Oracle Cloud Infrastructureドキュメント

プライベート・エンドポイントの作成

外部キー管理リソースのプライベート・エンドポイントを作成します。

VCNの外部キー管理リソースを表すプライベート・エンドポイントを構成し、OCI KMSサービスにアクセスできます。
ノート

失敗したプライベート・エンドポイントを明示的に削除して、メモリー割当ての問題を克服してください。この問題が解決しない場合は、アクティブなプライベート・エンドポイントが存在しない場合でも消費が制限されることがあります。
    1. Oracle Cloudコンソールのナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「キー管理およびシークレット管理」で、「プライベート・エンドポイント」をクリックします。
    2. 「プライベート・エンドポイント」ページで、「プライベート・エンドポイントの作成」をクリックします。
    3. 「プライベート・エンドポイントの作成」ページで、次の詳細を指定します:
      • タイプ外部キー管理プライベート・エンドポイント・タイプを「外部」として表示します。これは、OCI KMSでサポートされている唯一のエンドポイント・タイプです。
      • 名前外部キー管理のプライベート・エンドポイントの名前を入力します。
      • 説明。簡単な説明を入力します。
      • Virtual Cloud Network。ドロップダウン・リストからVCNを選択します。
      • サブネット。サブネット値は、選択したVCNに基づいて自動移入されます。
      • 外部キー管理IPアドレス。TLS接続構成に基づいて、ThalesのCipherTrust Managerの静的IPアドレスまたはAPI GatewayのプライベートIPアドレスのいずれかを指定します。
      • Port外部キー管理リソースのポート番号を入力します。静的IPアドレス・ベースのTLS接続の場合は、Thales CipherTrust Managerサーバーのポート番号を指定します。例: 443FQDNベースのTLS接続の場合は、フィールドを空白のままにします。
      • CAバンドル外部CAは、PEM形式の証明書ファイルです。CAの詳細は、認証局を参照してください。
        ノート

        TLS接続構成に基づいて、Thales CTMまたはOCI API GatewayのCAバンドルを使用します。
    4. 「送信」をクリックします。

      外部キー管理用のプライベート・エンドポイントを作成したら、「プライベート・エンドポイントの詳細」ページにアクセスして、エンドポイントをACTIVE状態で確認できます。ページの上部にあるアクションを使用して、名前の変更、リソースの移動、タグの追加またはエンドポイントの削除を行うことができます。

  • コマンド・プロンプトを開き、ooci kms ekm ekms-private-endpoint createを実行して新しいプライベート・エンドポイントを作成します:

    oci kms ekm ekms-private-endpoint create  --ca-bundle <bundle_type> --compartment-id <compartment_id>| -c <secret_name> --display-name <name> --xternal-key-manager-ip <ip address> --subnet-id,  <subnet_id> --defined-tags <tags> --freeform-tags<tags>

    たとえば:

    
--ca-bundle "-----BEGIN CERTIFICATE-----\nMIIFrjCCA5agAwIBAgIQAsMYA04ijAErxlDri 6cIa/\n-----END CERTIFICATE-----",
--compartment-id "ocid1.compartment.region1..aaaaaaaaiexample6mjdbzlsxf576zgtlbi3",
--display-name "Example EKMS PE",
--external-key-manager-ip 1.2.3.4,
--subnet-id "ocid1.subnet.region1.sea.aaaaaaexamplenpse5gupw56s5",
--freeform-tags {"key": "value"},
--port 6758

    機密情報を入力しないでください。

    Vault CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateEkmsPrivateエンドポイント操作を実行して、外部KMSをThales CipherTrust Managerに接続するためのプライベート・エンドポイントを作成します。

    ノート

    各リージョンには、シークレットの作成、更新およびリスト操作のための一意のエンドポイントがあります。このエンドポイントは、コントロール・プレーンURLまたはシークレット管理エンドポイントと呼ばれます。各リージョンには、シークレット・コンテンツの取得に関連する操作に対応する一意のエンドポイントもあります。このエンドポイントは、データ・プレーンURLまたはシークレット取得エンドポイントと呼ばれます。リージョン・エンドポイントの詳細は、APIドキュメントを参照してください。

    APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。