ハウツー・ガイド
Exadata Database Service on Dedicated Infrastructureを管理するためのタスクおよび手順のコレクション。
- Oracle Data Safeを使用したデータベース・セキュリティの管理
- Exadata Cloud Infrastructureインスタンスへの接続
このトピックでは、SSHまたはSQL Developerを使用してExadata Cloud Infrastructureに接続する方法について説明します。 - Exadata Cloud Infrastructureの管理
提供されているツールを使用して、インフラストラクチャを管理します。 - Oracle管理インフラストラクチャ・メンテナンスの構成
Oracleは、Exadata Cloud Infrastructure上のすべてのOracle管理インフラストラクチャ・コンポーネントに対する更新を実行します。 - VMクラスタの管理
Exadata Cloud InfrastructureでVMクラスタを管理する方法について学習します。 - ソフトウェア・イメージの管理
- Exadata Cloud InfrastructureシステムでのOracle Databaseホームの作成
Exadata Cloud InfrastructureでのOracle Databaseホームの作成について学習します。 - Exadata Cloud InfrastructureインスタンスでのOracle Databaseホームの管理
Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用して、Oracle Databaseホーム(Oracle Cloud Infrastructureではデータベース・ホームと呼ばれる)の削除または情報の表示を行うことができます。 - Exadata Cloud Infrastructureでのデータベースの管理
- Oracle Exadata Database Service on Dedicated Infrastructureでのデータベースのバックアップおよびリカバリの管理
Oracle Exadata Database Service on Dedicated Infrastructureで提供されるバックアップおよびリカバリ機能を使用する方法について学習します。 - Exadata Cloud Infrastructureシステムのパッチ適用および更新
- 暫定的なソフトウェア更新
認可された環境では、暫定的なソフトウェア更新をダウンロードする方法を学習します。 - Exadata Cloud InfrastructureでのOracle Data Guardの使用
VMクラスタでData Guardグループを構成および管理する方法について学習します。 - Exadata Cloud Infrastructure用のOracle Database機能の構成
このトピックでは、Exadata Cloud Infrastructureインスタンスで使用するためにOracle Multitenant、表領域暗号化およびヒュージ・ページを構成する方法について説明します。 - Exadata Cloud Infrastructure I/Oリソース管理(IORM)の管理
- 外部キーストアを使用したキーの管理
外部キーストアのユースケースおよび実装の詳細を確認します。 - 外部デバイスでの暗号化キーの管理
データベース暗号化キーを格納および管理する方法について学習します。 - Exadata Cloud Infrastructureへの移行
Exadata Cloud Infrastructureを含むOracle Cloud Infrastructureデータベース・サービスにデータベースを移行する方法およびツールに関する一般的なガイダンスは、「クラウドへのデータベースの移行」を参照してください。 - Identity and Access Management (IAM)ユーザーのOracle Exadata Database Service on Dedicated Infrastructureへの接続
Oracle Cloud Infrastructure Identity and Access Management (IAM)認証および認可を使用するようにOracle Exadata Database Service on Dedicated Infrastructureを構成し、IAMユーザーがIAM資格証明を使用してOracle Databaseにアクセスできるようにします。 - Oracle Exadata Database Service on Dedicated InfrastructureでのOracle DatabasesのMicrosoft Entra ID (MS-EI)ユーザーの認証および認可
Oracle Databaseは、Microsoft Entra IDのMicrosoft Azureユーザーがシングル・サインオン認証を使用して接続するように構成できます。 - Oracle Database@Azure上のExadata Database Service用のAzure Key Vault統合
