専用Exadataインフラストラクチャ上のAutonomous AI DatabaseでのOracle Key Vaultの使用

Oracle Key Vaultは、企業内のキーおよびセキュリティ・オブジェクトを一元管理するために構築された、フルスタックのセキュリティ強化型ソフトウェア・アプライアンスです。Oracle Key Vaultは、顧客がプロビジョニングおよび管理するシステムであり、Oracle Cloud Infrastructure管理サービスの一部ではありません。オンプレミスのOracle Key Vault (OKV)を顧客管理データベース・クラウド・サービスと統合して、クリティカル・データをオンプレミスで保護できます。

関連項目

前提条件

  1. OKVが設定され、Oracle Public Cloudクライアント・ネットワークからネットワークにアクセスできることを確認します。クライアント・ネットワーク上のエグレスがOKVサーバーにアクセスできるように、ポート443、5695および5696を開きます。
  2. OKVユーザー・インタフェースからRESTインタフェースが有効になっていることを確認します。
  3. 「OKV REST管理者」ユーザーを作成します。「okv_rest_user」などの任意の修飾ユーザー名を使用できます。Cloud@CustomerおよびOracle Database Exadata Cloud at Customer上のAutonomous AI Databaseでは、同じまたは異なるRESTユーザーを使用します。これらのデータベースは、同じまたは異なるオンプレミスOKVクラスタでキー管理できます。Oracle Database Exadata Cloud at Customerには、create endpoint権限を持つRESTユーザーが必要です。Cloud@Customer上のAutonomous AI Databaseには、create endpointおよびcreate endpoint group権限を持つRESTユーザーが必要です。
  4. OKVへの接続およびキー・ストアの構成に必要なOKV管理者資格証明およびIPアドレスを取得します。ガイダンスは、キー・ストアの作成を参照してください。
  5. クライアント・ネットワーク上のエグレスでOKVサーバーにアクセスできるように、ポート443、5695および5696を開きます。
  6. Oracle Public Cloudデプロイメントで、コンピュート・ホストが別のVCNにある場合は、VPN (高速接続またはVPN as a Service)または任意のVCNピアリングを使用して適切なネットワーク・ルートを設定することで、OKVがAutonomous AI Databaseへのネットワーク・アクセス権を持っていることを確認します。

OCI Vault ServiceでのVaultの作成およびOKV REST管理者パスワードを格納するためのVaultへのシークレットの追加

専用Exadataインフラストラクチャ・デプロイメントは、Oracle Databaseを登録してOKVでウォレットをリクエストするためにOracle Databaseがプロビジョニングされるたびに、RESTを介してOKVと通信します。そのため、Exadataインフラストラクチャは、OKVサーバーに登録するためにREST管理者資格証明にアクセスする必要があります。これらの資格証明は、OCIのOracle Vault Serviceにシークレットとして安全に格納され、必要な場合にのみ専用Exadataインフラストラクチャ・デプロイメントからアクセスされます。必要に応じて、資格証明はパスワードで保護されたウォレット・ファイルに格納されます。

OKVエンドポイント・グループの更新

OKVエンドポイント・グループは、ACDの「詳細」ページから更新できます。

オプションで、ACD以降のプロビジョニング中にOKVキーストアを使用してOKVエンドポイント・グループ名を追加することもできます。

ACDのOKVエンドポイント・グループを更新するには、次のことを確認する必要があります:
  • OKVエンドポイント・グループは、対応するOKVウォレットにアクセスできます。
  • ACDに対応するOKVエンドポイントは、OKVエンドポイント・グループの一部です。
  • OKVエンドポイント・グループには、エンドポイントのデフォルト・ウォレットへの読取りアクセス権があります。
OKVエンドポイント・グループ名を更新するには:
  • ACDの「詳細」ページに移動します。手順については、Autonomous Container Databaseの詳細の表示を参照してください。
  • 「暗号化」の下のOKVエンドポイント・グループ名の横にある「編集」をクリックします。
  • リストからキー・ストアを選択し、OKVエンドポイント・グループの名前を入力します。エンドポイント・グループ名はすべて大文字で、数字、ハイフン(-)およびアンダースコア(_)を含み、大文字で始めることができます。
  • 「保存」をクリックします。

OKVエンドポイントの管理

Oracle Key Vaultエンドポイントの削除

ACDを終了した後、ACDに対応するエンドポイントをOKVから削除する必要があります。OKVエンドポイントは、クラスタ・ノードごとのACDごとのACDプロビジョニング時に作成されます。終了したACDに対応するエンドポイントを削除すると、OKVは整理され、OKV CA証明書のローテーション中に役立ちます。

エンドポイントを削除すると、Oracle Key Vaultから永久に削除されます。ただし、そのエンドポイントによって以前に作成またはアップロードされたセキュリティ・オブジェクトは、Oracle Key Vaultに残ります。同様に、そのエンドポイントに関連付けられているセキュリティ・オブジェクトも残ります。これらのセキュリティ・オブジェクトを完全に削除または再割当てするには、キー管理者ロールを持っているユーザーであるか、ウォレット権限を管理することでこれらのオブジェクトをマージする権限がある必要があります。エンドポイントで以前にダウンロードされたエンドポイント・ソフトウェアも、エンドポイント管理者が削除するまで、エンドポイントに残ります。

PENDING状態のエンドポイントは、それを作成したユーザーでなければ削除できません。作成したノードで削除する必要があります。詳細は、1つ以上のエンドポイントの削除を参照してください。

エンドポイントの再登録

Oracle Autonomous AI Database on Dedicated Exadata Infrastructureでは、OKVエンドポイントをすぐに再エンロールすることはサポートされていません。OKVエンドポイントを再登録するには、Autonomous AI Database運用チームに連絡する必要があります。