Oracle Cloud Infrastructureドキュメント

暗号化キーの使用

暗号化キーを使用してビッグ・データ・サービスを保護する方法をご紹介します。

ビッグ・データ・サービス・クラスタで顧客管理暗号化キーを使用する方法と、顧客管理暗号化キーを使用している場合にキーのローテーション後に暗号化を更新する方法、別の顧客管理暗号化キーに切り替える方法、またはOracle管理暗号化キーに切り替える方法について説明します。

ビッグ・データ・サービス・クラスタでの暗号化キーの管理について

ビッグ・データ・サービスには、次の暗号化オプションが用意されています。

  • Oracle管理暗号化キー
  • 顧客管理暗号化キー

KMSキーを使用してビッグ・データ・サービス・クラスタを作成するには、次の手順を実行します。

  1. ボールトを作成し、テナンシのボールトに暗号化キーを作成します。新しいボールトを作成するにはおよび新しいマスター暗号化キーを作成するにはを参照してください。
  2. KMSキーに関するIAMポリシーを作成します。KMSキーを使用したブロック・ストレージ暗号化のIAMポリシーの作成およびKMSキーを使用したオブジェクト・ストレージ暗号化のIAMポリシーの作成を参照してください。
  3. KMSキーを選択するビッグ・データ・サービス・クラスタを作成します。クラスタの作成を参照してください。

Oracle管理暗号化キー

デフォルトでは、クラスタはOracle管理暗号化キーを使用します。Big Data Serviceでは、Oracle管理キーを使用して、クラスタを保護する暗号化キーを作成および管理します。

ビッグ・データ・サービス・クラスタで顧客管理暗号化キーを使用するための前提条件

ビッグ・データ・サービスで顧客管理キーを使用するには、次の前提条件ステップを実行します。
  1. Oracle Cloud Infrastructure Vaultを作成します。
    1. Oracle Cloud Infrastructure Consoleを開きます。
    2. 「アイデンティティとセキュリティ」で、「Vault」を選択します。
    3. 既存の Vaultを選択するか、Vaultを作成します。

      詳細は、ボールトの作成の新しいボールトを作成するにはの手順を参照してください。

  2. Vaultにマスター暗号化キーを作成します。
    ノート

    キーを作成する場合、次のオプションを使用する必要があります:
    • キー形式: アルゴリズム: AES (暗号化および暗号化に使用される対称キー)
    • キー・シェイプ: 長さ: 256ビット

    詳細は、新しいマスター暗号化キーを作成するにはおよびキー管理の概要を参照してください。

  3. 書込みポリシー・ステートメント:
    1. Oracle Cloud Infrastructure Consoleで、「識別およびセキュリティ」を選択し、「ポリシー」を選択します。
    2. 動的グループのポリシーを記述するには、「ポリシーの作成」を選択し、「名前」「説明」を入力します。
    3. ポリシー・ビルダーを使用してポリシーを作成します。

    詳細は、ポリシーの開始を参照してください。暗号化に固有のポリシーの詳細は、KMSキーを使用したブロック・ストレージ暗号化のIAMポリシーの作成およびKMSキーを使用したオブジェクト・ストレージ暗号化のIAMポリシーの作成を参照してください。