Oracle Database@Azure上のExadata Database Serviceでは、データベースの透過的データ暗号化(TDE)キー(マスター暗号化キー(MEK)とも呼ばれる)をファイルベースのOracleウォレットまたはOCI Vaultに格納できます。 - Oracle Database@Google Cloud上のExadata Database ServiceのGoogle Cloud Key Management統合
Oracle Database@Google Cloud上のExadata Database Serviceでは、Google Cloud PlatformのKey Management Service (KMS)との統合がサポートされるようになりました。 - Oracle Database@AWS上のExadata Database ServiceのAWS Key Management Service統合
Oracle Database@AWS上のExadata Database Serviceは、AWS Key Management Service (KMS)との統合をサポートしています。この機能拡張により、ユーザーは、AWSの顧客管理キーを使用してTransparent Data Encryption (TDE)マスター暗号化キー(MEK)を管理できます。 - Oracle Database Cloud Servicesのデータベース・マルチクラウド統合
- リージョン間Data Guardの有効化
データベースがクラウド・サービス・プロバイダ(CSP)キー管理ソリューションを使用している場合にリージョン間Data Guardを有効にするための前提条件を確認します。
リージョン間のData Guardの有効化
データベースでクラウド・サービス・プロバイダ(CSP)キー管理ソリューションが使用されている場合に、リージョン間Data Guardを有効にするための前提条件を確認します。
現在、Oracleでは、クロスリージョンData Guardの構成時にTransparent Data Encryption (TDE)マスター暗号化キーを管理するために、次のクラウド・サービス・プロバイダのキー管理サービスをサポートしています。
- Microsoft Azure: Azure Key Vault (StandardおよびPremium)および管理対象HSM
- Google Cloud: 顧客管理暗号化キー(CMEK)
- AWS:AWS Key Management Service(KMS)とCloudHSM
- 前提条件
クロスリージョンData Guardを構成する前に、次の要件が満たされていることを確認します。 - リージョン間でのキー・リソースのレプリケート
リージョン間で暗号化リソースをレプリケートする前に、すべての前提条件が満たされていることを確認してください。 - レプリケートされた暗号化リソースの削除
アクティブなアソシエーションまたは依存関係が存在しないことを確認した後にのみ、レプリケートされた暗号化リソースを削除します。 - 暗号化リソース削除のガイドライン
複数のクラウド・サービス・プロバイダ間でレプリケートされた暗号化リソースおよびレプリケートされていない暗号化リソースを削除するためのガイドライン(それらのアソシエーションおよびレプリケーション・ステータスに基づく)。 - レプリケートされた暗号化リソースのライフサイクル状態
レプリケートされた暗号化リソースは、次のいずれかのライフサイクル状態になります。 - Azure、Google CloudおよびAWS Key Management Servicesを使用したデータベースに対するData Guardの有効化
Data Guardを有効にする前に、プライマリ・データベースでキー管理構成を確認します。
親トピック: ハウツー・ガイド
前提条件
クロスリージョンData Guardを構成する前に、次の要件が満たされていることを確認してください。
キー管理とレプリケーションの要件
暗号化キー・リソースは、ソース・リージョンから宛先リージョンにレプリケートする必要があります。使用するキー管理サービスに応じて、ボールト、キー・リングまたは暗号化キーのレプリケートが含まれます。
VMクラスタの構成要件
スタンバイ・データベースをホストするVMクラスタは、次の要件を満たす必要があります。
- アイデンティティ・コネクタを作成する必要があります(Azure Key Vaultの使用時に適用可能)。
- サポートされているサービスの1つを使用して、VMクラスタに対してクラウド・サービス・プロバイダのキー管理を有効にする必要があります:
- Azure Key Vault(AKV)
- Google Cloud Customer-Managed Encryption Keys(CMEK)
- AWS Key Management Service(AWS KMS)
詳細な構成手順については、次のセクションを参照してください。
- Azure Key Vaultをデータベースのキー管理サービスとして構成するための前提条件およびアイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件。
- データベースのキー管理サービスとしてGoogle Cloud Customer-Managed Encryption Keys (CMEK)を構成するための前提条件。
- データベースのキー管理サービスとしてAWS KMSを構成するための前提条件。
追加の災害復旧ガイダンス
マルチクラウド・デプロイメントでのActive Data Guardを使用したクロスリージョン・ディザスタ・リカバリの実装の詳細は、次のソリューション・ガイドを参照してください。
- Oracle Database@AWS上のOracle Exadata Database Service
- Oracle Database@Azure上のOracle Exadata Database Service
- Oracle Database@Google Cloud上のOracle Exadata Database Service
制限
次の制限事項に注意してください:
- ソース・コンテナ・データベースと宛先コンテナ・データベース(CDB)は、同じTDEマスター暗号化キーを使用する必要があります。
- リフレッシュ可能クローンPDBはスタンバイ・データベースではサポートされていません
親トピック: リージョン間のData Guardの有効化
リージョン間での主要リソースの複製
リージョン間で暗号化リソースをレプリケートする前に、すべての前提条件が満たされていることを確認してください。
- ナビゲーション・メニューを開きます。
- 「Oracle AI Database」、「Database Multicloud Integrations」、次のいずれかをクリックします:
- Microsoft Azure統合
- Google Cloud統合
- AWS統合
Azure Key Vaultをレプリケートするには
- 「Azure Key Vaults」をクリックします。
- リストから必要なボールトを選択します。
- 「アクション」メニューから、「Azureキー・ボールトのレプリケート」を選択します。
- ターゲット・リージョンを選択します。
- 「レプリケート」をクリックします。
操作が完了すると、レプリケートされたキー・ボールトの詳細(リージョンとレプリケーションのステータスを含む)を「リージョン間のレプリケーション」タブに表示できます。
GCPキーリングを複製するには
- 「GCPキー・リング」をクリックします。
- リストから必要な鍵リングを選択します。
- 「アクション」メニューから、「GCPキー・リングのレプリケート」を選択します。
- ターゲット・リージョンを選択します。
- 「レプリケート」をクリックします。
操作が完了したら、レプリケートされたキー・リングの詳細(リージョンとレプリケーションのステータスを含む)を「クロスリージョン・レプリケーション」タブに表示できます。
AWSキーをレプリケートするには
- 「AWSキー」をクリックします。
- リストから必要なキーを選択します。
- 「アクション」メニューから、「AWSキーのレプリケート」を選択します。
- ターゲット・リージョンを選択します。
- 「レプリケート」をクリックします。
操作が完了したら、「クロスリージョン・レプリケーション」タブで、リージョンおよびレプリケーション・ステータスなどのレプリケートされたキーの詳細を表示できます。
親トピック: リージョン間のData Guardの有効化
レプリケートされた暗号化リソースの削除
アクティブなアソシエーションまたは依存関係が存在しないことを確認した後にのみ、レプリケートされた暗号化リソースを削除します。
- ナビゲーション・メニューを開きます。
- 「Oracle AI Database」、「Database Multicloud Integrations」、次のいずれかをクリックします:
- Microsoft Azure統合
- Google Cloud統合
- AWS統合
Azure Key Vaultを削除するには
- 「Azure Key Vaults」をクリックします。
- コンパートメントの選択
ボールトのリストが表示されます。
- 関心のあるボールトを選択します。
- 「アクション」メニューから、「削除」を選択します。
- 確認ダイアログ・ボックスで、DELETEと入力してアクションを確認します。
- 「削除」をクリックします。
GCPキーリングを削除するには
- 「GCPキー・リング」をクリックします。
- コンパートメントの選択
GCPキーリングのリストが表示されます。
- 興味のあるキー・リングを選択します。
- 「アクション」メニューから、「削除」を選択します。
- 確認ダイアログ・ボックスで、DELETEと入力してアクションを確認します。
- 「削除」をクリックします。
AWSキーを削除するには
- 「AWSキー」をクリックします。
- コンパートメントの選択
AWSキーのリストが表示されます。
- 興味のあるAWSキーを選択します。
- 「アクション」メニューから、「削除」を選択します。
- 確認ダイアログ・ボックスで、DELETEと入力してアクションを確認します。
- 「削除」をクリックします。
