専用Exadataインフラストラクチャ上のAutonomous Databaseのマスター暗号化キー
デフォルトでは、専用Exadataインフラストラクチャ上のAutonomous Databaseによって、データの保護に使用されるすべてのマスター暗号化キーが作成および管理され、データベースが存在するのと同じExadataシステム上のセキュアなPKCS 12キーストアに格納されます。これらはOracle管理暗号化キーと呼ばれます。
Oracleマネージド・キーを使用すると、Oracleは、Oracleマネージド・メタ・データとしてキーの完全なライフサイクルを保証します。Exadata Cloud@Customerデプロイメントでは、バックアップへのアクセスは共有責任であり、Oracle APIが内部キー管理ライフサイクル操作と連携するには、データベース環境およびバックアップ・ファイルのアクセシビリティを確保する必要があります。
会社のセキュリティ・ポリシーで必要な場合、Autonomous Databaseでは、かわりにOracle Key Storeを使用して作成および管理するキーを使用できます。Oracle Public Cloudデプロイメントの場合、Oracle Cloud Infrastructure Vaultサービスを使用してキーを作成および管理することもできます。Oracle Cloudまたはサードパーティのクラウド・プレミスの外部にキーを格納するための規制コンプライアンスを持つお客様は、外部キー管理サービス(外部KMS)を使用できます。
OCI Vaultサービスを使用して顧客管理キーを作成する場合、Vaultサービスに内部でキー・マテリアルを生成させるのではなく、独自のキー・マテリアル(Bring Your Own KeyまたはBYOK)をインポートすることもできます。
注意:
Oracle Key Vault (OKV)に格納されている顧客管理キーはデータベース・ホストの外部にあるため、そのキーを使用してOKVがデータベースにアクセスできないようにする構成変更または中断によって、そのデータにアクセスできなくなります。
さらに、Oracle管理キーまたは顧客管理キーのどちらを使用するかに関係なく、会社のセキュリティ・ポリシーを遵守するために、既存のデータベースで使用されるキーを必要に応じてローテーションできます。詳細は、暗号化キーのローテーションを参照してください。
始める前に: コンパートメント階層のベスト・プラクティス
- デプロイメント全体に対する「親」コンパートメント
- 各種リソースそれぞれに対する「子」コンパートメント:
- Autonomous Databases
- Autonomous Container Databaseおよびインフラストラクチャ・リソース(ExadataインフラストラクチャおよびAutonomous Exadata VMクラスタ)
- VCN (仮想クラウド・ネットワーク)およびそのサブネット
- 顧客管理キーを含むボールト
キーへのアクセス権をAutonomous Databaseに付与するために作成するポリシー・ステートメントは、ボールトとそのキーを含むコンパートメントより上位のコンパートメント階層のポリシーに追加する必要があるため、顧客管理キーを使用する場合は、このベスト・プラクティスに従うことは特に重要です。
関連項目
Vaultサービスで顧客管理キーを使用
Vaultサービスに格納された顧客管理キーを使用する前に、ボールトおよびマスター暗号化キーを作成する準備構成タスクをいくつか実行してから、そのボールトおよびそのキーをAutonomous Databaseで使用できるようにする必要があります。具体的には:
- Oracle Cloud Infrastructureドキュメントの新しいボールトを作成するにはの手順に従って、Vaultサービスでボールトを作成します。これらの手順に従う場合、Oracleでは、コンパートメント階層のベスト・プラクティスで説明されているように、顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメントにボールトを作成することをお薦めします。
ボールトの作成後、Oracle Cloud Infrastructureドキュメントの新しいマスター暗号化キーを作成するにはの手順に従って、ボールト内に少なくとも1つのマスター暗号化キーを作成できます。これらの手順に従う際には、次の選択を行います:
- コンパートメントに作成: Oracleでは、マスター暗号化キーをボールトと同じコンパートメント(顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメント)に作成することをお薦めします。
- 保護モード: ドロップダウン・リストから適切な値を選択します:
- HSM: ハードウェア・セキュリティ・モジュール(HSM)で格納および処理されるマスター暗号化キーを作成します。
