外部キーストアを使用したキーの管理
外部キーストアのユースケースおよび実装の詳細を確認します。
- 外部キーストアの構成
この構成プロセスは、外部キーストアを使用してExadataシステム上のデータベースの暗号化キーを管理および保護するために重要です。シームレスな操作のために適切なインストール、パスワード構成および通信設定を確実に行います。 - 外部キーストアへのキーの格納
Oracle Exadata Database Service on Cloud@Customerでキーを外部キーストアに格納することで、Oracle Databasesを暗号化できるようになりました。 - 外部キーストアで構成されたVMクラスタへの仮想マシンの追加に関する制限
データベースが外部キーストアによって保護されている場合、クラスタへの新しい仮想マシン(VM)の追加は制限されます。
親トピック: ハウツー・ガイド
外部キーストアの構成
この構成プロセスは、外部キーストアを使用して、Exadataシステム上のデータベースの暗号化キーを管理および保護するために重要です。シームレスな操作のために適切なインストール、パスワード構成および通信設定を確実に行います。
詳細な構成ステップについては、外部キーストア・ベンダーと連携してください。次に示す詳細は、外部キーストアの構成に必要な一般的なステップの概要を示しています。
外部キーストア・サーバーのインストール:ベンダーが提供するドキュメントを使用して、外部キーストア・サーバーをインストールおよび構成する責任があります。
外部キーストア・パスワードの形式:外部キーストア・パスワードの形式は、プロバイダによって異なります。
ネットワーク構成:次の方法で、ゲストVMと外部キーストア・サーバーの間に接続が確立されていることを確認します:
- 必要なネットワークを設定します。
- 必要なポートを開きます。
- 外部キーストア・ベンダーによって指定されたプロトコルの有効化。
PKCS#11ライブラリのインストール: PKCS#11関連のソフトウェアをインストールし、外部キーストア・ベンダーのドキュメントに従って、仮想マシン上のPKCS#11ライブラリを構成します。
制限事項:
- ゲストVMには、一度に1つのベンダーPKCS#11ライブラリのみが存在できます。
- 外部キーストア・インタフェースを使用して、Oracle Exadata Database Service on Cloud@Customer上のOracle Databasesにキーを関連付けることはできません。
- 外部キーストア・インタフェースではデータベースに関連付けられているキーを表示できますが、インタフェースから直接キー管理操作を実行することはサポートされていない場合があります。
通信検証: PKCS#11ライブラリが外部キーストアと正常に通信できることを確認します。クラウド自動化では、この接続を検証するための事前チェックは実行されないことに注意してください。キーにアクセスできない場合、データベースは関連する詳細を示すエラーを返します。
詳細は、https://support.oracle.com/support/?kmExternalId=FAQ2403を参照してください。
親トピック: 外部キーストアを使用したキーの管理
外部キーストアへのキーの格納
鍵を外部キーストアに格納することで、Oracle Exadata Database Service on Cloud@Customer上のOracle Databasesを暗号化できるようになりました。
適用可能なデータベース・バージョン: 23aiおよび19c
データベースをプロビジョニングする場合、様々なキー管理ソリューション(Oracleソフトウェア・キーストア、Oracle Key Vault (OKV)または外部キーストア)から選択できます。
- 選択したキー管理ソリューションは、コンテナ・データベース(CDB)全体と、その中に含まれるすべてのプラガブル・データベース(PDB)に適用されます。CDBが外部キーストアを使用するように構成されている場合、関連付けられたすべてのPDBも外部キーストアを使用します。PDBレベルで異なるキー管理ソリューションを選択することはできません。
- 鍵管理ソリューションはCDBとそのPDB全体で一貫している必要がありますが、同じCDB内の異なるPDBでは異なる暗号化キーを使用できるため、PDB全体でのキーの使用が柔軟になります。
この機能により、機密性の高い暗号化キーが外部キーストアに安全に格納され、データベースのセキュリティ・レイヤーが追加されます。
親トピック: 外部キーストアを使用したキーの管理
外部キーストアで構成されたVMクラスタへの仮想マシンの追加に関する制限
データベースが外部キーストアによって保護されている場合、クラスタへの新しい仮想マシン(VM)の追加は制限されます。
VMクラスタ上の1つ以上のデータベースが外部キーストアで構成されている場合、次のメッセージが表示されます:
"While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM."
親トピック: 外部キーストアを使用したキーの管理