マスター・キー操作の管理

マスター暗号化キーを使用して、他のGoldenGateデプロイメントに配布された証跡ファイルを暗号化します。その後、他のソースおよびターゲットのOCI GoldenGateデプロイメントで使用するマスター暗号化キー・ウォレットをインポートおよびエクスポートできます。

ノート:この情報は、データ・レプリケーション・デプロイメントにのみ適用されます。

Oracle GoldenGateでマスター・キーが作成されると、GoldenGateは証跡ファイルを作成するたびに、証跡の内容を暗号化する新しい暗号化キーを自動的に生成します。マスター・キーは、暗号化キーを暗号化します。

開始する前に

次のものがあることを確認します。

• Vaultサービスおよび作成されたVaultへのアクセス

  ノート:仮想プライベート・ボールトは必要ありません。

• OCI GoldenGateがVaultサービスを使用するために必要な最小限のポリシーを追加しました

• Vaultで作成されたマスター暗号化キー。

  ノート: AES、ソフトウェア保護キーまたはHSMキーのみがサポートされています。RSAおよびECDSAはサポートされていません。

デプロイメント・コンソールでのマスター・キーの追加

GoldenGateデプロイメント・コンソールでマスター・キーを追加するには:

1. 「デプロイメント詳細」ページからGoldenGateデプロイメント・コンソールを起動します。

2. GoldenGate管理ユーザーとしてログインします。

3. ログイン後、ナビゲーション・メニューを開き、「構成」、「キー管理」の順に選択します。

4. 「Key Management」ページの「Master Keys」で、「Add Master key」 (プラスアイコン)を選択します。

リストに新しいマスター鍵が表示されます。

OCI GoldenGateデプロイメントからのマスター暗号化キー・ウォレットのエクスポート

ソース・デプロイメントにマスター・キーが追加された場合は、必ずエクスポートしてターゲット・デプロイメントにインポートしてください。

マスター暗号化鍵ウォレットをエクスポートするには:

1. 「Deployments」ページで、マスター暗号化キー・ウォレットのエクスポート元のデプロイメントを選択します。

2. デプロイメントの詳細ページで、「マスター・キー操作」を選択します。

3. 「アクション」メニューから、「エクスポート」を選択します。

4. 「エクスポート」ダイアログで:

   1. 「名前」に、マスター暗号化キー・ウォレットの名前を入力します。

   2. (オプション)ウォレット・リスト内の他のユーザーとの区別に役立つ説明を入力します。

   3. ドロップダウンからコンパートメントを選択してください。

   4. 「<compartment-name>のVault」で、マスター暗号化キー・ウォレットをエクスポートするボールトを選択します。別のコンパートメントを選択するには、「コンパートメントの変更」を選択します。

   5. 「<compartment name>の暗号化キー」で、使用する適切な暗号化キーを選択します。別のコンパートメントを選択するには、「コンパートメントの変更」を選択します。

5. 「エクスポート」を選択します。

オンプレミスのOracle GoldenGateインスタンスからのマスター・キー暗号化ウォレットのエクスポート

マスター・キーがソース(オンプレミスまたはマーケットプレイス)のOracle GoldenGateインスタンスに追加される場合、base64でcwallet.ssoをエンコードしてから、OCI Vaultシークレットにコピーしてください。

オンプレミスのOracle GoldenGateインスタンスからマスター暗号化キー・ウォレットをエクスポートするには:

1. オンプレミスのOracle GoldenGateインスタンスにSSHで接続します。

2. ウォレット(cwallet.sso)が存在する場所までディレクトリを変更します。

   注意: Oracleでは、使用するためにcwallet.ssoのコピーを作成することをお薦めします。

3. Base64では、次のコマンドを使用してcwallet.ssoをエンコードします。

   base64 -w 0 cwallet.sso

4. 出力文字列をコピーします。

5. Oracle Cloudコンソールで、ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順に選択します。

6. 「ボールト」ページで、ボールトを選択します。

7. Vaultの詳細ページで、「シークレット」、「シークレットの作成」の順に選択します。

8. 「シークレットの作成」パネルでは、次のようにフィールドに入力します:

