Autonomous Databaseでの顧客管理キーの使用に関するノート

Autonomous Databaseで顧客管理キーを使用するための追加情報およびノートを提供します

鍵にアクセスできないときの顧客管理暗号化鍵に関する注意

顧客管理キーに切り替えた後、キーにアクセスできない場合、一部のデータベース操作が影響を受ける可能性があります。

ネットワークの停止など、データベースがなんらかの理由でキーにアクセスできない場合は、Autonomous Databaseによって停止が次のように処理されます:

  • データベースがアップおよび実行されたままになる2時間の猶予期間があります。

  • 2時間の猶予期間の終了時にキーに到達できない場合、データベースのLifecycle Stateは「アクセス不可」に設定されます。この状態では、既存の接続は削除され、新しい接続は許可されません。

  • Oracle Cloud Infrastructure Vaultの使用時にAutonomous Data Guardが有効化されている場合、2時間の猶予期間中または猶予期間後に手動でフェイルオーバー操作を実行できます。顧客管理暗号化キーを使用しており、Oracle Cloud Infrastructure Vaultにアクセスできない場合、Autonomous Data Guardの自動フェイルオーバーはトリガーされません。

    ノート

    Autonomous Data Guardでは、Oracle Cloud Infrastructure Vaultのみがサポートされています。
  • Autonomous Databaseが停止している場合、キーにアクセスできないときはデータベースを起動できません。

    この場合、Oracle Cloud Infrastructureコンソールの「リソース」の下で「作業リクエスト」をクリックすると表示される作業リクエストでは、次のように表示されます:

    The Vault service is not accessible. 
    Your Autonomous Database could not be started. Please contact Oracle Support.

マスター・キーが無効化または削除された場合の顧客管理暗号化キーの使用に関する注意

顧客管理キーに切り替えると、マスター・キーが無効化または削除されると、一部のデータベース操作が影響を受ける可能性があります。

  • マスター暗号化キーの状態が次のいずれかであるキーの無効化/削除操作の場合:

    キー・コンテナー キー状態
    Oracle Cloud Infrastructure(OCI)Vault
    • DISABLING
    • DISABLED
    • DELETING
    • DELETED
    • SCHEDULING_DELETION
    • PENDING_DELETION
    AWSキー管理システム(KMS)
    • Disabled
    • PendingDeletion
    Azure Key Vault
    • DISABLED
    • DELETED
    Oracle Key Vault (OKV)
    • COMPROMISED
    • DEACTIVATED
    • DESTROYED

    キーLifecycle Stateがこれらの状態のいずれかになった後、データベースは「アクセス不可」になります。キーがこれらのいずれかの状態の場合、Autonomous Databaseは既存の接続を削除し、新しい接続を許可しません。

    アクセスできないデータベースは、キー操作後最大15分かかることがあります(Autonomous Databaseは15分間隔でキー・プロバイダをチェックします)。

  • Autonomous Data Guardが有効になっているときにAutonomous Databaseで使用されるOracle Cloud Infrastructure Vaultキーを無効化または削除した場合、Autonomous Data Guardは自動フェイルオーバーを実行しません。

    ノート

    Autonomous Data Guardでは、Oracle Cloud Infrastructure Vaultのみがサポートされています。
  • 無効なキーを有効にすると、データベースは自動的に「使用可能」状態になります。

  • マスター・キーを削除すると、Oracle Cloud Infrastructure Consoleでキー履歴をチェックして、データベースに使用されたキーを探すことができます。履歴には、キー名とアクティブ化タイムスタンプが表示されます。履歴リストの古いキーの1つが引き続き使用可能な場合は、データベースがそのキーを使用していた時点にリストアすることも、バックアップからクローニングしてそのタイムスタンプを持つ新しいデータベースを作成することもできます。

詳細は、Autonomous Databaseでの顧客管理暗号化キーの履歴の表示を参照してください。

顧客管理暗号化キーの履歴およびバックアップの使用に関する注意

顧客管理キーに切り替えた後、マスター・キーがローテーション、無効化または削除され、以前に保存したバックアップまたはクローンからデータをリストアするための有効なキーがない場合、一部のデータベース操作が影響を受ける可能性があります。

