外部キーストアを使用したキーの管理

この構成プロセスは、外部キーストアを使用して、Exadataシステム上のデータベースの暗号化キーを管理および保護するために重要です。シームレスな運用のために、適切なインストール、パスワード構成、および通信設定を保証します。

外部キーストア・サーバーのインストール:ベンダーが提供するドキュメントを使用して、外部キーストア・サーバーをインストールおよび構成する責任があります。

外部キーストア・パスワードの形式:外部キーストア・パスワードの形式は、プロバイダによって異なります。

ネットワーク構成:次の方法で、ゲストVMと外部キーストア・サーバーの間に接続が確立されていることを確認します:

• 必要なネットワークを設定します。
• 必要なポートを開く。
• 外部キーストア・ベンダーによって指定されたプロトコルの有効化。

PKCS#11ライブラリのインストール:外部キーストア・ベンダーのドキュメントに従って、PKCS#11関連のソフトウェアをインストールし、PKCS#11ライブラリをVMに構成します。

制限事項:

• ゲストVMには、一度に1つのベンダーPKCS#11ライブラリのみ存在できます。
• 外部キーストア・インタフェースを使用して、Oracle Exadata Database Service on Dedicated Infrastructure上のOracle Databasesにキーを関連付けることはできません。
• 外部キーストア・インタフェースでは、データベースに関連付けられたキーを表示できますが、インタフェースから直接キー管理操作を実行できない場合があります。

通信の検証: PKCS#11ライブラリが外部キーストアと正常に通信できることを確認します。クラウド自動化では、この接続を検証するための事前チェックは実行されないことに注意してください。キーにアクセスできない場合、データベースは関連する詳細とともにエラーを返します。

外部キーストアにマスター暗号化キー(MEK)を格納することで、Oracle Exadata Database Service on Dedicated Infrastructure上のOracle Databasesを暗号化できるようになりました。

適用可能なデータベースのバージョン: 23aiおよび19c

データベースをプロビジョニングする場合、様々なキー管理ソリューション(Oracleソフトウェア・キーストア、Oracle Key Vault (OKV)または外部キーストア)から選択できます。

• 選択したキー管理ソリューションは、コンテナ・データベース(CDB)全体と、その中に含まれるすべてのプラガブル・データベース(PDB)に適用されます。CDBが外部キーストアを使用するように構成されている場合、関連するすべてのPDBも外部キーストアを使用します。PDBレベルで異なるキー管理ソリューションを選択することはできません。
• キー管理ソリューションはCDBとそのPDB間で一貫している必要がありますが、同じCDB内の異なるPDBでは異なる暗号化キーを使用できるため、PDB全体のキー使用を柔軟に行うことができます。

この機能により、機密暗号化キーが外部キーストアに安全に格納され、データベースのセキュリティ・レイヤーが追加されます。

詳細は、https://support.oracle.com/support/?kmExternalId=FAQ2403を参照してください。

データベースが外部キーストアによって保護されている場合、クラスタへの新しい仮想マシン(VM)の追加は制限されます。

VMクラスタ上の1つ以上のデータベースが外部キーストアを使用して構成されている場合は、次のメッセージが表示されます。

While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM.