アイデンティティ・コネクタを作成すると、Azure ArcエージェントがExadata VMクラスタ・仮想マシンにインストールされ、Azure Arc対応仮想マシンとして登録されます。

これにより、Arcエージェントによって生成された Azure IDを使用して、Azure Key Management Service (KMS)とのセキュアな通信が可能になります。Azure Arcエージェントは、パブリック ネットワークまたはプライベート接続設定のいずれかを介して Azureサービスと通信できます。Azure Arcの詳細を参照してください。

Azureリソースにアクセスするには、各Exadata VMクラスタでアイデンティティ・コネクタが有効になっている必要があります。アイデンティティ・コネクタは、割り当てられたロールに応じて、Exadata VMクラスタとAzure Key Managementリソースの間でパブリック接続またはプライベート接続を確立します。

現在のAzureアカウントのアクセス・トークンを生成するには、az account get-access-tokenを参照してください。

Oracle Exadata Database Service on Dedicated Infrastructureインタフェースまたはデータベース・マルチクラウド統合インタフェースを使用して、アイデンティティ・コネクタを2つの方法のいずれかで作成できます。

アイデンティティ・コネクタの詳細を表示するには、この手順を使用します。

1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
2. 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。
3. 選択したVMクラスタの名前をクリックします。
4. 表示される「VMクラスタの詳細」ページの「マルチクラウド情報」セクションで、「アイデンティティ・コネクタ」フィールドに、以前に作成したアイデンティティ・コネクタが表示されていることを確認します。
5. アイデンティティ・コネクタの名前をクリックして、その詳細を表示します。

このステップでは、Azure Key Vault統合をサポートするために、必要なライブラリをVMクラスタにインストールします。Exadata VMクラスタでAzure Key Managementを有効にする前に、アイデンティティ・コネクタが作成されていることを確認します。

1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
2. 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。
3. 選択したVMクラスタの名前をクリックします。
4. 表示される「VMクラスタの詳細」ページの「マルチクラウド情報」セクションで、「Azureキー・ストア」の横にある「有効化」リンクをクリックします。
5. 表示される「Azureキー管理の有効化」ダイアログで、「有効化」をクリックして操作を確認します。

   アクションを確認すると、Exadata VMクラスタにライブラリがインストールされます。

   Azureキー・ストアのステータスが「無効」から「有効」に変わります。

6. Azureキー・ストアを無効にするには、「無効化」リンクをクリックします。
7. 表示される「Azureキー管理の無効化」ダイアログで、「無効化」をクリックして操作を確認します。

   Azureキー管理を無効にすると、有効化時にインストールされたライブラリが削除され、それを使用するように構成されたデータベースの可用性に影響します。

Azure Key Vault管理対象HSM、Azure Key Vault PremiumまたはAzure Key Vault Standardを作成し、権限を割り当てます。

詳細は、Azureポータルを使用したキー・ボールトの作成を参照してください。

1. グループを作成し、メンバーを追加します。

   Azureグループを使用すると、リソースに同じアクセスおよび権限を割り当てることで、ユーザーを管理できます。

   • Azureでグループを管理するには、「ユーザー管理者」または「グループ管理者」ロールが必要です。詳細は、Microsoft Entraグループおよびグループ・メンバーシップの管理を参照してください。
   • セキュリティ・グループを作成し、Microsoft Azureポータルからメンバーを追加する必要があります。「セキュリティ」オプションを「グループ・タイプ」として選択する必要があります。詳細は、「基本グループの作成とメンバーの追加」を参照してください
2. Azure Key Vaultのタイプに基づいて、次のロールを割り当てます:
   • 管理対象HSMの場合:
     • IAM: リーダー
     • ローカルRBAC: マネージドHSM暗号責任者+マネージドHSM暗号ユーザー
   • Key Vault PremiumおよびStandard向け
     • IAM : Reader + Key Vault Crypto Officer

詳細なステップは、Azureポータルを使用したAzureロールの割当てを参照してください。

これは、OCIコンソールからAzureキー・ボールトを登録する別の方法です。既存のExadata VMクラスタでのデータベースの作成中にボールトをすでに登録している場合は、このステップをスキップできます。

1. OCIコンソールから、「データベース・マルチクラウド統合」に移動し、「Microsoft Azure統合」を選択します。「Microsoft Azure統合」セクションで、「Azureキー・ボールト」を選択します。
   ノート
   
   登録を成功させるには、Azureポータルのボールトに少なくとも1つのキーを作成する必要があります。
2. 「Azureキー・ボールトの登録」ボタンを選択します。
3. ドロップダウン・リストから、「コンパートメント」を選択します。
4. 「Azureキー・ボールト」セクションで、「コネクタを使用したAzureキー・ボールトの検出」リストから「アイデンティティ・コネクタ」を選択します。
5. 「検出」をクリックします。

   Vault名のリストが表示されます。

6. 「Vault名」の横にあるチェック・ボックスを選択します。
7. リソースのタグを追加する場合は、「拡張オプション」セクションを展開し、「タグの追加」をクリックします。
8. 「登録」をクリックして、ボールトをOCIにローカルに登録します。
9. ボールトを登録すると、リスト内のボールトの「表示名」、「状態」、「タイプ」、「Azureリソース・グループ」および「作成済」の情報を表示できます。
10. 使用しているボールトを選択し、「アイデンティティ・コネクタ・アソシエーション」タブをクリックします。このタブには、現在のコンパートメント内のアイデンティティ・コネクタ・アソシエーションがリストされます。
    ノート
    
    デフォルトのアソシエーションは、ボールト登録プロセス中に使用されるボールトとアイデンティティ・コネクタの間に自動的に作成されます。これにより、その特定のアイデンティティ・コネクタに関連付けられているExadata VMクラスタでボールトを使用できます。

    異なるアイデンティティ・コネクタに登録されている他のクラスタ(つまり、ボールト検出時に使用されるものではない)で同じボールトを使用する場合は、ボールトとそれらの追加のアイデンティティ・コネクタとの間にアソシエーションを明示的に作成する必要があります。

11. 「アソシエーションの作成」をクリックします。
12. ドロップダウン・リストから、「コンパートメント」、「Azureキー・ボールト・アソシエーション名」および「アイデンティティ・コネクタ」を選択します。
13. 「拡張オプション」セクションを展開すると、リソースを編成するためのタグを追加できます。
14. 選択内容を確認して、「作成」をクリックします。

このトピックでは、最初または後続のデータベースの作成について説明します。

1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします
2. コンパートメントを選択します。
3. データベースを作成するクラウドVMクラスタまたはDBシステムに移動します:

   「クラウドVMクラスタ(新しいExadata Cloud Infrastructureリソース・モデル)」: 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。VMクラスタのリストで、アクセスするVMクラスタを検索し、強調表示された名前をクリックしてクラスタの詳細ページを表示します。

   DBシステム: 「Oracleベース・データベース」で、「DBシステム」をクリックします。DBシステムのリストで、アクセスするExadata DBシステムを検索し、その名前をクリックしてその詳細を表示します。

4. 「データベースの作成」をクリックします。
5. 「データベースの作成」ダイアログで、次を入力します:
   ノート
   
   データベースの作成後にdb_name、db_unique_nameおよびSID接頭辞を変更することはできません。
   • データベース名: データベースの名前。データベース名は要件を満たす必要があります:
     • 最大8文字
     • 英数字のみを含みます
     • アルファベットで始まります
     • VMクラスタ上のDB_UNIQUE_NAMEの最初の8文字にすることはできません
     • 次の予約名は使用しないでください: grid、ASM
   • 一意のデータベース名の接尾辞:

     オプションで、DB_UNIQUE_NAMEデータベース・パラメータの値を指定します。この値は大/小文字が区別されません。

     一意の名前は次の要件を満たす必要があります:

     • 最大30文字
     • 英数字またはアンダースコア(_)文字のみを含みます
     • アルファベットで始まります
     • VMクラスタ全体で一意。テナンシ全体で一意にすることをお薦めします。
     指定しない場合は、次のように一意の名称値が自動的に生成されます:

     <db_name>_<3_chars_unique_string>_<region-name>

   • データベース・バージョン: データベースのバージョン。Exadata DBシステムでデータベースのバージョンを混在させることができます。
   • PDB名: (オプション)Oracle Database 12c (12.1.0.2)以降では、プラガブル・データベースの名前を指定できます。PDB名はアルファベットで始まり、最大8文字の英数字を含むことができます。使用できる特殊文字はアンダースコア(_)のみです。

     Oracle Net Servicesを使用してPDBに接続する場合に、サービス名の競合の可能性を回避するには、PDB名がVMクラスタ全体で一意であることを確認します。最初のPDBの名前を指定しない場合、システム生成の名前が使用されます。

   • データベース・ホーム: データベースのOracle Databaseホーム。該当するオプションを選択します:
     • 既存のデータベース・ホームの選択: 「データベース・ホームの表示名」フィールドで、既存のホームから、指定したデータベース・バージョンに対応するデータベース・ホームを選択できます。そのバージョンのデータベース・ホームがない場合は、新しいデータベース・ホームを作成する必要があります。
     • 新規データベース・ホームの作成: このオプションを使用して、Data Guardピア・データベースの新規データベース・ホームをプロビジョニングします

       「データベース・イメージの変更」をクリックして、Oracle公開イメージまたは事前に作成したカスタム・データベース・ソフトウェア・イメージを使用して、イメージ・タイプを選択します:

       • Oracle提供のデータベース・ソフトウェア・イメージ:

         次に、「使用可能なすべてのバージョンの表示」スイッチを使用して、使用可能なすべてのPSUおよびRUから選択できます。各メジャー・バージョンの最新リリースは、「最新」ラベルで示されます。

         ノート
         
         Oracle Cloud Infrastructureで使用可能なOracle Databaseのメジャー・バージョン・リリースについては、現在のバージョンに加え、直近の3つの旧バージョン(NからN - 3まで)のイメージが提供されます。たとえば、インスタンスでOracle Database 19cを使用しており、提供される19cの最新バージョンが19.8.0.0.0である場合、プロビジョニングに使用できるイメージは、バージョン19.8.0.0.0、19.7.0.0、19.6.0.0および19.5.0.0が対象になります。
       • カスタム・データベース・ソフトウェア・イメージ: これらのイメージは、組織によって作成され、ソフトウェアの更新およびパッチのカスタマイズされた構成を含みます。「コンパートメントの選択」、「リージョンの選択」および「データベース・バージョンの選択」セレクタを使用して、カスタム・データベース・ソフトウェア・画像のリストを特定のコンパートメント、リージョンまたはOracle Databaseソフトウェア・メジャー・リリース・バージョンに限定します。

         リージョン・フィルタは、現在接続されているリージョンにデフォルト設定され、そのリージョンで作成されたすべてのソフトウェア・イメージがリストされます。別のリージョンを選択すると、ソフトウェア・イメージ・リストがリフレッシュされ、選択したリージョンで作成されたソフトウェア・イメージが表示されます。

   • 管理者資格証明の作成: (読取り専用)データベース管理者のSYSユーザーは指定したパスワードで作成されます。
     • ユーザー名: SYS
     • パスワード: このユーザーのパスワードを指定します。パスワードは次の条件を満たしている必要があります:

       SYS、SYSTEM、TDEウォレット、およびPDB管理者用に強力なパスワード。パスワードは9から30文字で、大文字、小文字、数字および特殊文字をそれぞれ2つ以上使用する必要があります。特殊文字は、_、#または-である必要があります。パスワードにユーザー名(SYS、SYSTEMなど)を含めることはできません。また、「oracle」という単語は、正順にでも逆順にも、大/小文字の区別のいずれでも含めることができません。

