OCI VaultのAutonomous Databaseで顧客管理暗号化キーを使用するための前提条件

OCI VaultのAutonomous Databaseで顧客管理キーを使用するには、次の前提条件ステップを実行します:

Oracle Cloud Infrastructure Vaultを作成します。
1. Oracle Cloudの横にあるをクリックして、Oracle Cloud Infrastructure Consoleを開きます。
2. Oracle Cloud Infrastructureの左側のナビゲーション・メニューから、「アイデンティティとセキュリティ」をクリックします。
3. 「キー管理およびシークレット管理」で、「Vault」をクリックします。
4. 既存の Vaultを選択するか、新しい Vaultを作成します。
  
  詳細は、Vaultの作成を参照してください。
Vaultにマスター暗号化キーを作成します。
ノート

キーを作成する場合、次のオプションを使用する必要があります:
- キー形式: アルゴリズム: AES (暗号化および暗号化に使用される対称キー)
- キー・シェイプ: 長さ: 256ビット
詳細は、マスター暗号化キーの作成およびキー管理の概要を参照してください。
図adb_security_vault_key.pngの説明
動的グループの動的グループおよびポリシー・ステートメントを作成して、Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にします。
このステップは、ボールトがAutonomous Databaseインスタンスと同じテナンシにあるか、別のテナンシにあるかによって異なります:
- Vaultとキーは、Autonomous Databaseインスタンスと同じテナンシにあります。詳細は、データベースと同じテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成を参照してください。
- Vaultとキーは別のテナンシにあります。詳細は、データベースとは異なるテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成を参照してください。

リモート・スタンバイ・データベースでのAutonomous Data Guardで顧客管理の暗号化キーを使用するには、ボールトおよびキーをレプリケートする必要があります。顧客管理暗号化キーは、単一のクロスリージョンAutonomous Data Guardスタンバイでのみサポートされています。Oracle Cloud Infrastructure Vaultでは1つのリモート・リージョンへのレプリケーションのみがサポートされているため、複数のクロスリージョン・スタンバイはサポートされていません。

詳細は、次を参照してください:

データベースと同じテナンシにあるVaultを使用した顧客管理キーの動的グループおよびポリシーの作成
ボールトおよびキーがAutonomous Databaseインスタンスと同じテナンシにある場合に、顧客管理キーのボールトおよびキーへのアクセスを提供する動的グループおよびポリシーを作成します。
データベースとは異なるテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成
Autonomous Databaseインスタンスおよびボールトおよびキーが異なるテナンシにある場合に顧客管理キーを使用するには、次のステップを実行します。

親トピック: OCI Vaultでのマスター暗号化キーの管理

データベースと同じテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成

ボールトとキーがAutonomous Databaseインスタンスと同じテナンシにある場合に、顧客管理キーのボールトおよびキーへのアクセスを提供する動的グループおよびポリシーを作成します。

動的グループを作成して、Autonomous Databaseインスタンスからマスター暗号化キーにアクセスします。
1. Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」をクリックします。
2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。
3. 「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。
4. 「動的グループの作成」をクリックし、「名前」、「説明」およびルールを入力します。
  - 既存のデータベースの動的グループの作成:
    
    Autonomous Databaseインスタンスが動的グループの一部であることを指定できます。次の例の動的グループには、resource.idパラメータでOCIDが指定されているAutonomous Databaseのみが含まれます:
```
resource.id = '<your_Autonomous_Database_instance_OCID>'
```
  - まだプロビジョニングされていないデータベースの動的グループを作成します:
    
    Autonomous Databaseインスタンスのプロビジョニングまたはクローニング前に動的グループを作成する場合、新しいデータベースのOCIDはまだ使用できません。この場合、特定のコンパートメントのリソースを指定する動的グループを作成します:
```
resource.compartment.id = '<your_Compartment_OCID>'
```
5. 「作成」をクリックします
動的グループのポリシー・ステートメントを記述して、Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にします。
1. Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」をクリックし、「ポリシー」をクリックします。
2. 動的グループのポリシーを記述するには、「ポリシーの作成」をクリックし、「名前」および「説明」を入力します。
3. ポリシー・ビルダーを使用して、ローカル・テナンシ内のボールトおよびキーのポリシーを作成します。
  たとえば、次のようにすると、動的グループDGKeyCustomer1のメンバーは、trainingという名前のコンパートメント内のボールトおよびキーにアクセスできます:
```
Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training
```
  このサンプル・ポリシーは、単一のコンパートメントに適用されます。テナンシ、コンパートメント、リソースまたはリソースのグループに適用するポリシーを指定できます。
  
  リモート・スタンバイでAutonomous Data Guardで顧客管理キーを使用するには、次のポリシーも必要です:
```
Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
```
4. 「作成」をクリックしてポリシーを保存します。
詳細は、次を参照してください:

親トピック: OCI VaultのAutonomous Databaseで顧客管理暗号化キーを使用するための前提条件

データベースとは異なるテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成

Autonomous Databaseインスタンスとボールトおよびキーが異なるテナンシにある場合に顧客管理キーを使用するには、次のステップを実行します。

この場合、顧客管理キーに変更するときにOCID値を指定する必要があります。また、Autonomous Databaseインスタンスが別のテナンシでボールトおよびキーを使用できるようにする動的グループおよびポリシーを定義する必要があります。

マスター暗号化キーOCIDをコピーします。
ボールトOCIDをコピーします。
テナンシOCID (ボールトおよびキーを含むリモート・テナンシ)をコピーします。
Autonomous Databaseインスタンスを含むテナンシで、動的グループを作成します。
1. Oracle Cloud Infrastructureコンソールで、Autonomous Databaseインスタンスのあるテナンシで、「アイデンティティとセキュリティ」をクリックします。
2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。
3. 「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。
4. 「動的グループの作成」をクリックし、「名前」、「説明」およびルールを入力します。
  - 既存のデータベースの動的グループの作成:
    
    Autonomous Databaseインスタンスが動的グループの一部であることを指定できます。次の例の動的グループには、resource.idパラメータでOCIDが指定されているAutonomous Databaseのみが含まれます:
```
resource.id = '<your_Autonomous_Database_instance_OCID>'
```
  - まだプロビジョニングされていないデータベースの動的グループを作成します:
    
    Autonomous Databaseインスタンスのプロビジョニングまたはクローニング前に動的グループを作成する場合、新しいデータベースのOCIDはまだ使用できません。この場合、特定のコンパートメントのリソースを指定する動的グループを作成します:
```
resource.compartment.id = '<your_Compartment_OCID>'
```
5. 「作成」をクリックします
Autonomous Databaseインスタンスを使用するテナンシで、ボールトおよびキー(ボールトおよびキーが異なるテナンシ上にある)へのアクセスを許可するポリシーを定義します。
1. Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」をクリックします。
2. 「アイデンティティ」で、「ポリシー」をクリックします
3. ポリシーを記述するには、「ポリシーの作成」をクリックします。
4. ポリシーの作成ページで、名前と説明を入力します。
5. 「ポリシーの作成」ページで、「手動エディタの表示」を選択します。
  
  図adb_keys_create_policy_manual.pngの説明
6. ポリシー・ビルダーで、Autonomous Databaseインスタンスが別のテナンシにあるボールトおよびキーにアクセスできるようにポリシーを追加します。また、IAMユーザーが属しているIAMグループのポリシーを追加して、Autonomous DatabaseインスタンスのOracle Cloud Infrastructure Consoleに、別のテナンシに存在するキーの詳細を表示できるようにします。
  たとえば、汎用ポリシーで、Autonomous DatabaseインスタンスTenancy-1およびボールトおよびキーのあるテナンシTenancy-2を使用してテナンシをコールします:
  
  次のポリシーをコピーし、変数と名前を、定義した値に置き換えます。ここで、動的グループ名ADB-DynamicGroupはステップ4で作成した動的グループです。
```
define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN
```
  たとえば、次のようにすると、動的グループDGKeyCustomer1のメンバーは、training2という名前のテナンシ内のリモート・ボールトおよびキーにアクセスできます:
```
define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
```
7. 「作成」をクリックしてポリシーを保存します。
テナンシOCID (Autonomous Databaseインスタンスを含むテナンシ)をコピーします。
動的グループOCID (ステップ4で作成した動的グループ用)をコピーします。
ボールトおよびキーがあるリモート・テナンシで、Autonomous Databaseインスタンスがボールトおよびキーにアクセスできるようにする動的グループおよびポリシーを定義します。
1. Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」をクリックします。
2. 「アイデンティティ」で、「ポリシー」をクリックします
3. ポリシーを作成するには、「ポリシーの作成」をクリックします。
4. ポリシーの作成ページで、名前と説明を入力します。
5. 「ポリシーの作成」ページで、「手動エディタの表示」を選択します。
6. ポリシー・ビルダーで、ポリシーおよび動的グループを追加して、Autonomous Databaseインスタンスがテナンシ2のボールトおよびキーを使用できるように、テナンシ上の動的グループへのアクセスをAutonomous Databaseインスタンス(テナンシ-1)に提供します。また、ユーザー・グループがボールトおよびキーにアクセスできるようにするポリシーを追加して、別のテナンシのAutonomous DatabaseインスタンスのOracle Cloud Infrastructure Consoleに情報を表示することも必要です。
  ポリシー・ビルダーを使用して、ボールトおよびキーの動的グループおよびポリシーを作成します。
```
define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
```
  たとえば、リモート・テナンシで次を定義して、動的グループDGKeyCustomer1およびグループREMGROUPのメンバーがtraining2という名前のテナンシのリモート・ボールトおよびキーにアクセスできるようにします:
```
define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
```
7. 「作成」をクリックしてポリシーを保存します。

親トピック: OCI VaultのAutonomous Databaseで顧客管理暗号化キーを使用するための前提条件

Oracle Cloud Infrastructureドキュメント Free Tierを試してみる