専用Exadataインフラストラクチャ上のAutonomous AI DatabaseでのOracle Key Vaultの使用

Oracle Key Vaultは、企業内のキーおよびセキュリティ・オブジェクトを一元管理するために構築された、フルスタックのセキュリティ強化型ソフトウェア・アプライアンスです。Oracle Key Vaultは、顧客がプロビジョニングおよび管理するシステムであり、Oracle Cloud Infrastructure管理サービスの一部ではありません。オンプレミスのOracle Key Vault (OKV)を顧客管理型のデータベース・クラウド・サービスと統合して、重要なデータをオンプレミスで保護できます。

前提条件

1. OKVが設定され、Oracle Public Cloudクライアント・ネットワークからネットワークにアクセスできることを確認します。OKVサーバーにアクセスするために、クライアント・ネットワーク上のエグレス用にポート443、5695および5696を開きます。

2. OKVユーザー・インタフェースからRESTインタフェースが有効になっていることを確認します。

3. 「OKV REST管理者」ユーザーを作成します。「okv_rest_user」などの任意の修飾ユーザー名を使用できます。Autonomous AI Database on Cloud@CustomerおよびOracle Database Exadata Cloud@Customerの場合は、同じまたは異なるRESTユーザーを使用します。これらのデータベースは、同じオンプレミスOKVクラスタまたは異なるオンプレミスOKVクラスタでキー管理できます。Oracle Database Exadata Cloud@Customerには、create endpoint権限を持つRESTユーザーが必要です。Autonomous AI Database on Cloud@Customerには、create endpointおよびcreate endpoint group権限を持つRESTユーザーが必要です。

4. OKVへの接続に必要なOKV管理者資格証明およびIPアドレス情報を収集し、キー・ストアを構成します。ガイダンスについては、キー・ストアの作成を参照してください。

5. クライアント・ネットワーク上のエグレスでOKVサーバーにアクセスできるように、ポート443、5695および5696を開きます。

6. Oracle Public Cloudデプロイメントでは、VPN (高速接続またはVPN as a Service)またはコンピュート・ホストが別のVCNにある場合はVCNピアリングを使用して適切なネットワーク・ルートを設定することで、OKVがAutonomous AI Databaseへのネットワーク・アクセスを持つことを確認します。

OCI VaultサービスでのVaultの作成とVaultへのシークレットの追加によるOKV REST管理者パスワードの格納

専用Exadataインフラストラクチャ・デプロイメントは、Oracle Databaseを登録してOKVにウォレットをリクエストするためにOracle Databaseがプロビジョニングされるたびに、RESTを介してOKVと通信します。したがって、Exadataインフラストラクチャは、OKVサーバーに登録するためにREST管理資格証明にアクセスする必要があります。これらの資格証明はOCIのOracle Vault Serviceにシークレットとして安全に格納され、必要な場合にのみ専用Exadataインフラストラクチャ・デプロイメントからアクセスできます。必要な場合、資格証明はパスワードで保護されたウォレット・ファイルに格納されます。

OKV Vaultサービスからのシークレットを使用するためのデータベース・サービスのポリシー・ステートメントの作成

OCI Vaultのシークレットを使用してOKV RESTインタフェースにログインする権限をAutonomous AI Databaseサービスに付与するには、OCIボールトおよびシークレットを含むコンパートメントよりも上位のコンパートメント階層にあるIAMポリシーに移動(または作成)します。その後、次の形式のポリシー・ステートメントを追加します:

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

ここで、<vaults-and-secrets-compartment>は、OCIボールトのシークレットおよびシークレットを作成したコンパートメントの名前です。

OCI Vaultが設定され、IAM構成が整ったら、OCIにOracle Key Vaultのキー・ストアをデプロイし、それを専用Exadata VMクラスタに関連付ける準備が整います。

OKVエンドポイント・グループの更新

OKVエンドポイント・グループは、ACDの「詳細」ページから更新できます。

オプションで、ACD以降のプロビジョニング中にOKVキーストアとともにOKVエンドポイントグループ名を追加することもできます。

ACDのOKVエンドポイント・グループを更新するには、次のことを確認する必要があります。

• OKVエンドポイント・グループは、対応するOKVウォレットにアクセスできます。

• ACDに対応するOKVエンドポイントは、OKVエンドポイントグループの一部です。

• OKVエンドポイント・グループには、エンドポイントのデフォルトのウォレットへの読取りアクセス権があります。

OKVエンドポイント・グループ名を更新するには:

• ACDの「詳細」ページに移動します。手順については、Autonomous Container Databaseの詳細の表示を参照してください。

• 「暗号化」の下のOKVエンドポイント・グループ名の横にある「編集」をクリックします。

• リストからキーストアを選択し、OKVエンドポイント・グループの名前を入力します。エンドポイント・グループ名はすべて大文字で、数字、ハイフン(-)およびアンダースコア(_)を含め、大文字で始めることができます。

• 「保存」をクリックします。

OKVエンドポイントの管理

Oracle Key Vaultエンドポイントの削除

ACDを終了した後、ACDに対応するエンドポイントをOKVから削除する必要があります。OKVエンドポイントは、ACDプロビジョニング時に、クラスタ・ノードごとにACDごとに作成されます。終了したACDに対応するエンドポイントを削除すると、OKVは編成され、OKV CA証明書のローテーション中に役立ちます。

エンドポイントを削除すると、Oracle Key Vaultから永久に削除されます。ただし、そのエンドポイントによって以前に作成またはアップロードされたセキュリティ・オブジェクトは、Oracle Key Vaultに残ります。同様に、そのエンドポイントに関連付けられているセキュリティ・オブジェクトも残ります。これらのセキュリティ・オブジェクトを完全に削除または再割当てするには、キー管理者ロールを持つユーザーであるか、ウォレット権限を管理することでこれらのオブジェクトをマージする権限を持つ必要があります。エンドポイントで以前にダウンロードされたエンドポイント・ソフトウェアも、エンドポイント管理者が削除するまで、エンドポイントに残ります。

PENDING状態のエンドポイントは、それを作成したユーザーでなければ削除できません。作成したノードで削除する必要があります。詳細は、1つ以上のエンドポイントの削除を参照してください。

エンドポイントの再エンロール

Oracle Autonomous AI Database on Dedicated Exadata Infrastructureでは、OKVエンドポイントの即時登録はサポートされません。OKVエンドポイントを再登録するには、Autonomous AI Database運用チームに連絡する必要があります。

関連コンテンツ

キー・ストアの作成および管理