親トピック: リージョン間のData Guardの有効化
暗号化リソースの削除のガイドライン
関連付けおよびレプリケーション・ステータスに基づいて、複数のクラウド・サービス・プロバイダ間でレプリケートされた暗号化リソースおよびレプリケートされていない暗号化リソースを削除するためのガイドライン。
レプリケートされていない暗号化リソース
Azureキー・ボールト
アクティブなアイデンティティ・コネクタ・アソシエーションがある場合、Azure Key Vaultは削除できません。
続行するには:
<REGION>のAzure Key Vault<OCID>を参照するアイデンティティ・コネクタ・アソシエーションを識別します。- アソシエーションを削除するか、依存リソースを別のKey Vaultに再割当てします。
- 削除操作を再試行してください。
Google Cloud KMS (顧客管理暗号化キー、CMEK)
GCPキー・リングにリソースにアクティブに関連付けられているキー(CMEKを使用して作成されたデータベースなど)が含まれている場合、GCPキー・リングは削除できません。
続行するには:
- キー・リングからのキーを現在使用しているリソースを識別します。
- 別の暗号化キーを使用するようにこれらのリソースを再構成するか、依存リソースを削除します。
- すべての関連付けが削除されたら、削除操作を再試行してください。
AWS Key Management Service(AWS KMS)
AWS KMSキーにアクティブなアソシエーションがある場合(AWS KMSを使用して暗号化されたデータベースなど)、AWS KMSキーは削除できません。
AWS KMS鍵はすぐに削除されません。削除をスケジュールする必要があり、必須の待機期間が適用されます。
続行するには:
- KMS鍵で現在暗号化されているリソースを特定します。
- 依存リソースを再構成または削除します。
- すべての依存関係が削除されたら、鍵を削除するようにスケジュールします。
要点
- 削除を試みる前に、常にアクティブな関連付けを確認してください。
- プライマリ・リージョンとスタンバイ・リージョンにアソシエーションが存在する可能性があるため、レプリケートされたリソースには追加の注意が必要です。
- レプリケートされていないリソースは、クラウド・プロバイダ固有のルールに従い、依存関係がクリアされるまで削除できません。
レプリケートされた暗号化リソース
レプリケートされた暗号化リソースは、プライマリ・リージョンまたはスタンバイ・リージョンから削除できます。
- プライマリ・リージョンからの削除:
リソースはプライマリ・リージョンから削除され、関連付けられたすべてのスタンバイ(レプリケート)リージョンから自動的に削除されます。
- スタンバイ・リージョンからの削除:
リソースは、選択したスタンバイ・リージョンからのみ削除されます。リソースは、プライマリ・リージョンおよび他のスタンバイ・リージョンでは変更されません。
親トピック: リージョン間のData Guardの有効化
レプリケートされた暗号化リソースのライフサイクル状態
レプリケートされた暗号化リソースは、次のいずれかのライフサイクル状態になります。
- 作成中:レプリケートされた暗号化リソースを作成中です。
- ACTIVE:レプリケートされた暗号化リソースが正常に作成され、操作可能です。
- 更新:レプリケートされた暗号化リソースは変更中です。
- 削除:レプリケートされた暗号化リソースは削除中です。
- 削除済:レプリケートされた暗号化リソースは削除され、使用できなくなりました。
- FAILED:レプリケートされた暗号化リソース操作に失敗しました。詳細は、関連するログまたはエラー・メッセージを確認してください。
親トピック: リージョン間のData Guardの有効化
Azure、Google CloudおよびAWS Key Management Servicesを使用したデータベースに対するData Guardの有効化
Data Guardを有効にする前に、プライマリ・データベースのキー管理構成を確認します。
- Data Guardを有効にする予定のプライマリ・データベースの「データベース詳細」ページにナビゲートします。
- 「暗号化」セクションで、「キー管理」の値を確認します。
構成したキー管理サービスに基づいて値を確認します。
- Azure Key Vaultを使用している場合
- キー管理: Azure Key Vault
- Vault: Vault名
- キー: キー値
- Google Cloud CMEKをご利用の場合
- Key Management: GCP Customer-Managed Encryption Key (CMEK)
- キーリング: キーリング値
- キー: キー値
- AWS KMSを使用する場合
- キー管理: AWS Customer-Managed Key (CMK)
- キー: キー値
汎用のData Guard有効化プロシージャについては、Exadata Cloud InfrastructureシステムでData Guardを有効化するにはを参照してください。
親トピック: リージョン間のData Guardの有効化