   1. 「コンパートメントに作成」で、シークレットの作成先のコンパートメントを選択します。

   2. シークレットの「名前」を入力します。

   3. (オプション)シークレットの「説明」を入力します。

   4. 「<compartment-name>の暗号化キー」で、「開始する前に」ステップで作成したマスター暗号化キーを選択します。別のコンパートメントにあるマスター暗号化キーを選択するには、「コンパートメントの変更」を選択します。

   5. 「手動シークレット生成」を選択します。

   6. 「シークレット・コンテンツ」で、ステップ3のcwallet.sso base64でエンコードされた文字列を貼り付けます。

9. 「シークレットの作成」を選択します。

「シークレット」リストにシークレットが表示されます。これで、マスター暗号化キー・ウォレットをターゲットOCI GoldenGateデプロイメントにインポートし、このシークレットを選択できるようになりました。

デプロイメントへのマスター暗号化キー・ウォレットのインポート

マスター暗号化キー・ウォレットをインポートするには:

1. 「Deployments」ページで、マスター暗号化キー・ウォレットをインポートするデプロイメントを選択します。

2. デプロイメントの詳細ページで、「マスター・キー操作」を選択します。

3. 「アクション」メニューから、「インポート」を選択します。

4. 「インポート」ダイアログで:

   1. 「<compartment-name>のWalletシークレット」で、インポートするウォレット・シークレットを選択します。別のコンパートメントからウォレット・シークレットを選択するには、「コンパートメントの変更」を選択します。

   2. (オプション)「既存のウォレットのバックアップ」を選択して...

      選択すると、「バックアップ・ウォレット」で次の操作が実行されます。

      1. 「名前」に、バックアップ・ウォレットの名前を入力します。

      2. 説明を入力します。(オプション)

      3. 「<compartment-name>の暗号化キー」で、使用する暗号化キーを選択します。別のコンパートメント内の暗号化キーを選択するには、「コンパートメントの変更」を選択します。

5. 「インポート」を選択します。

オンプレミスGoldenGateインスタンスへのマスター暗号化キー・ウォレットのインポート

ソースOCI GoldenGateデプロイメントのマスター暗号化キー・ウォレットをエクスポートしたことを確認します。

オンプレミスGoldenGateインスタンスにマスター暗号化キー・ウォレットをインポートするには:

1. 「OCI GoldenGateデプロイメント」ページで、ソース・デプロイメントを選択します。

2. デプロイメントの詳細ページで、「マスター・キー操作」を選択します。

3. マスター暗号化キー・ウォレット・アクション・リストで、エクスポートしたウォレットを選択します。Vaultの「シークレットの詳細」ページが表示されます。

4. シークレットの詳細ページの「バージョン」で、「アクション」メニューから「シークレット・コンテンツの表示」を選択します。

5. 「シークレット・コンテンツの表示」ダイアログで、「デコードされたBase64桁の表示」を選択します。

6. テキスト領域の内容をコピーします。

7. オンプレミスまたはマーケットプレイスのOracle GoldenGateインスタンスにSSHで接続します。

8. 新しいテキスト・ファイル(viまたはその他のテキスト・エディタ)を作成し、シークレット・コンテンツをファイルに貼り付けます。

9. 作成したファイルに対してBase64コマンドを実行します(<filename>をテキスト・ファイルの名前に置き換えることを確認します)。

   base64 -d <filename> > cwallet.sso

10. cwallet.ssoをコピーするか、GoldenGateウォレット・ディレクトリに移動します。

Replicatを追加および実行して、ソースOCI GoldenGateデプロイメントから送信された暗号化された証跡ファイルを受信できるようになりました。