CMEKキー管理ワークフロー

顧客管理暗号化キーでサポートされる管理操作について学習します。

関連項目

CMEKキー管理操作

OCIコンソールでは、次のCMEK管理操作を実行できます。

各操作の詳細は、次の各項で説明します。

CMEK割当

OCIコンソールを使用して、CMEKを専用環境に割り当てることができます。
前提条件
  • ボールトにCMEKを作成します。手順については、CMEK Creationを参照してください。
  • 必要なアクセス制御ポリシーを作成します。詳細は、「CMEKアクセス制御」を参照してください。
手順:
  1. OCIコンソールにサインインしてください。
  2. 左上隅にあるナビゲーション・メニューを開き、「データベース」NoSQL「データベース」の順に選択します。
  3. 「環境」フィールドでドロップダウン・オプションを選択し、専用環境を選択します。
  4. 「環境」フィールドの下にある「暗号化キー」Oracle管理キーが表示されます。Oracle管理キーの横にある「割当て」リンクを選択します。
  5. 「マスター暗号化キーの割当て」ページで、「Vault」ドロップダウンからボールトを選択します。
  6. 「マスター暗号化キー」ドロップダウンからCMEKを選択します。
  7. 「割当て」を選択します。

図- 「CMEK割当」ページ


図の説明が続きます
「図- 「CMEK割当」ページ」の説明

Oracle NoSQL Database Cloud Serviceでは、CMEKが検証された後、そのCMEKを使用して、選択した専用環境のブロック・ボリュームおよびオブジェクト・ストレージ・キーを暗号化します。専用環境の状態は、すべてのBlock VolumesおよびObject Storageキーが暗号化されるまでUPDATINGに変わります。この期間中に、Key update in progressという通知メッセージがコンソールに表示されます。キーの更新には最大2分かかる場合があります。CMEKの割当て後、暗号化キーにCMEKとそのOCIDが反映されます。

図- CMEK割当


図の説明が続きます
「図- CMEK割当て」の説明

別のCMEKでCMEKを割り当てる

OCIコンソールを使用して、専用環境でCMEKを変更できます。この手順は、キーのローテーションに使用します。
前提条件
  • CMEKを作成して専用環境に割り当てました。手順については、CMEK Assignを参照してください。
  • ボールトに別のCMEKを作成します。手順については、CMEK Creationを参照してください。
手順:
  1. OCIコンソールにサインインしてください。
  2. 左上隅にあるナビゲーション・メニューを開き、「データベース」NoSQL「データベース」の順に選択します。
  3. 「環境」フィールドでドロップダウン・オプションを選択し、専用環境を選択します。
  4. 「環境」フィールドの下にある「暗号化キー」には、CMEKとそのOCIDが表示されます。暗号化キーの下にある「編集」リンクを選択します
  5. 「マスター暗号化キーの編集」ページで、「Vault」ドロップダウンからボールトを選択します。
  6. 「マスター暗号化キー」ドロップダウンから必要なCMEKを選択します。
  7. 「更新」を選択します。

    ノート:

    同じボールトから別のCMEKを割り当てることも、別のボールトからCMEKを割り当てることもできます。

図- CMEK回転


図の説明が続きます
「図- CMEK回転」の説明

Oracle NoSQL Database Cloud Serviceは新しいCMEKを検証し、それを使用して選択した専用環境内のブロック・ボリュームおよびオブジェクト・ストレージ・キーを再暗号化します。専用環境の状態は、Block VolumesおよびObject Storage内のすべてのデータが再暗号化されるまでUPDATINGに変わります。この期間中に、Key update in progressという通知メッセージがコンソールに表示されます。キーの更新には最大2分かかる場合があります。CMEKのローテーション後、暗号化キーには新しいCMEKとそのOCIDが反映されます。