  • 過去60日間にローテーションに使用されていない新しいキーを作成し、そのキーをローテーションに使用することをお薦めします。これにより、現在のキーが削除または無効化されている場合にバックアップに戻ることができます。

  • 60日以内に暗号化キーの回転を複数回実行する場合は、マスター暗号化キーの回転操作ごとに新しい鍵を作成するか、過去60日間に使用されていない鍵を指定することをお勧めします。これは、顧客管理マスター暗号化キーが無効化または削除されている場合に、バックアップからのデータのリカバリに使用できるキーを少なくとも1つ保存するのに役立ちます。

詳細は、Autonomous Databaseでの顧客管理暗号化キーの履歴の表示を参照してください。

Autonomous Data Guardを使用したOCI Vaultの顧客管理キーに関するノート

Autonomous Data Guardは、キー・プロバイダのOracle Cloud Infrastructure Vaultで顧客管理キーを使用する場合でサポートされます。

ノート

Oracle管理キーを使用している場合、プライマリ・データベースから顧客管理キーにのみ切り替えることができます。同様に、顧客管理キーを使用している場合、キーのみをローテーションしたり、プライマリ・データベースからOracle管理キーに切り替えることができます。スタンバイ・データベースでは、「他のアクション」「暗号化キーの管理」オプションが無効になります。

Autonomous Data Guardを顧客管理キーのあるスタンバイ・データベースとともに使用する場合は、次の点に注意してください:

  • リモート・スタンバイでプライマリと同じマスター暗号化キーを使用するには、マスター暗号化キーをリモート・リージョンにレプリケートする必要があります。

    顧客管理暗号化キーは、単一のクロスリージョンAutonomous Data Guardスタンバイでのみサポートされています。Oracle Cloud Infrastructure Vaultでは1つのリモート・リージョンへのレプリケーションのみがサポートされているため、複数のクロスリージョン・スタンバイはサポートされていません。

  • プライマリ・データベースとスタンバイ・データベースでは、同じキーが使用されます。スタンバイへのスイッチオーバーまたはフェイルオーバーが発生した場合、引き続き同じキーを使用できます。

  • プライマリ・データベースで顧客管理キーをローテーションすると、スタンバイ・データベースに反映されます。

  • 顧客管理キーからOracle管理キーに切り替えると、変更はスタンバイ・データベースに反映されます。

  • Oracle Cloud Infrastructure Vaultにアクセスできない場合、データベースがINACCESSIBLE状態になるまでに2時間の猶予期間があります。フェイルオーバーは、この2時間の猶予期間中または期間後に実行できます。

  • Autonomous Data Guardが有効になっているときにAutonomous Databaseが顧客管理キーとともに使用しているOracle Cloud Infrastructureマスター暗号化キーを無効化または削除した場合、Autonomous Data Guardは自動フェイルオーバーを実行しません。

  • 顧客管理の暗号化キーは、クロス・テナンシAutonomous Data Guardではサポートされていません。

詳細は、次を参照してください:

クローニングでの顧客管理暗号化キーに関するノート

Autonomous Databaseでは、リフレッシュ可能クローンでの顧客管理暗号化キーの使用はサポートされていません。

  • 顧客管理暗号化キーを使用するソース・データベースからリフレッシュ可能クローンを作成することはできません。また、1つ以上のリフレッシュ可能なクローンがあるソース・データベースの顧客管理暗号化キーに切り替えることはできません。

リモート・テナンシでのVaultを使用した顧客管理キーに関するノート

リモート・テナンシ内のVaultで顧客管理のマスター暗号化キーを使用するには、次の点に注意してください:

顧客管理のマスター暗号化キーをリモート・テナンシ内のVaultとともに使用する場合、VaultとAutonomous Databaseインスタンスが同じリージョンにある必要があります。テナンシを変更するには、サインオン・ページで「テナンシの変更」をクリックします。テナンシを変更した後、VaultインスタンスとAutonomous Databaseインスタンスの両方に同じリージョンを選択してください。