Autonomous DatabaseのAmazon Web Services (AWS) Key Management Service (KMS)に存在する顧客管理マスター暗号化キーを使用するための前提条件ステップについて説明します。

1. AWS KMSへの読取りアクセス権を付与するAWSポリシーを作成します。

   手順についてはAWS KMSにアクセスするためのIAMポリシーの作成を、詳細はAmazonリソース名(ARN)を使用するためのAWS管理前提条件の実行を参照してください。

   たとえば、ADBS_AWS_Policy1ポリシーが作成されているとします。
   
   
   

   ADBS_AWS_Policy1ポリシーには、KMSにアクセスする権限が含まれます。
   
   
   

2. AWSロールを作成し、そのロールにポリシーをアタッチします。

   手順については、AWSサービスにアクセスするためのIAMロールの作成を参照してください。

   たとえば、ADBS_AWS_Role1ロールが作成されているとします。

   
   

   
   

   
   

   この例では、ADBS_AWS_Policy1ポリシーがADBS_AWS_Role1ロールにアタッチされています。

   
   

   
   

   
   

   この例のポリシー詳細ページでは、ロールが「権限ポリシーとしてアタッチ済」の下にリストされます:

   
   

   
   

   
   
3. ロールの信頼関係を指定します。

   AWSロールの信頼関係を編集して、OracleのユーザーARNと、セキュリティを強化するための外部ID (テナンシOCID)を含めます。

   1. Autonomous Databaseで、CLOUD_INTEGRATIONSを問い合せます。

      たとえば:

      SELECT * FROM CLOUD.INTEGRATIONS;

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:…:user/oraclearn

      CLOUD_INTEGRATIONSビューは、ADMINユーザーまたはDWROLEロールを持つユーザーが使用できます。

   2. aws_user_arnのPARAM_VALUEをコピーし、後続のステップの値を保存します。
   3. 外部IDに必要なテナンシOCIDを取得します。

      OCIコンソールで、「プロファイル」をクリックし、「テナンシ」を選択してテナンシの詳細ページに移動します。テナンシOCIDをコピーし、後続のステップのために保存します。

      たとえば:

      
      

      
      

      
      
   4. AWSポータルで、ロールの「信頼できるエンティティ」に移動し、「プリンシパル」文にスクロールします。
   5. "Principal"には、保存されたOracleユーザーARNとして"AWS"を指定し、"Condition"には、保存されたOCIDとして"sts:ExternalId"を指定します。

      たとえば:

      
      

      
      

      
      

AWS Key Management Service (KMS)に存在する顧客管理のマスター暗号化キーを使用してAutonomous Databaseを暗号化するステップを示します。

1. 必要に応じて、必要な顧客管理暗号化キーの前提条件ステップを実行します。詳細は、AWSキー管理サービスで顧客管理暗号化キーを使用するための前提条件を参照してください。
2. 「Oracle管理キーを使用した暗号化」のデフォルト暗号化キー設定を使用するAutonomous Databaseインスタンスを作成します。詳細は、Autonomous Databaseインスタンスのプロビジョニングを参照してください。
   ノート
   
   AWS Key Vaultの顧客管理キーの暗号化キー設定は、Autonomous Databaseインスタンスの作成プロセス中は使用できません。このオプションは、インスタンスの編集時にプロビジョニング後に使用できます。
3. Autonomous Databaseインスタンスの「詳細」ページで、「その他のアクション」をクリックし、「暗号化キーの管理」を選択します。
   ノート
   
   すでにAWS KMSで顧客管理キーを使用しており、TDEキーをローテーションする場合は、次のステップに従って別のキーを選択します(現在選択されているマスター暗号化キーとは異なるキーを選択します)。
4. 「暗号化キーの管理」ページで、「顧客管理キーを使用した暗号化」を選択します。
5. 「キー・タイプ」ドロップダウンから、「Amazon Web Services (AWS)」を選択します。
   
   

   
   

   
   
6. サービス・エンドポイントURIを入力します。

   サービス・エンドポイントURIは、AWS KMSが配置されているAWSリージョンです。

   1. AWSポータルに移動し、キーがあるKMSに移動します。
   2. ポータルの上部バーにリストされているリージョン名を検索します。

      たとえば、このKMSはOhioという名前のリージョンにあります:

      
      

      
      

      
      
   3. リージョンに対応するエンドポイントを検索します。AWS Key Management Serviceのエンドポイントおよび割当てに移動し、AWS KMSが配置されているAWSリージョン名のエンドポイントを見つけます。

      たとえば、AWSリージョン名がOhioの場合、エンドポイントはkms.us-east-2.amazonaws.comです。

   4. 「サービス・エンドポイントURI」のエンドポイントを入力します。
7. キーARNまたは別名を入力します。
   1. AWSポータルの主要詳細ページに移動します。キーの別名またはARNをコピーします。

      たとえば、ADBS_TestAWSKMSKeyの別名が選択されます。

      
      

      
      

      
      
   2. キーの別名またはARNを「キーARNまたは別名」フィールドに入力します。
      別名を入力する場合は、エントリの前にalias/を付けます。たとえば、別名がADBS_TestAWSKMSKeyの場合、次のように入力します。

      alias/ADBS_TestAWSKMSKey

      ARNを入力する場合、接頭辞は必要ありません。たとえば、ARNがarn.aws.kms.us-east-2:37807956...bd154の場合、次のように入力します。

      arn.aws.kms.us-east-2:37807956...bd154

8. ARN Role (オプション)を入力します。
   1. AWSポータルのロール詳細ページにナビゲートします。
   2. ロールのARNをコピーします。

      たとえば、ADBS_AWS_Role1のARNがコピーされます。

      
      

      
      

      
      
   3. コピーしたARNを「ARNロール」フィールドに入力します。
9. 外部IDを入力します(オプション)。

   「外部ID」に、tenant_ocidと入力します。

10. 「保存」をクリックします。

    たとえば:

    
    

    
    

    
    

「ライフサイクル状態」が「更新中」に変わります。リクエストが完了すると、「ライフサイクル状態」に「使用可能」と表示されます。

リクエストが完了すると、Oracle Cloud Infrastructure Consoleで、キー情報が「暗号化」ヘッダーの下のAutonomous Databaseインスタンスの詳細ページに表示されます。

たとえば: