専用Exadataインフラストラクチャ上のAutonomous DatabaseでOracle Key Vaultを使用する準備

Oracle Key Vaultは、企業内のキーおよびセキュリティ・オブジェクトを一元管理するために構築された、フルスタックのセキュリティ強化型ソフトウェア・アプライアンスです。Oracle Key Vaultは、顧客がプロビジョニングおよび管理するシステムであり、Oracle Cloud Infrastructure管理サービスの一部ではありません。オンプレミスのOracle Key Vault (OKV)を顧客管理データベース・クラウド・サービスと統合して、クリティカル・データをオンプレミスで保護できます。

前提条件

  1. OKVが設定され、Oracle Public Cloudクライアント・ネットワークからネットワークにアクセスできることを確認します。クライアント・ネットワーク上のエグレスがOKVサーバーにアクセスできるように、ポート443、5695および5696を開きます。
  2. OKVユーザー・インタフェースからRESTインタフェースが有効になっていることを確認します。
  3. 「OKV REST管理者」ユーザーを作成します。「okv_rest_user」などの任意の修飾ユーザー名を使用できます。Cloud@CustomerおよびOracle Database Exadata Cloud at Customer上のAutonomous Databaseでは、同じまたは異なるRESTユーザーを使用します。これらのデータベースは、同じまたは異なるオンプレミスOKVクラスタでキー管理できます。Oracle Database Exadata Cloud at Customerには、create endpoint権限を持つRESTユーザーが必要です。Cloud@Customer上のAutonomous Databaseには、create endpointおよびcreate endpoint group権限を持つRESTユーザーが必要です。
  4. OKVへの接続およびキー・ストアの構成に必要なOKV管理者資格証明およびIPアドレスを取得します。ガイダンスは、キー・ストアの作成を参照してください。
  5. クライアント・ネットワーク上のエグレスでOKVサーバーにアクセスできるように、ポート443、5695および5696を開きます。
  6. Oracle Public Cloudデプロイメントで、コンピュート・ホストが別のVCNにある場合は、VPN (高速接続またはVPN as a Service)または任意のVCNピアリングを使用して適切なネットワーク・ルートを設定することで、OKVがAutonomous Databaseへのネットワーク・アクセスを持つことを確認します。

OCI Vault ServiceでのVaultの作成およびOKV REST管理者パスワードを格納するためのVaultへのシークレットの追加

専用Exadataインフラストラクチャ・デプロイメントは、Oracle Databaseを登録してOKVでウォレットをリクエストするためにOracle Databaseがプロビジョニングされるたびに、RESTを介してOKVと通信します。そのため、Exadataインフラストラクチャは、OKVサーバーに登録するためにREST管理者資格証明にアクセスする必要があります。これらの資格証明は、OCIのOracle Vault Serviceにシークレットとして安全に格納され、必要な場合にのみ専用Exadataインフラストラクチャ・デプロイメントからアクセスされます。必要に応じて、資格証明はパスワードで保護されたウォレット・ファイルに格納されます。