マスター暗号化キーの作成

• コンソール
• CLI
• API

• 1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順に選択します。
  2. 「リスト範囲」で、作成するキーを含むボールトを含むコンパートメントを選択します。
  3. キーを作成するボールトの名前を選択します。

     キーに新しいボールトを作成する必要がある場合は、Vaultの作成の手順に従って、ボールトの名前を選択します。

  4. 「リソース」で、「マスター暗号化キー」、「キーの作成」の順に選択します。
  5. 「マスター暗号化キー」を選択し、「キーの作成」を選択します。キーは、ボールトのコンパートメントとは異なるコンパートメントに作成できます。
  6. 「保護モード」で、次のいずれかのオプションを選択します:
     • HSM: ハードウェア・セキュリティ・モジュール(HSM)に格納されて処理されるマスター暗号化キーを作成するには、このオプションを選択します。
     • ソフトウェア:サーバーに格納および処理されるマスター暗号化キーを作成するには、このオプションを選択します。

     キーの保護モードは、作成後は変更できません。キー保護モードに関する情報など、キーの詳細は、キーおよびシークレット管理の概念を参照してください。

  7. キーを識別する名前を入力します。機密情報を入力しないでください。
  8. 「キー・シェイプ: アルゴリズム」で、次のいずれかのアルゴリズムを選択します。
     • AES: Advanced Encryption Standard (AES)キーは、保存データの暗号化に使用できる対称キーです。
     • RSA: Rivest-Shamir-Adleman (RSA)キーは非対称キーで、公開キーと秘密キーで構成されるキー・ペアとも呼ばれます。これらを使用して、転送中のデータの暗号化、データの署名、および署名済データの整合性の検証を行うことができます。
     • ECDSA: 楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キーは、データの署名および署名済データの整合性の検証に使用できる非対称キーです。
  9. RSAのみ。AESまたはRSAを選択した場合は、対応するキー・シェイプの長さをビット単位で選択します。
  10. ECDSAのみ。ECDSAを選択した場合は、「キー・シェイプ: 楕円曲線ID」の値を選択します。
  11. インポートされたキーのみ。パブリックにラップされたキーをインポートしてキーを作成するには、「外部キーのインポート」チェック・ボックスを選択し、次の詳細を指定します:
      • ラッピング・アルゴリズム: RSA_OAEP_AES_SHA256 (一時的なAESキーのSHA-256ハッシュを含むRSA-OAEP)を選択します。
      • 外部キー・データ・ソース:ラップ済RSAキー・マテリアルが含まれるファイルをアップロードします。
  12. オプションです。「自動ローテーション」チェック・ボックスを選択して、自動キー・ローテーションを有効にします。キーの作成後に自動ローテーション設定を編集できることに注意してください。
  13. 自動ローテーションの場合のみ。「自動ローテーション・スケジュール」セクションで、次の詳細を指定します:
      • 「開始日」:カレンダ・アイコンを使用して、キー・ローテーション・スケジュールを開始する日付を選択します。交代勤務は予定日以前に行われます。たとえば、今日キーを作成するか、既存のキーを更新し、自動ローテーション開始日を4月10日として事前定義された間隔90日でスケジュールすると、自動ローテーションは7月10日(4月10日+ 90日)以前に開始されます。
        ノート
        
        KMSでは、自動ローテーションがローテーション間隔の終了時または終了前に行われることが保証されます。ローテーションは、スケジュールされた間隔の数日前まで開始できます。
      • ローテーション間隔:キーをローテーションする必要がある事前定義済の間隔を選択します。デフォルトでは、間隔は90に設定されています。
      • オプションです。カスタム:カスタム・ローテーション間隔を60日から365日に設定するには、このオプションを選択します。
  14. オプションです。タグを適用するには、「拡張オプションの表示」を選択します。
      リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
  15. 「キーの作成」を選択します。

• マスター暗号化キーを作成するには、oci kms management key createコマンドと必要なパラメータを使用します:

  oci kms management key create --compartment-id <target_compartment_id> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <control_plane_url> --is-auto-rotation-enabled <true | false> --auto-key-rotation-details <schedule_interval_information>

  たとえば:

  oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{"algorithm":"AES","length":"16"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com --is-auto-rotation-enabled enabled --auto-key-rotation-details '{"rotationIntervalInDays": 90, "timeOfScheduleStart": "2024-02-20T00:00:00Z"}' 

  CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

• CreateKey操作を実行して、KMSMANAGMENTエンドポイントを使用して新しいボールト・マスター暗号化キーを作成します。

  作成するキーの詳細は、CreateKeyDetails操作を参照してください。

  Note
  
  Each region uses the KMSMANAGMENT endpoint for managing keys. This endpoint is referred to as the control plane URL or vault management endpoint. For regional endpoints, see the API Documentation.

  APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。