機密コンピューティング
機密コンピューティングは、使用中のデータとそのデータを処理するアプリケーションを暗号化して分離します。
機密インスタンスは、コンピュート仮想マシン(VM)またはベア・メタル・インスタンスで、データとデータを処理するアプリケーションの両方が暗号化および分離され、アプリケーションでデータが処理される間、データやアプリケーションへの不正アクセスまたは変更を防止します。
機密コンピュート・ソリューションは、第2世代および第3世代のAMD EPYC™プロセッサを搭載したオラクル社のAMDインスタンスで使用できます。機密仮想マシンはAMDセキュア暗号化仮想化(SEV)テクノロジを使用し、機密ベア・メタル・インスタンスはAMD透過セキュア・メモリー暗号化(TSME)テクノロジを使用します。
機密コンピューティング:
- リアルタイム暗号化を使用して、分離を強化します。データとアプリケーションは、VMの作成中に生成されたVMごとの暗号化鍵を使用して暗号化され、CPUの一部であるAMD Secure Processorのみに存在します。このキーには、アプリケーション、VM、インスタンス、ハイパーバイザ、またはOracle Cloud Infrastructureのいずれからもアクセスできません。
- 機密VMを有効にするために、アプリケーションを変更する必要はありません。
- パフォーマンスへの影響は最小限に抑え、使用中のデータを保護しながら高いパフォーマンスを実現します。機密コンピューティングが有効になっていれば、多くのアプリケーションで、パフォーマンスへの影響はほとんどないか、まったくありません。
サポートおよび制限事項
- インスタンスで機密コンピューティングを有効にした後、編集できるのはインスタンスの名前のみです。インスタンスのシェイプは変更できません。詳細は、「インスタンスのシェイプの変更」を参照してください。
- 機密コンピューティングを利用できるのは、次のリージョンのみです:
- ドイツ中央部(フランクフルト)
- インド南部(Hyderabad)
- インド西部(ムンバイ)
- スイス北部(チューリッヒ)
- 英国Gov西部(ニューポート)
- 英国南部(ロンドン)
- 米国東部(アッシュバーン)
- 米国西部(フェニックス)
- 機密コンピューティングでは、次の機能は使用できません:
- プリエンプティブル容量
- 容量予約
- 専用仮想マシン・ホスト
- 保護インスタンス
機密コンピューティングをサポートするコンピュート・シェイプ
次の表に、機密コンピューティングをサポートするコンピュート・シェイプを示します:
| 仮想マシンのコンピュート・シェイプ(Oracle Linux 7.xまたは8.xプラットフォーム・イメージ上) | ベア・メタル・インスタンスのコンピュート・シェイプ(任意のプラットフォーム・イメージ上) |
|---|---|
| VM.Standard.E4.Flex | BM.DenseIO.E4.128 |
| VM.Standard.E3.Flex | BM.Standard.E4.128 |
| BM.Standard.E3.128 |
機密コンピューティングを有効にするには、「インスタンスの作成」を参照してください。