AWS Key Management Serviceでのマスター暗号化キーの管理

Autonomous Databaseは、AWS Key Management Service (KMS)に存在する顧客管理Transparent Data Encryption (TDE)キーをサポートしています。

AWSキー管理サービスで顧客管理暗号化キーを使用するための前提条件

Autonomous DatabaseのAmazon Web Services (AWS) Key Management Service (KMS)に存在する顧客管理マスター暗号化キーを使用するための前提条件ステップについて説明します。

制限事項
  • AWS KMSは商用リージョンでのみサポートされています。
  • Autonomous DatabaseインスタンスとAWS KMSが異なるテナンシにあるクロステナンシ・アクセスはサポートされていません。
  • AWS KMSは、クロスリージョン・スタンバイではサポートされていません。
  • AWS KMSはリフレッシュ可能クローンではサポートされていません。

次のステップを実行します:

  1. AWS KMSへの読取りアクセス権を付与するAWSポリシーを作成します。

    手順についてはAWS KMSにアクセスするためのIAMポリシーの作成を、詳細はAmazonリソース名(ARN)を使用するためのAWS管理前提条件の実行を参照してください。

    たとえば、ADBS_AWS_Policy1ポリシーが作成されているとします。
    sec_aws_policy.pngの説明が続きます

    ADBS_AWS_Policy1ポリシーには、KMSにアクセスする権限が含まれます。
    sec_aws_perm.pngの説明が続きます

  2. AWSロールを作成し、そのロールにポリシーをアタッチします。

    手順については、AWSサービスにアクセスするためのIAMロールの作成を参照してください。

    たとえば、ADBS_AWS_Role1ロールが作成されているとします。


    sec_aws_role.pngの説明が続きます

    この例では、ADBS_AWS_Policy1ポリシーがADBS_AWS_Role1ロールにアタッチされています。


    sec_aws_att_policy.pngの説明が続きます

    この例のポリシー詳細ページでは、ロールが「権限ポリシーとしてアタッチ済」の下にリストされます:


    sec_aws_att_role.pngの説明が続きます

  3. ロールの信頼関係を指定します。

    AWSロールの信頼関係を編集して、OracleのユーザーARNと、セキュリティを強化するための外部ID (テナンシOCID)を含めます。

    1. Autonomous Databaseで、CLOUD_INTEGRATIONSを問い合せます。

      たとえば:

      SELECT * FROM CLOUD.INTEGRATIONS;
      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:…:user/oraclearn

      CLOUD_INTEGRATIONSビューは、ADMINユーザーまたはDWROLEロールを持つユーザーが使用できます。

    2. aws_user_arnPARAM_VALUEをコピーし、後続のステップの値を保存します。
    3. 外部IDに必要なテナンシOCIDを取得します。

      OCIコンソールで、「プロファイル」をクリックし、「テナンシ」を選択してテナンシの詳細ページに移動します。テナンシOCIDをコピーし、後続のステップのために保存します。

      たとえば:


      sec_aws_ocid.pngの説明が続きます

    4. AWSポータルで、ロールの「信頼できるエンティティ」に移動し、「プリンシパル」文にスクロールします。
    5. "Principal"には、保存されたOracleユーザーARNとして"AWS"を指定し、"Condition"には、保存されたOCIDとして"sts:ExternalId"を指定します。

      たとえば:


      sec_aws_trustrel.pngの説明が続きます

AWSキー管理サービスを使用したAutonomous Databaseでの顧客管理暗号化キーの使用

AWS Key Management Service (KMS)に存在する顧客管理のマスター暗号化キーを使用してAutonomous Databaseを暗号化するステップを示します。

次のステップを実行します:

  1. 必要に応じて、必要な顧客管理暗号化キーの前提条件ステップを実行します。詳細は、AWSキー管理サービスで顧客管理暗号化キーを使用するための前提条件を参照してください。
  2. 「Oracle管理キーを使用した暗号化」のデフォルト暗号化キー設定を使用するAutonomous Databaseインスタンスを作成します。詳細は、Autonomous Databaseインスタンスのプロビジョニングを参照してください。
    ノート

    AWS Key Vaultの顧客管理キーの暗号化キー設定は、Autonomous Databaseインスタンスの作成プロセス中は使用できません。このオプションは、インスタンスの編集時にプロビジョニング後に使用できます。
  3. Autonomous Databaseインスタンスの「詳細」ページで、「その他のアクション」をクリックし、「暗号化キーの管理」を選択します。
    ノート

    すでにAWS KMSで顧客管理キーを使用しており、TDEキーをローテーションする場合は、次のステップに従って別のキーを選択します(現在選択されているマスター暗号化キーとは異なるキーを選択します)。
  4. 「暗号化キーの管理」ページで、「顧客管理キーを使用した暗号化」を選択します。
  5. 「キー・タイプ」ドロップダウンから、「Amazon Web Services (AWS)」を選択します。

    sec_aws.pngの説明が続きます

  6. サービス・エンドポイントURIを入力します。

    サービス・エンドポイントURIは、AWS KMSが配置されているAWSリージョンです。

    1. AWSポータルに移動し、キーがあるKMSに移動します。
    2. ポータルの上部バーにリストされているリージョン名を検索します。

      たとえば、このKMSはOhioという名前のリージョンにあります:


      sec_aws_region.pngの説明が続きます

    3. リージョンに対応するエンドポイントを検索します。AWS Key Management Serviceのエンドポイントおよび割当てに移動し、AWS KMSが配置されているAWSリージョン名のエンドポイントを見つけます。

      たとえば、AWSリージョン名がOhioの場合、エンドポイントはkms.us-east-2.amazonaws.comです。

    4. 「サービス・エンドポイントURI」のエンドポイントを入力します。
  7. キーARNまたは別名を入力します。
    1. AWSポータルの主要詳細ページに移動します。キーの別名またはARNをコピーします。

      たとえば、ADBS_TestAWSKMSKeyの別名が選択されます。


      sec_aws_alias.pngの説明が続きます

    2. キーの別名またはARNを「キーARNまたは別名」フィールドに入力します。
      別名を入力する場合は、エントリの前にalias/を付けます。たとえば、別名がADBS_TestAWSKMSKeyの場合、次のように入力します。
      alias/ADBS_TestAWSKMSKey
      ARNを入力する場合、接頭辞は必要ありません。たとえば、ARNがarn.aws.kms.us-east-2:37807956...bd154の場合、次のように入力します。
      arn.aws.kms.us-east-2:37807956...bd154
  8. ARN Role (オプション)を入力します。
    1. AWSポータルのロール詳細ページにナビゲートします。
    2. ロールのARNをコピーします。

      たとえば、ADBS_AWS_Role1のARNがコピーされます。


      sec_aws_arn_role.pngの説明が続きます

    3. コピーしたARNを「ARNロール」フィールドに入力します。
  9. 外部IDを入力します(オプション)。

    「外部ID」に、tenant_ocidと入力します。

  10. 「保存」をクリックします。

    たとえば:


    sec_aws_save.pngの説明が続きます

「ライフサイクル状態」「更新中」に変わります。リクエストが完了すると、「ライフサイクル状態」「使用可能」と表示されます。

リクエストが完了すると、Oracle Cloud Infrastructure Consoleで、キー情報が「暗号化」ヘッダーの下のAutonomous Databaseインスタンスの詳細ページに表示されます。

たとえば:


sec_aws_done.pngの説明が続きます