OCI VaultでAutonomous Databaseで顧客管理暗号化キーを使用するための前提条件

OCI VaultのAutonomous Databaseで顧客管理キーを使用するには、次の前提条件ステップを実行します:

Oracle Cloud Infrastructure Vaultを作成します。
1. Oracle Cloudの横にあるをクリックして、Oracle Cloud Infrastructure Consoleを開きます。
2. Oracle Cloud Infrastructureの左側のナビゲーション・メニューから、「アイデンティティとセキュリティ」をクリックします。
3. 「キー管理とシークレット管理」で、「Vault」をクリックします。
4. 既存の Vaultを選択するか、新しい Vaultを作成します。
  
  詳細は、Vaultの作成を参照してください。
Vaultにマスター暗号化鍵を作成します。
ノート

キーを作成するときは、次のオプションを使用する必要があります。
- キー・シェイプ: アルゴリズム: AES (暗号化および復号化に使用される対称キー)
- キー・シェイプ: 長さ: 256ビット
詳細は、マスター暗号化キーの作成およびキー管理の概要を参照してください。
図adb_security_vault_key.pngの説明
動的グループの動的グループおよびポリシー・ステートメントを作成して、Oracle Cloud Infrastructureリソース(Vaults and Keys)へのアクセスを有効にします。
このステップは、ボールトがAutonomous Databaseインスタンスと同じテナンシにあるか、別のテナンシにあるかによって異なります:
- Vaultおよびキーは、Autonomous Databaseインスタンスと同じテナンシにあります。詳細は、データベースと同じテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成を参照してください。
- Vaultとキーは別のテナンシにあります。詳細は、データベースとは異なるテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成を参照してください。

リモート・スタンバイ・データベースでAutonomous Data Guardで顧客管理暗号化キーを使用するには、ボールトおよびキーをレプリケートする必要があります。顧客管理暗号化キーは、単一のクロスリージョンAutonomous Data Guardスタンバイでのみサポートされます。Oracle Cloud Infrastructure Vaultでは1つのリモート・リージョンへのレプリケーションのみがサポートされるため、複数のリージョン間スタンバイはサポートされていません。

詳細は、次を参照してください:

データベースと同じテナンシにVaultを持つ顧客管理キーの動的グループおよびポリシーの作成
動的グループおよびポリシーを作成して、ボールトおよびキーがAutonomous Databaseインスタンスと同じテナンシにある場合に、顧客管理キーのボールトおよびキーへのアクセスを提供します。
データベースとは異なるテナンシにVaultを持つ顧客管理キーの動的グループおよびポリシーの作成
Autonomous Databaseインスタンスとボールトおよびキーが異なるテナンシにある場合に顧客管理キーを使用するには、次のステップを実行します。

親トピック: OCI Vaultでのマスター暗号化キーの管理

Vaultがデータベースと同じテナンシにある顧客管理キーの動的グループおよびポリシーの作成

動的グループおよびポリシーを作成して、ボールトおよびキーがAutonomous Databaseインスタンスと同じテナンシにある場合に、顧客管理キーのボールトおよびキーへのアクセスを提供します。

動的グループを作成して、マスター暗号化キーをAutonomous Databaseインスタンスからアクセスできるようにします。
1. Oracle Cloud Infrastructureコンソールで、「アイデンティティおよびセキュリティ」をクリックします。
2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または新しいアイデンティティ・ドメインを作成します)。
3. 「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。
4. 「動的グループの作成」をクリックし、「名前」、「説明」およびルールを入力します。
  - 既存のデータベースの動的グループの作成:
    
    Autonomous Databaseインスタンスが動的グループの一部であることを指定できます。次の例の動的グループには、resource.idパラメータにOCIDが指定されているAutonomous Databaseのみが含まれます。
```
resource.id = '<your_Autonomous_Database_instance_OCID>'
```
  - まだプロビジョニングされていないデータベースの動的グループを作成します。
    
    Autonomous Databaseインスタンスをプロビジョニングまたはクローニングする前に動的グループを作成している場合、新しいデータベースのOCIDはまだ使用できません。この場合、特定のコンパートメントのリソースを指定する動的グループを作成します:
```
resource.compartment.id = '<your_Compartment_OCID>'
```
5. 「作成」をクリックします。
Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にするための動的グループのポリシー・ステートメントを記述します
1. Oracle Cloud Infrastructureコンソールで「アイデンティティおよびセキュリティ」をクリックし、「ポリシー」をクリックします。
2. 動的グループのポリシーを記述するには、「ポリシーの作成」をクリックし、「名前」および「説明」を入力します。
3. ポリシー・ビルダーを使用して、ローカル・テナンシ内のボールトおよびキーのポリシーを作成します。
  たとえば、次のようにすると、動的グループDGKeyCustomer1のメンバーは、trainingという名前のコンパートメント内のボールトおよびキーにアクセスできます。
```
Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training
```
  このサンプル・ポリシーは、単一のコンパートメントに適用されます。ポリシーがテナンシ、コンパートメント、リソースまたはリソースのグループに適用されるように指定できます。
  
  リモート・スタンバイでAutonomous Data Guardで顧客管理キーを使用するには、次のポリシーも必要です:
```
Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
```
4. 「作成」をクリックして、ポリシーを保存します。
詳細は、次を参照してください:

親トピック: OCI VaultでAutonomous Databaseで顧客管理暗号化キーを使用するための前提条件

Vaultがデータベースとは異なるテナンシにある顧客管理キーの動的グループおよびポリシーの作成

Autonomous Databaseインスタンスとボールトおよびキーが異なるテナンシにある場合に顧客管理キーを使用するには、次のステップを実行します。

この場合、顧客管理キーに変更するときにOCID値を指定する必要があります。また、Autonomous Databaseインスタンスが別のテナンシでボールトおよびキーを使用できるようにする動的グループおよびポリシーを定義する必要があります。

マスター暗号化キーのOCIDをコピーします。
ボールトOCIDをコピーします。
テナンシOCID (ボールトおよびキーを含むリモート・テナンシ)をコピーします。
Autonomous Databaseインスタンスを含むテナンシで、動的グループを作成します。
1. Oracle Cloud Infrastructureコンソールで、Autonomous Databaseインスタンスがあるテナンシで、「アイデンティティとセキュリティ」をクリックします。
2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または新しいアイデンティティ・ドメインを作成します)。
3. 「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。
4. 「動的グループの作成」をクリックし、「名前」、「説明」およびルールを入力します。
  - 既存のデータベースの動的グループの作成:
    
    Autonomous Databaseインスタンスが動的グループの一部であることを指定できます。次の例の動的グループには、resource.idパラメータにOCIDが指定されているAutonomous Databaseのみが含まれます。
```
resource.id = '<your_Autonomous_Database_instance_OCID>'
```
  - まだプロビジョニングされていないデータベースの動的グループを作成します。
    
    Autonomous Databaseインスタンスをプロビジョニングまたはクローニングする前に動的グループを作成している場合、新しいデータベースのOCIDはまだ使用できません。この場合、特定のコンパートメントのリソースを指定する動的グループを作成します:
```
resource.compartment.id = '<your_Compartment_OCID>'
```
5. 「作成」をクリックします。
Autonomous Databaseインスタンスがあるテナンシで、ボールトおよびキーへのアクセスを許可するポリシーを定義します(ボールトおよびキーが異なるテナンシにある場合)。
1. Oracle Cloud Infrastructureコンソールで、「アイデンティティおよびセキュリティ」をクリックします。
2. 「アイデンティティ」で、「ポリシー」をクリックします。
3. ポリシーを記述するには、「ポリシーの作成」をクリックします。
4. 「ポリシーの作成」ページで、「名前」と「説明」を入力します。
5. ポリシーの作成ページで、「手動エディタの表示」を選択します。
  
  図adb_keys_create_policy_manual.pngの説明
6. ポリシー・ビルダーで、Autonomous Databaseインスタンスが別のテナンシにあるボールトおよびキーにアクセスできるようにポリシーを追加します。また、IAMユーザーが属するIAMグループのポリシーを追加して、Autonomous DatabaseインスタンスのOracle Cloud Infrastructure Consoleに、別のテナンシに存在するキーの詳細を表示できるようにします。
  たとえば、汎用ポリシーで、Autonomous DatabaseインスタンスTenancy-1およびボールトとキーを持つテナンシTenancy-2を使用してテナンシをコールします:
  
  次のポリシーをコピーし、変数および名前を、定義した値に置き換えます。動的グループ名ADB-DynamicGroupは、ステップ4で作成した動的グループです。
```
define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN
```
  たとえば、次のようにすると、動的グループDGKeyCustomer1のメンバーは、training2という名前のテナンシのリモート・ボールトおよびキーにアクセスできます。
```
define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
```
7. 「作成」をクリックして、ポリシーを保存します。
テナンシOCID (Autonomous Databaseインスタンスを含むテナンシ)をコピーします。
動的グループOCID (ステップ4で作成した動的グループ用)をコピーします。
ボールトおよびキーがあるリモート・テナンシで、動的グループおよびポリシーを定義して、Autonomous Databaseインスタンスがボールトおよびキーにアクセスできるようにします。
1. Oracle Cloud Infrastructureコンソールから、「アイデンティティおよびセキュリティ」をクリックします。
2. 「アイデンティティ」で、「ポリシー」をクリックします。
3. ポリシーを作成するには、「ポリシーの作成」をクリックします。
4. 「ポリシーの作成」ページで、「名前」と「説明」を入力します。
5. ポリシーの作成ページで、「手動エディタの表示」を選択します。
6. ポリシー・ビルダーで、Autonomous Databaseインスタンスがテナンシ2のボールトおよびキーを使用できるように、Autonomous Databaseインスタンス(テナンシ-1)を使用してテナンシの動的グループにアクセスできるように、ポリシーおよび動的グループを追加します。また、ユーザー・グループがボールトにアクセスできるようにするポリシーと、別のテナンシのAutonomous DatabaseインスタンスのOracle Cloud Infrastructure Consoleに関する情報を表示するためのキーを追加する必要があります。
  動的グループおよびボールトとキーのポリシーを作成するには、ポリシー・ビルダーを使用します。
```
define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
```
  たとえば、動的グループDGKeyCustomer1およびグループREMGROUPのメンバーが、training2という名前のテナンシのリモート・ボールトおよびキーにアクセスできるように、リモート・テナンシで次を定義します。
```
define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
```
7. 「作成」をクリックして、ポリシーを保存します。

親トピック: OCI VaultでAutonomous Databaseで顧客管理暗号化キーを使用するための前提条件

Oracle Cloud Infrastructureドキュメント