     • パスワードの確認: 指定したSYSパスワードを再度入力します。
     • TDEウォレット・パスワードの使用はオプションです。テナンシのボールトに格納されている顧客管理暗号化キーを使用している場合、TDEウォレット・パスワードはDBシステムに適用されません。「データベースの作成」ダイアログの最後にある「拡張オプションの表示」を使用して、顧客管理キーを構成します。

       顧客管理キーを使用している場合、または別のTDEウォレット・パスワードを指定する場合は、「管理者パスワードをTDEウォレットに使用」ボックスの選択を解除します。顧客管理キーを使用している場合は、TDEパスワード・フィールドを空白のままにします。TDEウォレット・パスワードを手動で設定するには、「TDEウォレット・パスワードの入力」フィールドにパスワードを入力し、「TDEウォレット・パスワードの確認」フィールドにパスワードを入力して確認します。

   • データベース・バックアップの構成:データベースをAutonomous Recovery ServiceまたはObject Storageにバックアップするための設定を指定します:

     • 自動バックアップの有効化: このデータベースで自動増分バックアップを有効にする場合は、このチェック・ボックスを選択します。セキュリティ・ゾーン・コンパートメントにデータベースを作成する場合は、自動バックアップを有効にする必要があります。
     • バックアップの保存先: 選択肢は、「Autonomous リカバリ・サービス」または「オブジェクト・ストレージ」です。
     • バックアップ・スケジューリング:
       • オブジェクト・ストレージ(L0):
         • 完全バックアップ・スケジュール日: 最初と今後のL0バックアップを開始する曜日を選択してください。
         • 完全バックアップ・スケジューリング時間(UTC): 自動のバックアップ機能が選択されている場合に完全バックアップを開始する時間ウィンドウを指定します。

         • 最初のバックアップをただちに取得: 完全バックアップは、Oracle Databaseを構成するすべてのデータファイルおよび制御ファイルのオペレーティング・システム・バックアップです。完全バックアップには、データベースに関連付けられたパラメータ・ファイルも含まれます。データベースが停止しているとき、またはデータベースが開いているとき、データベースの全体バックアップを作成できます。通常は、インスタンス障害やその他の異常な状況の後に完全バックアップを実行しないでください。

           最初の完全バックアップを遅延するように選択した場合、データベースの障害発生時にデータベースをリカバリできなくなる可能性があります。

       • オブジェクト・ストレージ(L1):
         • 増分バックアップ・スケジューリング時間(UTC): 自動のバックアップ機能が選択されている場合に増分バックアップを開始する時間ウィンドウを指定します。
       • 自律型リカバリ・サービス(L0):
         • 最初のバックアップのスケジュール日: 最初のバックアップのスケジュール日を選択します。
         • 最初のバックアップのスケジュール時間(UTC): 最初のバックアップのスケジュール時間ウィンドウを選択します。

         • 最初のバックアップをただちに取得: 完全バックアップは、Oracle Databaseを構成するすべてのデータファイルおよび制御ファイルのオペレーティング・システム・バックアップです。完全バックアップには、データベースに関連付けられたパラメータ・ファイルも含まれます。データベースが停止しているとき、またはデータベースが開いているとき、データベースの全体バックアップを作成できます。通常は、インスタンス障害やその他の異常な状況の後に完全バックアップを実行しないでください。

