CMEKキー管理ワークフロー
顧客管理暗号化キーでサポートされる管理操作について学習します。
CMEKキー管理操作
OCIコンソールでは、次のCMEK管理操作を実行できます。
各操作については、次の各項で詳しく説明します。
CMEK割当
OCIコンソールを使用して、CMEKを専用環境に割り当てることができます。
前提条件:
-
ボールトにCMEKを作成します。手順については、CMEK Creationを参照してください。
-
必要なアクセス制御ポリシーを作成します。詳細は、CMEK Access Controlを参照してください。
手順:
-
OCIコンソールにサインインしてください。
-
左上隅にあるナビゲーション・メニューを開き、「データベース」、「NoSQLデータベース」の順に選択します。
-
「環境」フィールドでドロップダウン・オプションを選択し、専用環境を選択します。
-
「環境」フィールドの下に、「暗号化キー」にOracle管理キーが表示されます。Oracle管理キーの横にある「割当て」リンクを選択します。
-
「マスター暗号化キーの割当て」ページで、「Vault」ドロップダウンからボールトを選択します。
-
「Master Encryption Key」ドロップダウンからCMEKを選択します。
-
「割当て」を選択します。
図- CMEK割当てページ
Oracle NoSQL Database Cloud ServiceによってCMEKが検証された後、選択した専用環境でBlock VolumesおよびObject Storageキーの暗号化にCMEKが使用されます。すべてのブロック・ボリュームおよびオブジェクト・ストレージ・キーが暗号化されるまで、専用環境の状態はUPDATINGに変わります。この期間には、コンソールにキーの更新が進行中という通知メッセージが表示されます。キーの更新には最大2分かかる場合があります。CMEKの割当て後、「暗号化キー」にCMEKとそのOCIDが反映されます。
図- CMEKアサイメント
CMEK別のCMEKで割り当てる
OCIコンソールを使用して、専用環境のCMEKを変更できます。この手順は、キーのローテーションに使用します。
前提条件:
-
CMEKを作成し、それを専用環境に割り当てました。手順については、CMEK Assignを参照してください。
-
ボールトに別のCMEKを作成します。手順については、CMEK Creationを参照してください。
手順:
-
OCIコンソールにサインインしてください。
-
左上隅にあるナビゲーション・メニューを開き、「データベース」、「NoSQLデータベース」の順に選択します。
-
「環境」フィールドでドロップダウン・オプションを選択し、専用環境を選択します。
-
「環境」フィールドの下に、「暗号化キー」にCMEKとそのOCIDが表示されます。暗号化キーの下にある「編集」リンクを選択します
-
「マスター暗号化キーの編集」ページで、「Vault」ドロップダウンからボールトを選択します。
-
「Master Encryption Key」ドロップダウンから必要なCMEKを選択します。
-
「更新」を選択します。
ノート:同じボールトから別のCMEKを割り当てることも、別のボールトからCMEKを割り当てることもできます。
図- CMEKの回転
Oracle NoSQL Database Cloud Serviceによって新しいCMEKが検証された後、そのCMEKを使用して、選択した専用環境でBlock VolumesおよびObject Storageキーを再暗号化します。ブロック・ボリュームおよびオブジェクト・ストレージ内のすべてのデータが再暗号化されるまで、専用環境の状態はUPDATINGに変わります。この期間には、コンソールにキーの更新が進行中という通知メッセージが表示されます。キーの更新には最大2分かかる場合があります。CMEKのローテーション後、暗号化キーには新しいCMEKとそのOCIDが反映されます。
CMEK無効化
OCIコンソールを使用して、以前に専用環境に割り当てられていたCMEKを無効にできます。
前提条件:
- CMEKを作成し、それを専用環境に割り当てました。手順については、CMEK Assignを参照してください。
手順:
-
OCIコンソールにサインインしてください。
-
左上隅にあるナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順に選択します。
-
CMEKを作成したボールトを選択します。
-
CMEKを選択します。
-
「キー詳細」ページで、「無効化」を選択し、操作を確認します。
図- CMEK無効
CMEKのステータスはdisabledと表示されます。専用環境は、数分以内に操作できなくなります。OCIコンソールから専用環境にアクセスしようとすると、CMEKが無効であるというエラー・メッセージが表示されます。
CMEK削除
OCIコンソールを使用して、以前に専用環境に割り当てたCMEKを削除できます。CMEK削除は、偶発的な削除を防ぐために待機期間を持つ2ステップのプロセスです。
前提条件:
- CMEKを作成し、それを専用環境に割り当てました。手順については、CMEK Assignを参照してください。
手順:
-
OCIコンソールにサインインしてください。
-
左上隅にあるナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順に選択します。
-
CMEKを作成したボールトを選択します。
-
CMEKを選択します。
-
「キー詳細」ページで、「キーの削除」を選択します。
-
削除日を選択し、操作を確認します。
図- CMEK削除
CMEKのステータスは削除保留中であり、これは無効状態と同等です。専用環境はどの操作にも使用できなくなります。OCIコンソールから専用環境にアクセスしようとすると、CMEKが無効で削除が保留されているというエラー・メッセージが表示されます。
削除日が過ぎると、専用環境内のすべてのデータが永続的に使用できなくなり、取得できなくなります。OCIコンソールから専用環境にアクセスしようとすると、CMEKが完全に削除されたというエラー・メッセージが表示されます。
CMEK復元
OCIコンソールを使用して、以前に無効にしたCMEKを再度有効にできます。
前提条件:
- CMEKは無効状態です。
手順:
-
OCIコンソールにサインインしてください。
-
左上隅にあるナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順に選択します。
-
CMEKを作成したボールトを選択します。
-
CMEKを選択します。
-
「キー詳細」ページで、「有効化」を選択します。
図- CMEK復元
ボールトでCMEKが再度有効になったら、専用環境をオンラインに戻すためにCAMチケットを上げる必要があります。
CMEK削除
OCIコンソールを使用して、専用環境からCMEKを削除できます。
前提条件:
- CMEKを作成し、それを専用環境に割り当てました。手順については、CMEK Assignを参照してください。
手順:
-
OCIコンソールにサインインしてください。
-
左上隅にあるナビゲーション・メニューを開き、「データベース」、「NoSQLデータベース」の順に選択します。
-
「環境」フィールドでドロップダウン・オプションを選択し、専用環境を選択します。
-
「環境」フィールドの下に、「暗号化キー」にCMEKとそのOCIDが表示されます。「暗号化キー」の下にある「割当て解除」リンクを選択します。
図- CMEKの削除
Oracle NoSQL Database Cloud Serviceは、CMEKを専用環境から削除し、Oracle管理キーをその環境に割り当てます。選択した専用環境のブロック・ボリュームおよびオブジェクト・ストレージ内のすべてのデータは、Oracle管理暗号化キーを使用して暗号化されるに戻ります。CMEKの削除後、暗号化キーにOracle管理キーが反映されます。