マスター暗号化キー・ウォレットの管理

マスター暗号化キーを使用して、他のGoldenGateデプロイメントに配布された証跡ファイルを暗号化します。次に、マスター暗号化キー・ウォレットをインポートおよびエクスポートして、他のソースおよびターゲットのOCI GoldenGateデプロイメントで使用できます。

ノート

この情報は、データ・レプリケーション・デプロイメントにのみ適用されます。

Oracle GoldenGateでマスター・キーが作成されると、GoldenGateでトレイル・ファイルが作成されるたびに、トレイル・コンテンツを暗号化する新しい暗号化キーが自動的に生成されます。マスター・キーは、暗号化キーを暗号化します。

開始する前に

次があることを確認します。

Vaultサービスおよび作成されたVaultへのアクセス
ノート

仮想プライベート・ボールトは必要ありません。
Vaultサービスを使用するためのOCI GoldenGateの最小限必要なポリシーの追加
Vaultで作成されたマスター暗号化キー
ノート

サポートされるのは、AES、ソフトウェア保護キーまたはHSMキーのみです。RSAおよびECDSAはサポートされていません。

デプロイメント・コンソールにマスター・キーを追加します。

GoldenGateデプロイメント・コンソールにマスター・キーを追加するには:

「デプロイメントの詳細」ページからGoldenGateデプロイメント・コンソールを起動します。
GoldenGate管理ユーザーとしてログインします。
ログインしたら、ナビゲーション・メニューを開き、「構成」、「キー管理」の順にクリックします。
「キー管理」ページの「マスター・キー」で、「マスター・キーの追加」(プラス・アイコン)をクリックします。

リストに新しいマスター・キーが表示されます。

OCI GoldenGateデプロイメントからのマスター暗号化キー・ウォレットのエクスポート

マスター・キーがソース・デプロイメントに追加されている場合は、必ずエクスポートしてターゲット・デプロイメントにインポートしてください。

マスター暗号化キー・ウォレットをエクスポートするには:

「デプロイメント」ページで、マスター暗号化キー・ウォレットのエクスポート元となるデプロイメントを選択します。
デプロイメントの詳細ページの「リソース」で、「マスター暗号化キー・アクション」をクリックします。
「エクスポート」をクリックします。
「エクスポート」ダイアログで:
1. 「名前」に、マスター暗号化キー・ウォレットの名前を入力します。
2. (オプション)ウォレット・リスト内の他のユーザーとの区別に役立つ説明を入力します。
3. ドロップダウンからコンパートメントを選択します。
4. 「<compartment-name>のVault」で、マスター暗号化キー・ウォレットをエクスポートするボールトを選択します。別のコンパートメントを選択するには、「コンパートメントの変更」をクリックします。
5. 「<compartment name>の暗号化キー」で、使用する適切な暗号化キーを選択します。別のコンパートメントを選択するには、「コンパートメントの変更」をクリックします。
「エクスポート」をクリックします。

オンプレミスのOracle GoldenGateインスタンスからのマスター・キー暗号化ウォレットのエクスポート

マスター・キーがソース(オンプレミスまたはマーケットプレイス)のOracle GoldenGateインスタンスに追加される場合は、base64でcwallet.ssoをエンコードしてから、それをOCI Vaultシークレットにコピーします。

オンプレミスのOracle GoldenGateインスタンスからマスター暗号化キー・ウォレットをエクスポートするには:

オンプレミスのOracle GoldenGateインスタンスにSSH接続します。
ディレクトリをウォレット(cwallet.sso)が存在する場所に変更します。

ノート

Oracleでは、cwallet.ssoのコピーを使用して作業することをお薦めします。
Base64は、次のコマンドを使用してcwallet.ssoをエンコードします。
```
base64 -w 0 cwallet.sso
```
出力文字列をコピーします。
Oracle Cloudコンソールで、ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順に選択します。
「ボールト」ページで、ボールトを選択します。
「Vaultの詳細」ページの「リソース」で、「シークレット」、「シークレットの作成」の順にクリックします。
「シークレットの作成」パネルで、次のようにフィールドに入力します:
1. 「コンパートメントに作成」で、シークレットを作成するコンパートメントを選択します。
2. シークレットの「名前」を入力します。
3. (オプション)シークレットの「説明」を入力します。
4. 「<compartment-name>の暗号化キー」で、「開始する前に」ステップで作成したマスター暗号化キーを選択します。「コンパートメントの変更」をクリックして、別のコンパートメントにあるマスター暗号化キーを選択します。
5. 「シークレット・タイプ・テンプレート」で、「プレーン・テキスト」を選択します。
6. 「シークレット・コンテンツ」に、ステップ3のcwallet.sso base64エンコード文字列を貼り付けます。
「シークレットの作成」をクリックします。

「シークレット」リストにシークレットが表示されます。これで、マスター暗号化キー・ウォレットをターゲットOCI GoldenGateデプロイメントにインポートし、このシークレットを選択できます。

デプロイメントへのマスター暗号化キー・ウォレットのインポート

マスター暗号化キー・ウォレットをインポートするには:

「デプロイメント」ページで、マスター暗号化キー・ウォレットをインポートするデプロイメントを選択します。
デプロイメントの詳細ページの「リソース」で、「マスター暗号化キー・ウォレット・アクション」をクリックします。
「インポート」をクリックします。
「インポート」ダイアログで:
1. 「<compartment-name>のWalletシークレット」で、インポートするウォレット・シークレットを選択します。別のコンパートメントからウォレット・シークレットを選択するには、「コンパートメントの変更」をクリックします。
2. (オプション)「既存のウォレットのバックアップ」を選択して...
  選択した場合、「バックアップ・ウォレット」で:
  1. 「名前」に、バックアップ・ウォレットの名前を入力します。
  2. 説明を入力します。(オプション)
  3. 「<compartment-name>の暗号化キー」で、使用する暗号化キーを選択します。別のコンパートメントにある暗号化キーを選択するには、「コンパートメントの変更」をクリックします。
「インポート」をクリックします。

オンプレミスのGoldenGateインスタンスへのマスター暗号化キー・ウォレットのインポート

ソースOCI GoldenGateデプロイメントのマスター暗号化キー・ウォレットをエクスポートしたことを確認します。

マスター暗号化キー・ウォレットをオンプレミスのGoldenGateインスタンスにインポートするには:

OCIのGoldenGate「デプロイメント」ページで、ソース・デプロイメントを選択します。
デプロイメントの詳細ページの「リソース」で、「マスター暗号化キー・ウォレット・アクション」をクリックします。
「マスター暗号化キー・ウォレット・アクション」リストで、エクスポートされたウォレットを選択します。Vaultの「シークレットの詳細」ページに移動します。
シークレットの詳細ページの「バージョン」で、「アクション」メニュー(省略記号アイコン)を開き、「シークレット・コンテンツの表示」を選択します。
「シークレット・コンテンツの表示」ダイアログで、「デコードされたBase64桁の表示」を選択します。
テキスト領域の内容をコピーします。
オンプレミスまたはマーケットプレイスのOracle GoldenGateインスタンスにSSHで接続します。
新しいテキスト・ファイル(viまたはその他のテキスト・エディタ)を作成し、シークレットの内容をファイルに貼り付けます。
作成したファイルに対してBase64コマンドを実行します(<filename>をテキスト・ファイルの名前に置き換えます)。
```
base64 -d <filename> > cwallet.sso
```
cwallet.ssoをコピーするか、GoldenGateウォレット・ディレクトリに移動します。

Replicatを追加して実行し、ソースOCI GoldenGateデプロイメントから送信された暗号化された証跡ファイルを受信できるようになりました。

Oracle Cloud Infrastructureドキュメント