           最初の完全バックアップを遅延するように選択した場合、データベースの障害発生時にデータベースをリカバリできなくなる可能性があります。

       • 自律型リカバリ・サービス(L1):
         • 日次バックアップのスケジュール時間(UTC): 自動のバックアップ機能が選択されている場合に増分バックアップを開始する時間ウィンドウを示します。
     • データベース終了後の削除オプション: データベースの終了後に、保護されたデータベースのバックアップを保持するために使用できるオプション。これらのオプションは、データベースに偶発的または悪意のある損傷が発生した場合にバックアップからデータベースをリストアする場合にも役立ちます。
       • 保護ポリシーまたはバックアップ保持期間で指定された期間のバックアップの保持: データベースの終了後に、オブジェクト・ストレージ・バックアップ保持期間またはAutonomous Recovery Service保護ポリシーで定義された期間全体にわたってデータベース・バックアップを保持する場合は、このオプションを選択します。
       • 72時間バックアップを保持してから削除: データベースを終了してから72時間バックアップを保持する場合は、このオプションを選択します。

     • バックアップ保存期間/保護ポリシー: 自動バックアップを有効にする場合は、事前設定された保持期間のいずれかを含むポリシー、またはカスタム・ポリシーを選択できます。

       オブジェクト・ストレージ・バックアップの保存期間: 7、15、30、45、60。デフォルト: 30日。増分バックアップは、選択した保持期間が終了すると自動的に削除されます。

       Autonomous Recovery Serviceの保護ポリシー:

       • ブロンズ: 14日
       • シルバー: 35日
       • ゴールド: 65日
       • プラチナ: 95日
       • ユーザーによって定義されたカスタム
       • デフォルト:シルバー- 35日
     • リアルタイムのデータ保護の有効化: リアルタイム保護は、保護されたデータベースから自律型リカバリ・サービスへのREDO変更の継続的な転送ですこれにより、データ損失が少なくなり、リカバリ・ポイント目標(RPO)が0に近くなります。これは追加料金のオプションです。

6. 「拡張オプションの表示」をクリックし、データベースの拡張オプションを指定します:

   • 管理:

     Oracle SID接頭辞: Oracle Databaseインスタンス番号は、SID接頭辞に自動的に追加され、INSTANCE_NAMEデータベース・パラメータが作成されます。INSTANCE_NAMEパラメータはSIDとも呼ばれます。SIDは、クラウドVMクラスタ全体で一意です。指定しない場合、SID接頭辞のデフォルトはdb_nameです。

     ノート
     
     SID接頭辞の入力は、Oracle 12.1以上のデータベースでのみ使用できます。

     SID接頭辞は次の要件を満たす必要があります:

     • 最大12文字
     • 英数字のみを含みますただし、この命名規則では制限されない特殊文字であるアンダースコア(_)を使用できます。
     • アルファベットで始まります
     • VMクラスタ内で一意
     • 次の予約名は使用しないでください: grid、ASM
   • 文字セット: データベースの文字セット。デフォルトはAL32UTF8です。
   • 各国語文字セット: データベースの各国語文字セット。デフォルトはAL16UTF16です。

   • 暗号化:

     Exadata Cloud Service VMクラスタでデータベースを作成する場合、管理する暗号化キーに基づいて暗号化を使用することを選択できます。デフォルトでは、データベースはOracle管理の暗号化キーを使用して構成されます。

     • 管理する暗号化キーに基づく暗号化を使用してデータベースを構成するには:
       ノート
       
       Azureキー管理がVMクラスタ・レベルで無効になっている場合、Oracle Wallet、OCI VaultおよびOracle Key Vaultの3つのキー管理オプションがあります。
       • OCIボールト:
         1. Oracle Cloud Infrastructure Vaultサービスに有効な暗号化キーが必要です。セキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。
            ノート
            
            データベースにはAES-256暗号化キーを使用する必要があります。
         2. 「Vault」を選択します。
         3. マスター暗号化キーを選択します。
         4. 選択したキーの最新バージョン以外のキー・バージョンを指定するには、「キー・バージョンの選択」を選択し、使用するキーのOCIDを「キー・バージョンOCID」フィールドに入力します。
            ノート
            
            キー・バージョンは、そのプラガブル・データベース(PDB)ではなく、コンテナ・データベース(CDB)にのみ割り当てられます。PDBには、自動的に生成された新しいキー・バージョンが割り当てられます。
       • Oracle Key Vault: コンパートメントを選択し、選択したコンパートメントからキー・ストアを選択します。
     • Azure key Vaultをキー管理ソリューションとして使用してデータベースを作成するには:
       ノート
       
       Azureキー管理がVMクラスタ・レベルで有効になっている場合、2つのキー管理オプション(Oracle WalletおよびAzure Key Vault)があります。
       1. 「キー管理」タイプを「Azure Key Vault」として選択します。
       2. コンパートメントで使用可能なVaultを選択します。
          ノート
          
          Vaultリストには、登録済ボールトのみが移入されます。「新しいボールトの登録」リンクをクリックして、ボールトを登録します。Azureキー・ボールトの登録ページでボールトを選択し、「登録」をクリックします。
          ノート
          
          ボールトに少なくとも1つのキーを登録する必要があります。
       3. コンパートメントで使用可能なキーを選択します。
   • タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
7. 「データベースの作成」をクリックします。

データベースの作成が完了すると、ステータスが「プロビジョニング中」から「使用可能」に変わり、新しいデータベースのデータベース詳細ページの「暗号化」セクションに暗号化キー名および暗号化キーOCIDが表示されます。

異なる暗号化方式間で暗号化キーを変更する方法について学習します。

1. OCIコンソールで既存のExadata VMクラスタに移動します。「データベース」タブを選択します。次に、使用するデータベース・リソースを選択します。
2. 「データベース情報」タブを選択し、「キー管理」セクションまでスクロール・ダウンします。
3. 「暗号化」セクションで、「キー管理」が「Oracle Wallet」に設定されていることを確認します。次に、「変更」リンクを選択します。
4. 「キー管理の変更」ページで次の情報を入力します。
   1. ドロップダウン・リストから、「キー管理」に「Azureキー・ボールト」を選択します。
   2. 使用しているVaultコンパートメントを選択し、コンパートメントで使用可能なVaultを選択します。
   3. 使用しているキー・コンパートメントを選択し、ドロップダウン・リストからキーを選択します。
   4. 「変更の保存」をクリックします。

コンテナ・データベース(CDB)のAzureキー・ボールト暗号化キーをローテーションするには、この手順を使用します。

1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
2. コンパートメントを選択します。

   選択したコンパートメントに対するVMクラスタのリストが表示されます。

3. VMクラスタのリストで、暗号化キーをローテーションするデータベースを含むVMクラスタの名前をクリックします。
4. 「データベース」をクリックします。
5. 暗号化キーをローテーションするデータベースの名前をクリックします。

   「データベース詳細」ページに、選択したデータベースに関する情報が表示されます。

6. 「暗号化」セクションで、「キー管理」が「Azure Key Vault」に設定されていることを確認し、「ローテーション」リンクをクリックします。
7. 表示される「キーのローテーション」ダイアログで、「ローテーション」をクリックしてアクションを確認します。

プラガブル・データベース(PDB)のAzureキー・ボールト暗号化キーをローテーションするには、この手順を使用します。

1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
2. コンパートメントを選択します。

   選択したコンパートメントに対するVMクラスタのリストが表示されます。

3. VMクラスタのリストで、起動するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
4. 「データベース」で、暗号化キーをローテーションするPDBを含むデータベースを検索します。
5. データベースの名前をクリックして、「データベース詳細」ページを表示します。
6. ページの、「リソース」セクションの「プラガブル・データベース」をクリックします。

   このデータベース内の既存のPDBのリストが表示されます。

7. 暗号化キーをローテーションするPDBの名前をクリックします。

   プラガブル詳細ページが表示されます。

8. 「暗号化」セクションに、キー管理がAzure Key Vaultとして設定されていることが表示されます。
9. 「ローテーション」リンクをクリックします。
10. 表示される「キーのローテーション」ダイアログで、「ローテーション」をクリックしてアクションを確認します。