OCI VaultのAutonomous Databaseで顧客管理暗号化キーを使用するための前提条件

OCI VaultのAutonomous Databaseで顧客管理キーを使用するには、次の前提条件ステップを実行します:

  1. Oracle Cloud Infrastructure Vaultを作成します。
    1. Oracle Cloudの横にあるナビゲーション・アイコンをクリックして、Oracle Cloud Infrastructure Consoleを開きます。
    2. Oracle Cloud Infrastructureの左側のナビゲーション・メニューから、「アイデンティティとセキュリティ」をクリックします。
    3. 「キー管理およびシークレット管理」で、「Vault」をクリックします。
    4. 既存の Vaultを選択するか、新しい Vaultを作成します。

      詳細は、Vaultの作成を参照してください。

  2. Vaultにマスター暗号化キーを作成します。
    ノート

    キーを作成する場合、次のオプションを使用する必要があります:
    • キー形式: アルゴリズム: AES (暗号化および暗号化に使用される対称キー)

    • キー・シェイプ: 長さ: 256ビット

    詳細は、マスター暗号化キーの作成およびキー管理の概要を参照してください。

    adb_security_vault_key.pngの説明が続きます
  3. 動的グループの動的グループおよびポリシー・ステートメントを作成して、Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にします。
    このステップは、ボールトがAutonomous Databaseインスタンスと同じテナンシにあるか、別のテナンシにあるかによって異なります:

リモート・スタンバイ・データベースでのAutonomous Data Guardで顧客管理の暗号化キーを使用するには、ボールトおよびキーをレプリケートする必要があります。顧客管理暗号化キーは、単一のクロスリージョンAutonomous Data Guardスタンバイでのみサポートされています。Oracle Cloud Infrastructure Vaultでは1つのリモート・リージョンへのレプリケーションのみがサポートされているため、複数のクロスリージョン・スタンバイはサポートされていません。

詳細は、次を参照してください:

データベースと同じテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成

ボールトとキーがAutonomous Databaseインスタンスと同じテナンシにある場合に、顧客管理キーのボールトおよびキーへのアクセスを提供する動的グループおよびポリシーを作成します。

  1. 動的グループを作成して、Autonomous Databaseインスタンスからマスター暗号化キーにアクセスします。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。
    3. 「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。
    4. 「動的グループの作成」をクリックし、「名前」「説明」およびルールを入力します。
      • 既存のデータベースの動的グループの作成:

        Autonomous Databaseインスタンスが動的グループの一部であることを指定できます。次の例の動的グループには、resource.idパラメータでOCIDが指定されているAutonomous Databaseのみが含まれます:

        resource.id = '<your_Autonomous_Database_instance_OCID>'
      • まだプロビジョニングされていないデータベースの動的グループを作成します:

        Autonomous Databaseインスタンスのプロビジョニングまたはクローニング前に動的グループを作成する場合、新しいデータベースのOCIDはまだ使用できません。この場合、特定のコンパートメントのリソースを指定する動的グループを作成します:

        resource.compartment.id = '<your_Compartment_OCID>'
    5. 「作成」をクリックします
  2. 動的グループのポリシー・ステートメントを記述して、Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にします。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」をクリックし、「ポリシー」をクリックします。
    2. 動的グループのポリシーを記述するには、「ポリシーの作成」をクリックし、「名前」および「説明」を入力します。
    3. ポリシー・ビルダーを使用して、ローカル・テナンシ内のボールトおよびキーのポリシーを作成します。

      たとえば、次のようにすると、動的グループDGKeyCustomer1のメンバーは、trainingという名前のコンパートメント内のボールトおよびキーにアクセスできます:

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
      Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      このサンプル・ポリシーは、単一のコンパートメントに適用されます。テナンシ、コンパートメント、リソースまたはリソースのグループに適用するポリシーを指定できます。

      リモート・スタンバイでAutonomous Data Guardで顧客管理キーを使用するには、次のポリシーも必要です:

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
      Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. 「作成」をクリックしてポリシーを保存します。

データベースとは異なるテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成

Autonomous Databaseインスタンスとボールトおよびキーが異なるテナンシにある場合に顧客管理キーを使用するには、次のステップを実行します。

この場合、顧客管理キーに変更するときにOCID値を指定する必要があります。また、Autonomous Databaseインスタンスが別のテナンシでボールトおよびキーを使用できるようにする動的グループおよびポリシーを定義する必要があります。

  1. マスター暗号化キーOCIDをコピーします。
  2. ボールトOCIDをコピーします。
  3. テナンシOCID (ボールトおよびキーを含むリモート・テナンシ)をコピーします。
  4. Autonomous Databaseインスタンスを含むテナンシで、動的グループを作成します。
    1. Oracle Cloud Infrastructureコンソールで、Autonomous Databaseインスタンスのあるテナンシで、「アイデンティティとセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。
    3. 「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。
    4. 「動的グループの作成」をクリックし、「名前」「説明」およびルールを入力します。
      • 既存のデータベースの動的グループの作成:

        Autonomous Databaseインスタンスが動的グループの一部であることを指定できます。次の例の動的グループには、resource.idパラメータでOCIDが指定されているAutonomous Databaseのみが含まれます:

        resource.id = '<your_Autonomous_Database_instance_OCID>'
      • まだプロビジョニングされていないデータベースの動的グループを作成します:

        Autonomous Databaseインスタンスのプロビジョニングまたはクローニング前に動的グループを作成する場合、新しいデータベースのOCIDはまだ使用できません。この場合、特定のコンパートメントのリソースを指定する動的グループを作成します:

        resource.compartment.id = '<your_Compartment_OCID>'
    5. 「作成」をクリックします
  5. Autonomous Databaseインスタンスを使用するテナンシで、ボールトおよびキー(ボールトおよびキーが異なるテナンシ上にある)へのアクセスを許可するポリシーを定義します。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ポリシー」をクリックします
    3. ポリシーを記述するには、「ポリシーの作成」をクリックします。
    4. ポリシーの作成ページで、名前と説明を入力します。
    5. 「ポリシーの作成」ページで、「手動エディタの表示」を選択します。
      adb_keys_create_policy_manual.pngの説明が続きます
    6. ポリシー・ビルダーで、Autonomous Databaseインスタンスが別のテナンシにあるボールトおよびキーにアクセスできるようにポリシーを追加します。また、IAMユーザーが属しているIAMグループのポリシーを追加して、Autonomous DatabaseインスタンスのOracle Cloud Infrastructure Consoleに、別のテナンシに存在するキーの詳細を表示できるようにします。

      たとえば、汎用ポリシーで、Autonomous DatabaseインスタンスTenancy-1およびボールトおよびキーのあるテナンシTenancy-2を使用してテナンシをコールします:

      次のポリシーをコピーし、変数と名前を、定義した値に置き換えます。ここで、動的グループ名ADB-DynamicGroupはステップ4で作成した動的グループです。

      define tenancy REMTEN as <ocid of tenancy-2>
      endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
      endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
      endorse group MyUserGroup to use vaults in tenancy REMTEN
      endorse group MyUserGroup to use keys in tenancy REMTEN

      たとえば、次のようにすると、動的グループDGKeyCustomer1のメンバーは、training2という名前のテナンシ内のリモート・ボールトおよびキーにアクセスできます:

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
      endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
      endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
      endorse group MyUserGroup to use vaults in tenancy training2
      endorse group MyUserGroup to use keys in tenancy training2
    7. 「作成」をクリックしてポリシーを保存します。
  6. テナンシOCID (Autonomous Databaseインスタンスを含むテナンシ)をコピーします。
  7. 動的グループOCID (ステップ4で作成した動的グループ用)をコピーします。
  8. ボールトおよびキーがあるリモート・テナンシで、Autonomous Databaseインスタンスがボールトおよびキーにアクセスできるようにする動的グループおよびポリシーを定義します。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ポリシー」をクリックします
    3. ポリシーを作成するには、「ポリシーの作成」をクリックします。
    4. ポリシーの作成ページで、名前と説明を入力します。
    5. 「ポリシーの作成」ページで、「手動エディタの表示」を選択します。
    6. ポリシー・ビルダーで、ポリシーおよび動的グループを追加して、Autonomous Databaseインスタンスがテナンシ2のボールトおよびキーを使用できるように、テナンシ上の動的グループへのアクセスをAutonomous Databaseインスタンス(テナンシ-1)に提供します。また、ユーザー・グループがボールトおよびキーにアクセスできるようにするポリシーを追加して、別のテナンシのAutonomous DatabaseインスタンスのOracle Cloud Infrastructure Consoleに情報を表示することも必要です。

      ポリシー・ビルダーを使用して、ボールトおよびキーの動的グループおよびポリシーを作成します。

      define tenancy ADBTEN as <ocid of tenancy-1>
      define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
      define group REMGROUP as <group-ocid> 
      admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
      admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
      admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
      admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      たとえば、リモート・テナンシで次を定義して、動的グループDGKeyCustomer1およびグループREMGROUPのメンバーがtraining2という名前のテナンシのリモート・ボールトおよびキーにアクセスできるようにします:

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
      define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
      define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
      admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
      admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
      admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
      admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. 「作成」をクリックしてポリシーを保存します。