暗号化キーの管理

この記事では、暗号化および暗号化キーの詳細について説明します。

Oracle Base Database Serviceは、Transparent Data Encryption (TDE)を使用して、表および表領域に格納されているデータを暗号化します。

Transparent Data Encryption
ベース・データベース・サービスは、TDEを使用して、ユーザー作成のすべての表領域を暗号化および復号化します。
暗号化キー
独自の暗号化キー(顧客管理キー)を使用してデータベースを暗号化するか、Oracle管理キーを使用するかを選択できます。デフォルトでは、ベース・データベース・サービスではOracle管理キーが使用されます。顧客管理キーは、データベース・ホストの外部にあるOCI Vaultに格納されます。
OCI Vaultキー
OCI Vaultでは、暗号化キーは、暗号化および復号化に使用される1つ以上のキー・バージョンを含む論理エンティティです。これらのキー・バージョンは、OCI Vaultによって自動生成することも、外部ソース(Bring-Your-Own-Key)からインポートすることもできます。

詳細は、Transparent Data Encryptionの概要およびOCI Vault Key Managementを参照してください。

必要なIAMポリシー

独自の暗号化キーを使用してデータベースを暗号化する場合は、動的グループを作成し、顧客管理の暗号化キーのグループに特定のポリシーを割り当てる必要があります。共通ポリシー動的グループの管理およびセキュリティ管理者がボールト、キーおよびシークレットを管理できるようにするのトピックを参照してください。

関連項目

一般情報

新しいDBシステムの作成時に、コンテナ・データベースとプラガブル・データベースの両方にキーが割り当てられます。

キー・バージョン(指定されている場合)は、コンテナ・データベースにのみ使用され、プラガブル・データベースには使用されません。プラガブル・データベースには、自動的に生成された新しいキー・バージョンが割り当てられます。作成中に特定のキー・バージョンをプラガブル・データベースに割り当てることはできません。

プラガブル・データベースは、常にコンテナ・データベースと同じキーを使用しますが、同じキー・バージョンまたは異なるキー・バージョンを使用します。

選択したキーの最新バージョンを含む任意のキー・バージョンを指定できます。

デフォルトでは、データベースはOracle管理キーを使用して構成されます。ただし、顧客管理キーを使用して構成することを選択できます。

暗号化キーのローテーション

暗号化キーのローテーション操作によって、同じキーの新しいキー・バージョンが生成されます。

任意の数のキー交代勤務を実行できます。定期的にキーをローテーションすると、1つのキー・バージョンによって暗号化または署名されるデータの量が制限されます。リタイアされたキーの履歴も保持されるため、キーをローテーションでき、以前のキーで暗号化されたデータを復号化できます。

コンテナ・データベースおよびプラガブル・データベース・レベルでのローテーション・キーは、相互に独立して機能します。コンテナ・データベースでのキーのローテーション操作は、プラガブル・データベースのキーをローテーションしません。同様に、あるプラガブル・データベースでキーをローテーションしても、他のプラガブル・データベースまたはそのコンテナ・データベースのキーはローテーションされません。

最新バージョンを確実に使用するには、Vaultサービスのコンソール・ページではなく、OCIコンソールのデータベース詳細ページからキーをローテーションします。

ノート:

暗号化キーのローテーションは、Oracle管理暗号化キーを使用するデータベースでは使用できません。

OCIコンソールを使用して暗号化キーをローテーションするには、データベースの暗号化キーのローテーションおよびプラガブル・データベースの暗号化キーのローテーションを参照してください。

キー・バージョンの割当

コンテナ・データベースとプラガブル・データベースの両方に新しいキー・バージョンを作成および割り当てることができます。変更できるのはキー・バージョンのみです。キーを変更できません。

OCIコンソールを使用してキー・バージョンを割り当てるには、「データベースの新規キー・バージョンの割当て」および「プラガブル・データベースの新規キー・バージョンの割当て」を参照してください。

キー管理の変更

既存のデータベースでは、Oracle管理キーから顧客管理キーに切り替えることができます。ただし、顧客管理キーからOracle管理キーへの切替えはサポートされていません。

コンテナ・データベースのキーを変更すると、プラガブル・データベースにも自動的に適用されます。プラガブル・データベースのキーは個別に変更できません。プラガブル・データベースでは、常にコンテナ・データベースのキーと同じキーが使用されますが、同じキー・バージョンまたは別のキー・バージョンを使用できます。

顧客管理キーに切り替える場合、コンテナ・データベースとそのすべてのプラガブル・データベースがオープンしており、また、すべての表領域が読取り/書込みモードである必要があります。

OCIコンソールを使用してキー管理タイプを変更するには、データベースのキー管理タイプの変更を参照してください。

プラガブル・データベースのクローニング、リモート・クローニングおよび再配置

クローン・データベースは、顧客管理の暗号化キーを使用するDBシステムをクローニングするときに、ソース・データベースと同じキー・バージョンを使用します。

ソース・データベースとターゲット・データベースは、同じキーを使用する必要がありますが、異なるキー・バージョンを持つことができます。ソース・データベースとターゲット・データベースで異なるキーが使用されている場合、リモート・クローニングまたは再配置操作は失敗します。

キーは、リモートのクローニングおよび再配置操作後にターゲット・キー・ボールトでローテーションされます。そのため、ターゲット・データベース内のリモート・クローニングまたは再配置されたプラガブル・データベースに対して新しいキー・バージョンが生成されます。