CMEK無効化

OCIコンソールを使用して、以前に専用環境に割り当てられていたCMEKを無効にできます。
前提条件
  • CMEKを作成して専用環境に割り当てました。手順については、CMEK Assignを参照してください。
手順:
  1. OCIコンソールにサインインしてください。
  2. 左上隅にあるナビゲーション・メニューを開き、「アイデンティティとセキュリティ」「Vault」の順に選択します。
  3. CMEKを作成したボールトを選択します。
  4. 自分のCMEKを選択します。
  5. 「キーの詳細」ページで、「無効化」を選択し、操作を確認します。

図- CMEK無効化


図の説明が続きます
「図- CMEK無効化」の説明

CMEKのステータスは無効と表示されます。専用環境は、数分以内に操作できなくなります。OCIコンソールから専用環境にアクセスしようとすると、CMEKが無効になっているというエラー・メッセージが表示されます。

CMEK削除

OCIコンソールを使用して、以前に専用環境に割り当てたCMEKを削除できます。CMEKの削除は、誤って削除されないように、待機期間を持つ2ステップのプロセスです。
前提条件
  • CMEKを作成して専用環境に割り当てました。手順については、CMEK Assignを参照してください。
手順:
  1. OCIコンソールにサインインしてください。
  2. 左上隅にあるナビゲーション・メニューを開き、「アイデンティティとセキュリティ」「Vault」の順に選択します。
  3. CMEKを作成したボールトを選択します。
  4. 自分のCMEKを選択します。
  5. 「キーの詳細」ページで、「キーの削除」を選択します。
  6. 削除日を選択し、操作を確認します。

図- CMEKの削除


図の説明が続きます
「図- CMEKの削除」の説明

CMEKのステータスは、削除保留中(無効状態と同等)を示します。専用環境はどの操作にも使用できなくなります。OCIコンソールから専用環境にアクセスしようとすると、CMEKが無効になり、削除が保留されているというエラー・メッセージが表示されます。

削除日が過ぎると、専用環境内のすべてのデータは永久に使用できなくなり、取得できなくなります。OCIコンソールから専用環境にアクセスしようとすると、CMEKが完全に削除されたというエラー・メッセージが表示されます。

CMEK復元

OCIコンソールを使用して、以前に無効にしたCMEKを再度有効にできます。
前提条件
  • CMEKは無効状態です。
手順:
  1. OCIコンソールにサインインしてください。
  2. 左上隅にあるナビゲーション・メニューを開き、「アイデンティティとセキュリティ」「Vault」の順に選択します。
  3. CMEKを作成したボールトを選択します。
  4. 自分のCMEKを選択します。
  5. 「キーの詳細」ページで、「有効化」を選択します。

図- CMEK復元


図の説明が続きます
「図- CMEKの復元」の説明

CMEKがボールトで再度有効になったあと、専用環境をオンラインに戻すには、CAMチケットを上げる必要があります。

CMEK削除

OCIコンソールを使用して、専用環境からCMEKを削除できます。
前提条件
  • CMEKを作成して専用環境に割り当てました。手順については、CMEK Assignを参照してください。
手順:
  1. OCIコンソールにサインインしてください。
  2. 左上隅にあるナビゲーション・メニューを開き、「データベース」NoSQL「データベース」の順に選択します。
  3. 「環境」フィールドでドロップダウン・オプションを選択し、専用環境を選択します。
  4. 「環境」フィールドの下にある「暗号化キー」には、CMEKとそのOCIDが表示されます。「暗号化キー」の下にある「割当て解除」リンクを選択します。

図- CMEKの削除


図の説明が続きます
「図- CMEKの削除」の説明

Oracle NoSQL Database Cloud Serviceは、CMEKを専用環境から削除し、Oracle管理キーを割り当てます。選択した専用環境のブロック・ボリュームおよびオブジェクト・ストレージ内のすべてのデータは、Oracle管理暗号化キーを使用して暗号化に戻ります。CMEKの削除後、「暗号化キー」Oracle管理キーが反映されます。