専用Exadataインフラストラクチャ上のAutonomous AI Databaseのマスター暗号化キー

デフォルトでは、Autonomous AI Database on Dedicated Exadata Infrastructureによって、データの保護に使用されるすべてのマスター暗号化キーが作成および管理され、データベースが存在するのと同じExadataシステム上のセキュアなPKCS 12キーストアに保存されます。これらは、Oracle管理暗号化キーと呼ばれます。

Oracleでは、Oracleマネージド・キーを使用して、キーのライフサイクル全体がOracleマネージド・メタ・データとして確保されます。Exadata Cloud@Customerデプロイメントでは、バックアップへのアクセスは共有の責任であり、お客様は、Oracle APIが内部キー管理ライフサイクル操作と連携できるように、データベース環境とバックアップ・ファイルのアクセシビリティを確保する必要があります。

会社のセキュリティ・ポリシーで必要な場合、Autonomous AI Databaseでは、かわりにOracle Key Storeを使用して作成および管理するキーを使用できます。Oracle Public Cloudデプロイメントでは、Oracle Cloud Infrastructure Vaultサービスを使用してキーを作成および管理することもできます。Oracle Cloudまたはサードパーティのクラウド・オンプレミスの外部にキーを格納するための規制コンプライアンスを持つお客様は、外部キー管理サービス(外部KMS)を使用できます。

OCI Vaultサービスを使用して顧客管理キーを作成する場合、Vaultサービスでキー・マテリアルを内部で生成するのではなく、独自のキー・マテリアル(Bring Your Own KeyまたはBYOK)をインポートすることもできます。

注意: Oracle Key Vault (OKV)に格納された顧客管理キーはデータベース・ホストの外部にあるため、そのキーを使用してOKVがデータベースにアクセスできないようにする構成の変更または中断によって、データにアクセスできなくなります。

Oracle Database@AWS上のAutonomous AI Databaseでは、AWS Key Management Service (AWS KMS)を使用してマスター暗号化キーを管理できます。

さらに、Oracle管理キーまたは顧客管理キーのどちらを使用するかに関係なく、会社のセキュリティ・ポリシーを遵守するために、既存のデータベースで使用されるキーを必要に応じてローテーションできます。詳細は、Rotate the Encryption Keysを参照してください。

始める前に: コンパートメント階層のベスト・プラクティス

Oracleでは、専用インフラストラクチャにAutonomous AI Databaseデプロイメント用のコンパートメント階層を次のように作成することをお薦めします。

• デプロイメント全体に対する「親」コンパートメント

• 各種リソースそれぞれに対する「子」コンパートメント:

  • Autonomous AI Database

  • Autonomous Container Databaseおよびインフラストラクチャ・リソース(ExadataインフラストラクチャおよびAutonomous Exadata VMクラスタ)

  • VCN (仮想クラウド・ネットワーク)およびそのサブネット

  • 顧客管理キーを含むボールト

キーへのAutonomous AI Databaseアクセス権を付与するために作成するポリシー・ステートメントは、ボールトおよびそのキーを含むパーティションより上位のコンパートメント階層のポリシーのポリシーに追加する必要があるため、顧客管理キーを使用する際にこのベスト・プラクティスに従うことは特に重要です。

Vaultサービスで顧客管理鍵を使用する

Vaultサービスに格納された顧客管理キーを使用する前に、ボールトおよびマスター暗号化キーを作成する準備構成タスクを多数実行してから、そのボールトおよびそのキーをAutonomous AI Databaseで使用できるようにする必要があります。具体的には:

1. Oracle Cloud Infrastructureドキュメントの新しいボールトを作成するにはの手順に従って、Vaultサービスでボールトを作成します。これらの手順に従う場合、Oracleでは、顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメントにボールトのを作成することをお薦めします。
   
   ボールトの作成後、Oracle Cloud Infrastructureドキュメントの新しいマスター暗号化キーを作成するにはの手順に従って、ボールトに少なくとも1つのマスター暗号化キーを作成できます。これらの手順に従う際には、次の選択を行います:

   • コンパートメントに作成: Oracleでは、ボールトと同じコンパートメント(顧客管理キーを含むボールトを含むように特別に作成されたコンパートメント)にマスター暗号化キーを作成することをお薦めします。

   • 保護モード: ドロップダウン・リストから適切な値を選択します:

     • HSM: ハードウェア・セキュリティ・モジュール(HSM)で格納および処理されるマスター暗号化キーを作成します。

     • ソフトウェア: Vaultサービスのソフトウェア・ファイル・システムに格納されるマスター暗号化キーを作成します。ソフトウェアで保護されたキーは、保存時にHSMベースのルート・キーを使用して保護されます。ソフトウェア・キーは、他のキー管理デバイスまたは別のOCIクラウド・リージョンにエクスポートできます。HSMキーとは異なり、ソフトウェアで保護されたキーはコストがかかりません。

   • キー・シェイプ・アルゴリズム: AES

   • キー・シェイプの長さ: 256ビット

   ノート:既存のボールトに暗号化キーを追加することもできます。

2. ネットワーキング・サービスを使用して、Autonomous AI Databaseリソースが存在するVCN (Virtual Cloud Network)およびサブネットにサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを作成します。

3. IAMサービスを使用して、Autonomous AI Databaseリソースを識別する動的グループを作成し、作成したマスター暗号化キーへのアクセス権その動的グループに付与するポリシー・ステートメントを使用します。

   ヒント:これらの手順を示す代替手段を試してみるには、セキュリティ管理者専用Oracle Autonomous AI DatabaseのLab 17: Customer Controlled Database Encryption Keysを参照してください。

前述のステップを使用して顧客管理キーを構成した後、Autonomous Container Database (ACD)のプロビジョニング中、またはACDまたはAutonomous AI Databaseの「詳細」ページから既存の暗号化キーをローテーションすることで、このキーを構成できます。このACDにプロビジョニングされたAutonomous AIデータベースは、これらの暗号化キーを自動的に継承します。詳細は、Autonomous Container Databaseの作成またはAutonomous Container Databaseの暗号化鍵のローテーションを参照してください。

クロスリージョンAutonomous Data Guardを有効にする場合は、まず、スタンバイ・データベースを追加するリージョンにOCIボールトをレプリケートする必要があります。詳細は、ボールトおよびキーのレプリケートを参照してください。

ノート:クロスリージョン・ボールト・レプリケーション機能が導入される前に作成された仮想ボールトは、リージョン間でレプリケートできません。別のリージョンでレプリケートする必要のあるボールトがあり、そのボールトでレプリケーションがサポートされていない場合、新しいボールトおよび新しいキーを作成します。ただし、すべてのプライベート・ボールトはリージョン間レプリケーションをサポートしています。詳細は、仮想ボールトのクロス・リージョン・レプリケーションを参照してください。

Vaultサービスでの独自のキーの取得(BYOK)の使用

適用対象: Oracle Public Cloudのみ

OCI Vaultサービスを使用して顧客管理キーを作成する場合、Vaultサービスがキー・マテリアルを内部で生成するのではなく、独自のキー・マテリアル(独自のキーまたはBYOKの持込み)をインポートすることもできます。

Vaultサービス内に独自のキーを導入する前に、いくつかの準備構成タスクを実行してボールトおよびマスター暗号化キーを作成し、そのボールトとそのキーをAutonomous AI Databaseで使用できるようにする必要があります。具体的には:

1. Oracle Cloud Infrastructureドキュメントの新しいボールトを作成するにはの手順に従って、Vaultサービスでボールトを作成します。これらの手順に従う場合、Oracleでは、顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメントにボールトのを作成することをお薦めします。

   ボールトの作成後、ボールトに少なくとも1つのマスター暗号化キーを作成するには、Oracle Cloud Infrastructureドキュメントの新しいマスター暗号化キーを作成するにはの手順に従って、ボールト内に少なくとも1つのマスター暗号化キーを作成できます。顧客暗号化キーを既存のボールトにインポートすることもできます。これらの手順に従う際には、次の選択を行います:

