Oracle Cloud Infrastructureドキュメント

外部キー管理サービス

外部KMS機能とそのユースケースおよび利点の概要。

OCI Key Management Service (KMS)は、保存されているデータを暗号化するためのマスター鍵を格納および管理するために、Oracleデータ・センター内でホストされているハードウェア・セキュリティ・モジュールを使用します。データ・セキュリティの強化と、Oracleクラウドまたはサードパーティのクラウド・オンプレミスの外部にキーを格納する規制コンプライアンスを持つお客様のために、OCI KMSは外部キー管理サービス(外部KMS)と呼ばれる機能を提供するようになりました。

外部KMSでは、OCI外部でホストされているサードパーティ・キー管理システムで(外部キーとして)マスター暗号化キーを格納および制御できます。その後、これらのキーを使用してOracle内のデータを暗号化できます。キーはいつでも無効にできます。サードパーティ・キー管理システムに存在する実際のキーを使用して、OCIに(キー・マテリアルに関連付けられた)キー参照のみを作成します。
ノート

OCI外部KMSでは、Thalesは最初のサード・パーティの外部キー管理ベンダーです。ドキュメント全体を通して、Thales CipherTrust Manager (CM)を外部キー・マネージャと呼びます。

ベネフィット

OCI KMSサービスの外部KMSサービスのメリットは次のとおりです。

  • 主な来歴 – 外部で作成されたキーの使用を管理できます。外部キーはOracleのどこにでもキャッシュまたは格納されず、KMSはこれらのキーを制御できません。かわりに、OCI KMSは、暗号化(暗号化/復号化)操作のためにサードパーティのキー管理システムと直接対話します。
  • セキュリティの強化- サードパーティの鍵管理システムを使用して、保存データを最大限のセキュリティで保護します。Oracleクラウド外部のキーを格納するための高度なセキュリティを提供します。
  • 一元化されたキー管理- サードパーティのキー管理システムでキーを管理できます。これにより、Oracleクラウド内のデータを保護する暗号化キーをより詳細に制御できます。

使用例

外部KMS機能を実装できるユースケースを次に示します。

  • 規制を順守している銀行や公共部門は、Oracle Cloudのデータと物理的に分離された暗号化鍵をオンプレミスに格納することを希望しています。
  • Oracle外部およびオンプレミスのHSMで暗号化操作を実行するためのセキュリティ・コンプライアンスを持つバンキング顧客で、キーへのアクセスにおけるクラウド・ベンダーとの排他的セキュリティを実現します。
  • マルチクラウド・デプロイメントを選択するお客様は、OCI内のデータベースを別のクラウド・ベンダー上の暗号化サービスに接続する必要があります。外部KMS機能は、OCIのマルチ・クラウド戦略の成功を後押しする重要な機能です。

用語

外部KMSの機能を理解するために、次の用語を理解します。

用語 説明
外部キー・マネージャ 顧客が所有およびホストするHSM。
外部Vault 外部キーを格納するためにサードパーティ・キー管理システムで作成されたVault。
外部キー 1つ以上の外部キー・バージョンを含むサードパーティ・キー管理システムで作成されたキー。
外部キーのバージョン 外部キーにはそれぞれ自動的にキー・バージョンが割り当てられます。外部キーをローテーションすると、外部キー・マネージャは新しいキー・バージョンを生成します。
サード・パーティの鍵管理システム 顧客が所有およびホストするHSM。
高速接続 FastConnectは、顧客のオンプレミスとOracle Cloud Infrastructure間にプライベート接続を作成する手段です。
プライベート・エンドポイント(PE) プライベート・エンドポイントは、顧客のVCN内のプライベートIPアドレスで、Oracle Cloud Infrastructure内の特定のサービスへのアクセスに使用できます。
データ暗号化キー(DEK) データを暗号化および復号化するファンクションの暗号化キー。
Thales CipherTrust Manager(CM) 暗号化キーを一元管理し、きめ細かなアクセス制御を提供し、FIPS 140-2準拠のThales Lunaまたはサードパーティのハードウェア・セキュリティ・モジュール(HSM)と統合するセキュリティ・ポリシーを構成して、信頼の最も高いルートのキーを安全に格納します。