS for Oracleのセキュリティ・ルールを参照)、使用するセキュリティ・ルールがすでにある場合はこのステップをスキップできます。ターゲット・データベースは、必要なセキュリティ・ルールが構成されるまで、Oracle Data Safeで非アクティブのままです。

ノート

ノート:セキュリティ・リストとネットワーク・セキュリティ・グループの詳細は、Oracle Cloud Infrastructureドキュメントのアクセスおよびセキュリティを参照してください。

  1. セキュリティ・ルール構成をバイパスするには、「いいえ」を選択します。

  2. ウィザードでセキュリティ・ルールを構成できるようにするには、「はい」を選択します。「セキュリティ・リスト」または「ネットワーク・セキュリティ・グループ」を選択し、セキュリティ・リストまたはNSGの名前を選択します。必要に応じてコンパートメントを変更できます。ウィザードにより、追加されるルールが表示されます。

    ノート

    ノート:登録時にピア・データベースを追加すると、データベースおよび各ピア・データベースに同じエグレス・ルールが作成されます。

  3. 「次へ」を選択して、ウィザードで続行します。

ステップ5: 確認と発行

このステップでは、前のステップで入力した構成がウィザードに表示されます。

  1. このページの情報を慎重に確認します。

  2. すべての設定が正しい場合は、「Data Safeの料金がAmazon RDS for Oracleデータベースに適用されることを認めます」チェック・ボックスを選択し、「登録」を選択します。

  3. 変更を加える必要がある場合は、「前へ」を選択して前のステップに戻るか、「閉じる」を選択して取り消します。

ステップ6: 登録の進捗状況

ウィザードで「登録」を選択すると、ターゲット登録の進行状況をモニターできます。各タスクはリストされ、順番に処理されます。エラーが発生した場合は、それらが表示されます。「前へ」を選択すると、前のページに戻って修正できます。

ノート

ノート:ウィザードで「閉じる」ボタンを選択したり、OCIからサインアウトしたり、リストされているすべてのタスクが解決されたことがウィザードに表示されるまでブラウザ・タブを閉じないでください。途中でクローズすると、まだ完了していないすべてのタスクの情報が失われ、ターゲット・データベースは登録されません。

これ以上の作業がない場合、登録が完了し、ウィザードに「ターゲット・データベース情報」ページが表示されます。ここで、登録の詳細を再度確認し、必要に応じて登録後のタスクを完了できます。

Amazon RDS for Oracle Databaseの登録後のタスク

タスク番号 タスク インストラクションへのリンク
1 (Oracle Data Safeオンプレミス・コネクタを使用している場合)オンプレミス・コネクタのインストール・バンドルをダウンロードし、ネットワーク上のホスト・マシンにオンプレミス・コネクタをインストールします。 Oracle Data Safeオンプレミス・コネクタの作成
2 (TLS接続およびOracle Data Safeオンプレミス・コネクタを使用している場合)オンプレミス・コネクタとターゲット・データベースの間のTLS接続を構成します。 ホスト・マシン上のオンプレミス・コネクタとデータベースの間のTLS接続の構成
3 (オプション)アカウントに対するロールの付与/取消しによって、ターゲット・データベースのOracle Data Safeサービス・アカウントに許可される機能を変更します。SYSユーザーである必要があります。 ターゲット・データベースでのOracle Data Safeサービス・アカウントへのロールの付与
4 (オプション) Oracle Cloud Infrastructure Identity and Access Managementでポリシーを構成することで、ターゲット・データベースでOracle Data Safe機能へのアクセス権をユーザーに付与します。 Oracle Data SafeユーザーのIAMポリシーの作成
5 Oracle Data Safeプライベート・エンドポイントまたはOracle Data Safeオンプレミス・コネクタからのターゲット・データベースへのイングレス・トラフィックを許可してください。 (なし)
6 (オンプレミス・コネクタを使用している場合) Oracleの推奨事項: データベースへのアクセスを許可されているクライアントをINVITED_NODESというsqlnet.oraパラメータで指定することで、オンプレミス・クライアントのみがオンプレミスOracleデータベースに接続できることを確認します。 TCP.INVITED_NODES (Oracle AI Database Net Servicesリファレンス・ガイド)