   • コンパートメントに作成: Oracleでは、ボールトと同じコンパートメント(顧客管理キーを含むボールトを含むように特別に作成されたコンパートメント)にマスター暗号化キーを作成することをお薦めします。

   • 保護モード: ドロップダウン・リストから適切な値を選択します:

     • HSM: ハードウェア・セキュリティ・モジュール(HSM)で格納および処理されるマスター暗号化キーを作成します。

     • ソフトウェア: Vaultサービスのソフトウェア・ファイル・システムに格納されるマスター暗号化キーを作成します。ソフトウェアで保護されたキーは、保存時にHSMベースのルート・キーを使用して保護されます。ソフトウェア・キーは、他のキー管理デバイスまたは別のOCIクラウド・リージョンにエクスポートできます。HSMキーとは異なり、ソフトウェアで保護されたキーはコストがかかりません。

   • キー・シェイプ・アルゴリズム: AES

   • キー・シェイプの長さ: 256ビット

   • 外部キーのインポート:顧客暗号化キー(BYOK)を使用するには、「外部キーのインポート」を選択し、次の詳細を指定します:

     • ラッピング・キー情報このセクションは読取り専用ですが、公開ラッピング・キーの詳細を表示できます。

     • ラッピング・アルゴリズムドロップダウン・リストでラッピング・アルゴリズムを選択します。

     • 外部キーのデータ・ソースラップされたRSAキー・マテリアルを含むファイルをアップロードします。

     ノート:キー・マテリアルを新しい外部キー・バージョンとしてインポートするか、既存のマスター暗号化キーの名前をクリックして新しいキー・バージョンにローテーションできます。詳細は、「外部キー・バージョンとしてのキー・マテリアルのインポート」を参照してください。

2. ネットワーキング・サービスを使用して、Autonomous AI Databaseリソースが存在するVCN (Virtual Cloud Network)およびサブネットにサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを作成します。

3. IAMサービスを使用して、Autonomous AI Databaseリソースを識別する動的グループを作成し、作成したマスター暗号化キーへのアクセス権その動的グループに付与するポリシー・ステートメントを使用します。

前述のステップを使用して顧客管理BYOKを構成した後、Autonomous Container DatabaseまたはAutonomous AI Databaseの「詳細」ページから既存の暗号化キーをローテーションすることで、これを使用できます。詳細は、Autonomous Container Databaseの暗号化キーのローテーションを参照してください。

OCI外部キー管理サービス(OCI EKMS)からの外部キーの使用

適用先: Oracle Public Cloudのみ

OCI EKMSの外部キーを使用する前に、いくつかの準備構成タスクを実行してボールトを作成し、そのボールトとそのキーをAutonomous AI Databaseで使用できるようにする必要があります。

OCI EKMSでは、OCI外部でホストされるサードパーティのキー管理システムにマスター暗号化キーを(外部キーとして)格納および制御できます。これは、データ・セキュリティの強化、またはOracle Public Cloudまたはサードパーティのクラウド・プレミス外にキーを格納するための規制コンプライアンスがある場合に使用できます。サードパーティのキー管理システムに存在する実際のキーでは、OCIにキー参照のみを作成します。

1. OCI EKMSでキー参照を保持するボールトを作成および管理できます。OCI EKMSのキーは、Oracle Public Cloudにデプロイされた専用Exadataインフラストラクチャ上のAutonomous AI Databaseで使用できます。詳細は、OCI EKMSでのボールトの作成を参照してください。これらの手順に従う際には、次の選択を行います:

   • コンパートメントに作成: OCI EKMSボールトのコンパートメントを選択します

   • IDCSアカウント名のURL: KMSサービスへのアクセスに使用する認証URLを入力します。コンソールは、サインイン画面にリダイレクトされます。

   • キー管理ベンダー: キー管理サービスをデプロイするサード・パーティ・ベンダーを選択します。現在、OCI KMSでは、外部キー管理ベンダーとしてThalesのみがサポートされています。

   • クライアント・アプリケーションID: Oracle Identity Domainに機密クライアント・アプリケーションを登録するときに生成されるOCI KMSクライアントIDを入力します。

   • クライアント・アプリケーション・シークレット: Oracle Identity Domainに登録されている機密クライアント・アプリケーションのシークレットIDを入力します。

   • コンパートメント内のプライベート・エンドポイント: 外部キー管理のプライベート・エンドポイントGUIDを選択します。

   • 外部Vault URL: 外部キー管理でボールトを作成したときに生成されたボールトURLを入力します。

2. ネットワーキング・サービスを使用して、Autonomous AI Databaseリソースが存在するVCN (Virtual Cloud Network)およびサブネットにサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを作成します。

3. IAMサービスを使用して、Autonomous AI Databaseリソースを識別する動的グループを作成し、作成したマスター暗号化キーへのアクセス権その動的グループに付与するポリシー・ステートメントを使用します。

AWS KMSでの顧客管理キーの使用

Oracle Database@AWS上のAutonomous AI Databaseでは、AWS Key Management Service (AWS KMS)を使用してマスター暗号化キーを管理できます。

AWS KMSで顧客管理キーを使用する前に、AVMCレベルでAWSキー管理を有効にする必要があります。AVMCの作成後、「AVMCの詳細」ページからAWS KMSを有効にするオプションがあります。AVMCが空で、ACDがないかぎり、AVMCの詳細ページからAWS KMSキー管理構成を無効にするオプションがあります。ACDの作成中に、AWS KMSキーをキー・タイプとして選択できます。

サービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールの作成

Oracle Cloud Infrastructure (OCI) Service Gatewayは、仮想クラウド・ネットワーク(VCN)内またはオンプレミス・ネットワーク内から、インターネットを経由せずに、単一のゲートウェイを介して同時に複数のOracle Cloudサービスへのプライベートでセキュアなアクセスを提供します。

Oracle Cloud Infrastructureドキュメントのタスク1: サービス・ゲートウェイの作成の手順に従って、Autonomous AI Databaseリソースが存在するVCN (Virtual Cloud Network)にサービス・ゲートウェイを作成します。

サービス・ゲートウェイを作成した後、Autonomous AI Databaseリソースが存在する各サブネット(VCN内)にルート・ルールおよびエグレス・セキュリティ・ルールを追加して、これらのリソースがゲートウェイを使用してVaultサービスにアクセスできるようにします:

1. サブネットの「サブネットの詳細」ページに移動します。

2. 「サブネット情報」タブで、サブネットの「ルート表」の名前をクリックして、その「ルート表の詳細」ページを表示します。

3. 既存のルート・ルールの表では、次の特性を持つルールがすでに存在するかどうかを確認します:

   • 宛先: Oracle Services NetworkのすべてのIADサービス

   • ターゲット・タイプ: サービス・ゲートウェイ

   • ターゲット: VCN内に作成したサービス・ゲートウェイの名前

   そのようなルールが存在しない場合は、「ルート・ルールの追加」をクリックし、これらの特性を持つルート・ルールを追加します。

4. サブネットの「サブネットの詳細」ページに戻ります。

5. サブネットの「セキュリティ・リスト」表で、サブネット セキュリティ・リストの名前をクリックして、その「セキュリティ・リストの詳細」ページを表示します。

6. サイド・メニュー内の「リソース」で、「エグレス・ルール」をクリックします。

7. 既存のエグレス・ルールの表では、次の特性を持つルールがすでに存在するかどうかを確認します:

   • ステートレス: いいえ

   • 宛先: Oracle Services NetworkのすべてのIADサービス

   • IPプロトコル: TCP

   • ソース・ポート範囲: すべて

   • 宛先ポート範囲: 443

   そのようなルールが存在しない場合は、「エグレス・ルールの追加」をクリックし、これらの特性を持つエグレス・ルールを追加します。

動的グループおよびポリシー・ステートメントの作成

Autonomous AI Databaseリソースに顧客管理キーへのアクセス権限を付与するには、これらのリソースを識別するIAM動的グループを作成し、Vaultサービスで作成したマスター暗号化キーへのこの動的グループ・アクセス権を付与するIAMポリシーを作成します。

動的グループを定義する場合、Exadataインフラストラクチャ・リソースを含むコンパートメントのOCIDを指定することで、Autonomous AIデータベース・リソースを識別します。

1. Exadataインフラストラクチャ・リソースを含むコンパートメントのOCIDをコピーします。このOCIDは、コンパートメントの「コンパートメントの詳細」ページにあります。

2. Oracle Cloud Infrastructureドキュメントの動的グループを作成するにはの手順に従って、動的グループを作成します。これらの手順に従う場合、次の形式の一致ルールを入力します:

    ALL {resource.compartment.id ='<compartment-ocid>'}
   

   ここで、<compartment-ocid>は、Autonomous Exadata VMクラスタ・リソースを含むコンパートメントのOCIDを示します。

動的グループを作成した後、ボールトおよびキーを含むコンパートメントより上位のコンパートメント階層にあるコンパートメントのIAMポリシーに移動(または作成)します。その後、次の形式のポリシー・ステートメントを追加します:

allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}

Autonomous Data Guardデプロイメントにレプリケートされた仮想ボールトまたはレプリケートされた仮想パブリック・ボールトを使用している場合は、この形式の追加ポリシー・ステートメントを追加します:

allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

<dynamic-group>は作成した動的グループの名前で、<vaults-and-keys-compartment>はボールトおよびマスター暗号化キーを作成したコンパートメントの名前です。

Oracle Key Vaultで顧客管理鍵を使用する

Oracle Key Vault (OKV)は、企業内のキーおよびセキュリティ・オブジェクトを一元管理するために構築された、フルスタックのセキュリティ強化型ソフトウェア・アプライアンスである。オンプレミスのOKVデプロイメントをOracle Autonomous AI Database on Dedicated Exadata Infrastructureと統合して、独自のマスター・キーを作成および管理します。

OKVに格納されている顧客管理キーを使用する前に、「Oracle Key Vaultの使用の準備」の説明に従って、いくつかの準備構成タスクを実行する必要があります。

準備構成タスクを完了した後、Autonomous Container Database (ACD)のプロビジョニング中にOKVでカスタマ・マネージャ・キーを関連付け、このACDでプロビジョニングされたすべてのAutonomous AIデータベースがこれらの暗号化キーを自動的に継承します。詳細は、Autonomous Container Serviceの作成を参照してください。

ノート:クロスリージョンAutonomous Data Guardを有効にする場合は、OKVクラスタの接続IPアドレスをキー・ストアに追加していることを確認してください。

OKVエンドポイントの概要:

Oracle Key Vaultのエンドポイントは、データベース・サーバーやアプリケーション・サーバーなどのコンピュータ・システムであり、ここではキーおよび資格証明を使用してデータにアクセスします。Oracle Key Vaultと通信するには、エンドポイントを登録してエンロールする必要があります。その後、エンドポイント内のキーをOracle Key Vaultにアップロードして他のエンドポイントと共有し、ユーザーがデータにアクセスできるようにこれらのエンドポイントからキーをダウンロードできます。

システム管理者ロールまたはエンドポイントの作成権限を持つユーザーのみがOracle Key Vaultにエンドポイントを追加できます。エンドポイントを追加した後、エンドポイント管理者は、エンドポイントでエンドポイント・ソフトウェアをダウンロードしてインストールすることによって、エンドポイントをエンロールできます。その後、エンドポイントでは、エンドポイント・ソフトウェアとともにパッケージ化されたユーティリティを使用して、Oracle Key Vaultとの間でセキュリティ・オブジェクトをアップロードおよびダウンロードできます。

関連コンテンツ

主なセキュリティ機能