- ソフトウェア: Vaultサービスのソフトウェア・ファイル・システムに格納されるマスター暗号化キーを作成します。ソフトウェアで保護されたキーは、保存時にHSMベースのルート・キーを使用して保護されます。ソフトウェア・キーは、他のキー管理デバイスまたは別のOCIクラウド・リージョンにエクスポートできます。HSMキーとは異なり、ソフトウェアで保護されたキーはコストがかかりません。
- キー・シェイプ・アルゴリズム: AES
- キー・シェイプの長さ: 256ビット
ノート:
既存のボールトに暗号化キーを追加することもできます。 - ネットワーキング・サービスを使用して、Autonomous Databaseリソースが存在するVCN (Virtual Cloud Network)およびサブネットへのサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを作成します。
- IAMサービスを使用して、Autonomous Databaseリソースを識別する動的グループを作成し、作成したマスター暗号化キーへのアクセス権をその動的グループに付与するポリシー・ステートメントを使用します。
ヒント :
これらの手順を示す「試してみる」方法については、セキュリティ管理者専用のOracle Autonomous Databaseのラボ17: 顧客が制御するデータベース暗号化キーを参照してください。前述のステップを使用して顧客管理キーを構成した後、Autonomous Container Database (ACD)のプロビジョニング中、またはACDまたはAutonomous Databaseの「詳細」ページから既存の暗号化キーをローテーションすることで、そのキーを構成できます。このACDでプロビジョニングされたAutonomous Databasesは、これらの暗号化キーを自動的に継承します。詳細は、Autonomous Container Databaseの作成またはAutonomous Container Databaseの暗号化キーのローテーションを参照してください。
ノート:
リージョン間ボールト・レプリケーション機能が導入される前に作成された仮想ボールトは、リージョン間でレプリケートできません。別のリージョンでレプリケートする必要があるボールトがあり、そのボールトでレプリケーションがサポートされていない場合は、新しいボールトおよび新しいキーを作成します。ただし、すべてのプライベート・ボールトはリージョン間レプリケーションをサポートしています。詳細は、仮想ボールトのクロス・リージョン・レプリケーションを参照してください。Vault Serviceでのキー持込み(BYOK)の使用
適用対象: Oracle Public Cloudのみ
OCI Vaultサービスを使用して顧客管理キーを作成する場合、Vaultサービスに内部でキー・マテリアルを生成させるのではなく、独自のキー・マテリアル(Bring Your Own KeyまたはBYOK)をインポートすることもできます。
- Oracle Cloud Infrastructureドキュメントの新しいボールトを作成するにはの手順に従って、Vaultサービスでボールトを作成します。これらの手順に従う場合、Oracleでは、コンパートメント階層のベスト・プラクティスで説明されているように、顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメントにボールトを作成することをお薦めします。
ボールトの作成後、Oracle Cloud Infrastructureドキュメントの新しいマスター暗号化キーを作成するにはの手順に従って、ボールト内に少なくとも1つのマスター暗号化キーを作成できます。顧客暗号化キーを既存のボールトにインポートすることもできます。これらの手順に従う際には、次の選択を行います:
- コンパートメントに作成: Oracleでは、マスター暗号化キーをボールトと同じコンパートメント(顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメント)に作成することをお薦めします。
- 保護モード: ドロップダウン・リストから適切な値を選択します:
- HSM: ハードウェア・セキュリティ・モジュール(HSM)で格納および処理されるマスター暗号化キーを作成します。
- ソフトウェア: Vaultサービスのソフトウェア・ファイル・システムに格納されるマスター暗号化キーを作成します。ソフトウェアで保護されたキーは、保存時にHSMベースのルート・キーを使用して保護されます。ソフトウェア・キーは、他のキー管理デバイスまたは別のOCIクラウド・リージョンにエクスポートできます。HSMキーとは異なり、ソフトウェアで保護されたキーはコストがかかりません。
- キー・シェイプ・アルゴリズム: AES
- キー・シェイプの長さ: 256ビット
- 外部キーのインポート:顧客暗号化キー(BYOK)を使用するには、「外部キーのインポート」を選択し、次の詳細を指定します:
- ラッピング・キー情報このセクションは読取り専用ですが、公開ラッピング・キーの詳細を表示できます。
- ラッピング・アルゴリズムドロップダウン・リストからラッピング・アルゴリズムを選択します。
- 外部キーのデータ・ソースラップされたRSAキー・マテリアルを含むファイルをアップロードします。
ノート:
キー・マテリアルを新しい外部キー・バージョンとしてインポートするか、既存のマスター暗号化キーの名前をクリックして新しいキー・バージョンにローテーションできます。詳細については、Importing Key Material as an External Key Versionを参照してください。
- ネットワーキング・サービスを使用して、Autonomous Databaseリソースが存在するVCN (Virtual Cloud Network)およびサブネットへのサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを作成します。
- IAMサービスを使用して、Autonomous Databaseリソースを識別する動的グループを作成し、作成したマスター暗号化キーへのアクセス権をその動的グループに付与するポリシー・ステートメントを使用します。
前述のステップを使用して顧客管理BYOKを構成した後、Autonomous Container DatabaseまたはAutonomous Databaseの「詳細」ページから既存の暗号化キーをローテーションすることで、これを使用できます。詳細は、Autonomous Container Databaseの暗号化キーのローテーションを参照してください。
OCI外部キー管理サービス(OCI EKMS)からの外部キーの使用
適用対象: Oracle Public Cloudのみ
OCI EKMSの外部キーを使用する前に、いくつかの準備構成タスクを実行してボールトを作成してから、そのボールトとそのキーをAutonomous Databaseで使用できるようにする必要があります。
- OCI EKMSでキー参照を保持するボールトを作成および管理できます。OCI EKMSのキーは、Oracle Public Cloudにデプロイされた専用Exadataインフラストラクチャ上のAutonomous Databaseで使用できます。詳細は、OCI EKMSでのボールトの作成を参照してください。これらの手順に従う際には、次の選択を行います:
- コンパートメントに作成: OCI EKMSボールトのコンパートメントを選択します。
- IDCSアカウント名URL: KMSサービスへのアクセスに使用する認証URLを入力します。コンソールはサインイン画面にリダイレクトされます。
- キー管理ベンダー: キー管理サービスをデプロイするサードパーティ・ベンダーを選択します。現在、OCI KMSは外部キー管理ベンダーとしてThalesのみをサポートしています。
- クライアント・アプリケーションID: Oracle Identity Domainに機密クライアント・アプリケーションを登録したときに生成されるOCI KMSクライアントIDを入力します。
- クライアント・アプリケーション・シークレット: Oracleアイデンティティ・ドメインに登録されている機密クライアント・アプリケーションのシークレットIDを入力します。
- コンパートメント内のプライベート・エンドポイント: 外部キー管理のプライベート・エンドポイントGUIDを選択します。
- 外部Vault URL: 外部キー管理でボールトを作成したときに生成されたボールトURLを入力します。
- ネットワーキング・サービスを使用して、Autonomous Databaseリソースが存在するVCN (Virtual Cloud Network)およびサブネットにサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを作成します。
- IAMサービスを使用して、Autonomous Databaseリソースを識別する動的グループを作成し、作成したマスター暗号化キーへのアクセス権をその動的グループに付与するポリシー・ステートメントを使用します。
サービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールの作成
Oracle Cloud Infrastructure (OCI) Service Gatewayは、インターネットを横断することなく、仮想クラウド・ネットワーク(VCN)内またはオンプレミス・ネットワークから複数のOracle Cloudサービスへのプライベートで安全なアクセスを単一のゲートウェイ経由で同時に提供します。
Oracle Cloud Infrastructureドキュメントのタスク1: サービス・ゲートウェイの作成の手順に従って、Autonomous Databaseリソースが存在するVCN (仮想クラウド・ネットワーク)内にサービス・ゲートウェイを作成します。
- サブネットの「サブネットの詳細」ページに移動します。
- 「Subnet Information」タブで、サブネットの「Route Table」の名前をクリックして、その「Route Table Details」ページを表示します。
- 既存のルート・ルールの表で、次の特性を持つルールがすでに存在します:
- 宛先: Oracle Services NetworkのすべてのIADサービス
- ターゲット・タイプ: サービス・ゲートウェイ
- ターゲット: VCN内に作成したサービス・ゲートウェイの名前
このようなルールが存在しない場合は、「ルート・ルールの追加」をクリックし、これらの特性を持つルート・ルールを追加します。
- サブネットの「サブネットの詳細」ページに戻ります。
- サブネットの「セキュリティ・リスト」表で、サブネットのセキュリティ・リストの名前をクリックして、その「セキュリティ・リストの詳細」ページを表示します。
- サイド・メニューの「リソース」で、「エグレス・ルール」をクリックします。
- 既存のエグレス・ルールの表で、次の特性を持つルールがすでに存在します:
- ステートレス: いいえ
- 宛先: Oracle Services NetworkのすべてのIADサービス
- IPプロトコル: TCP
- ソース・ポート範囲: すべて
- 宛先ポート範囲: 443
そのようなルールが存在しない場合は、「エグレス・ルールの追加」をクリックし、これらの特性を持つエグレス・ルールを追加します。
動的グループおよびポリシー・ステートメントの作成
顧客管理キーにアクセスする権限をAutonomous Databaseリソースに付与するには、これらのリソースを識別するIAM動的グループを作成してから、Vaultサービスで作成したマスター暗号化キーへのアクセス権をこの動的グループに付与するIAMポリシーを作成します。
- Exadataインフラストラクチャ・リソースを含むコンパートメントのOCIDをコピーします。このOCIDは、コンパートメントの「コンパートメントの詳細」ページにあります。
- Oracle Cloud Infrastructureドキュメントの動的グループを作成するにはの手順に従って、動的グループを作成します。これらの手順に従う場合、次の形式の一致ルールを入力します:
ALL {resource.compartment.id ='<compartment-ocid>'}
ここで、
<compartment-ocid>
は、Autonomous Exadata VMクラスタ・リソースを含むコンパートメントのOCIDです。
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}
allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>
<dynamic-group>
は作成した動的グループの名前で、<vaults-and-keys-compartment>
はボールトおよびマスター暗号化キーを作成したコンパートメントの名前です。
Oracle Key Vault内の顧客管理キーの使用
Oracle Key Vault (OKV)は、企業内のキーおよびセキュリティ・オブジェクトを集中管理するために構築された、フルスタックのセキュリティ強化型ソフトウェア・アプライアンスです。オンプレミスのOKVデプロイメントをOracle Autonomous Databaseと統合して、独自のマスター・キーを作成および管理します。
OKVに格納されている顧客管理キーを使用する前に、Oracle Key Vaultを使用するための準備の説明に従って、多数の準備構成タスクを実行する必要があります。
準備構成タスクが完了したら、Autonomous Container Database (ACD)のプロビジョニング中にOKVでカスタマ・マネージャ・キーを関連付けることができ、このACDでプロビジョニングされたすべてのAutonomous Databaseはこれらの暗号化キーを自動的に継承します。詳細は、自律型コンテナ・データベースの作成を参照してください。
ノート:
リージョン間Autonomous Data Guardを有効にする場合は、OKVクラスタの接続IPアドレスをキー・ストアに追加していることを確認してください。OKVエンドポイント・グループは、ACDの「詳細」ページから更新できます。オプションで、ACD以降のプロビジョニング中にOKVキーストアを使用してOKVエンドポイント・グループ名を追加することもできます。
- OKVエンドポイント・グループ名には、対応するOKVウォレットへのアクセス権があります。
- ACDに対応するOKVエンドポイントは、OKVエンドポイント・グループの一部です。
- OKVエンドポイント・グループには、エンドポイントのデフォルト・ウォレットへの読取りアクセス権があります。
- ACDの「詳細」ページに移動します。手順については、Autonomous Container Databaseの詳細の表示を参照してください。
- 「暗号化」の下のOKVエンドポイント・グループ名の横にある「編集」をクリックします。
- リストからキー・ストアを選択し、OKVエンドポイント・グループの名前を入力します。エンドポイント・グループ名はすべて大文字で、数字、ハイフン(-)およびアンダースコア(_)を含み、大文字で始めることができます。
- 「保存」をクリックします。