Oracle Cloud Infrastructureドキュメント

OCI VaultでAutonomous Databaseで顧客管理暗号化キーを使用するための前提条件

OCI VaultのAutonomous Databaseで顧客管理キーを使用するには、次の前提条件ステップを実行します:

  1. Oracle Cloud Infrastructure Vaultを作成します。
    1. Oracle Cloudの横にあるナビゲーション・アイコンをクリックして、Oracle Cloud Infrastructure Consoleを開きます。
    2. Oracle Cloud Infrastructureの左側のナビゲーション・メニューから、「アイデンティティとセキュリティ」をクリックします。
    3. 「キー管理とシークレット管理」で、「Vault」をクリックします。
    4. 既存の Vaultを選択するか、新しい Vaultを作成します。

      詳細は、Vaultの作成を参照してください。

  2. Vaultにマスター暗号化鍵を作成します。
    ノート

    キーを作成するときは、次のオプションを使用する必要があります。

    • キー・シェイプ: アルゴリズム: AES (暗号化および復号化に使用される対称キー)

    • キー・シェイプ: 長さ: 256ビット

    詳細は、マスター暗号化キーの作成およびキー管理の概要を参照してください。

  3. 動的グループの動的グループおよびポリシー・ステートメントを作成して、Oracle Cloud Infrastructureリソース(Vaults and Keys)へのアクセスを有効にします。
    このステップは、ボールトがAutonomous Databaseインスタンスと同じテナンシにあるか、別のテナンシにあるかによって異なります:

リモート・スタンバイ・データベースでAutonomous Data Guardで顧客管理暗号化キーを使用するには、ボールトおよびキーをレプリケートする必要があります。顧客管理暗号化キーは、単一のクロスリージョンAutonomous Data Guardスタンバイでのみサポートされます。Oracle Cloud Infrastructure Vaultでは1つのリモート・リージョンへのレプリケーションのみがサポートされるため、複数のリージョン間スタンバイはサポートされていません。

詳細は、次を参照してください:

親トピック: OCI Vaultでのマスター暗号化キーの管理

Vaultがデータベースと同じテナンシにある顧客管理キーの動的グループおよびポリシーの作成

動的グループおよびポリシーを作成して、ボールトおよびキーがAutonomous Databaseインスタンスと同じテナンシにある場合に、顧客管理キーのボールトおよびキーへのアクセスを提供します。

  1. 動的グループを作成して、マスター暗号化キーをAutonomous Databaseインスタンスからアクセスできるようにします。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティおよびセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または新しいアイデンティティ・ドメインを作成します)。
    3. 「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。
    4. 「動的グループの作成」をクリックし、「名前」「説明」およびルールを入力します。

      • 既存のデータベースの動的グループの作成:

        Autonomous Databaseインスタンスが動的グループの一部であることを指定できます。次の例の動的グループには、resource.idパラメータにOCIDが指定されているAutonomous Databaseのみが含まれます。 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • まだプロビジョニングされていないデータベースの動的グループを作成します。

        Autonomous Databaseインスタンスをプロビジョニングまたはクローニングする前に動的グループを作成している場合、新しいデータベースのOCIDはまだ使用できません。この場合、特定のコンパートメントのリソースを指定する動的グループを作成します: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. 「作成」をクリックします。
  2. Oracle Cloud Infrastructureリソース(ボールトおよびキー)へのアクセスを有効にするための動的グループのポリシー・ステートメントを記述します
    1. Oracle Cloud Infrastructureコンソールで「アイデンティティおよびセキュリティ」をクリックし、「ポリシー」をクリックします。
    2. 動的グループのポリシーを記述するには、「ポリシーの作成」をクリックし、「名前」および「説明」を入力します。
    3. ポリシー・ビルダーを使用して、ローカル・テナンシ内のボールトおよびキーのポリシーを作成します。

      たとえば、次のようにすると、動的グループDGKeyCustomer1のメンバーは、trainingという名前のコンパートメント内のボールトおよびキーにアクセスできます。 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      このサンプル・ポリシーは、単一のコンパートメントに適用されます。ポリシーがテナンシ、コンパートメント、リソースまたはリソースのグループに適用されるように指定できます。

      リモート・スタンバイでAutonomous Data Guardで顧客管理キーを使用するには、次のポリシーも必要です: 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. 「作成」をクリックして、ポリシーを保存します。

Vaultがデータベースとは異なるテナンシにある顧客管理キーの動的グループおよびポリシーの作成

Autonomous Databaseインスタンスとボールトおよびキーが異なるテナンシにある場合に顧客管理キーを使用するには、次のステップを実行します。

この場合、顧客管理キーに変更するときにOCID値を指定する必要があります。また、Autonomous Databaseインスタンスが別のテナンシでボールトおよびキーを使用できるようにする動的グループおよびポリシーを定義する必要があります。

  1. マスター暗号化キーのOCIDをコピーします。
  2. ボールトOCIDをコピーします。
  3. テナンシOCID (ボールトおよびキーを含むリモート・テナンシ)をコピーします。
  4. Autonomous Databaseインスタンスを含むテナンシで、動的グループを作成します。
    1. Oracle Cloud Infrastructureコンソールで、Autonomous Databaseインスタンスがあるテナンシで、「アイデンティティとセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または新しいアイデンティティ・ドメインを作成します)。
    3. 「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。
    4. 「動的グループの作成」をクリックし、「名前」「説明」およびルールを入力します。

      • 既存のデータベースの動的グループの作成:

        Autonomous Databaseインスタンスが動的グループの一部であることを指定できます。次の例の動的グループには、resource.idパラメータにOCIDが指定されているAutonomous Databaseのみが含まれます。 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • まだプロビジョニングされていないデータベースの動的グループを作成します。

        Autonomous Databaseインスタンスをプロビジョニングまたはクローニングする前に動的グループを作成している場合、新しいデータベースのOCIDはまだ使用できません。この場合、特定のコンパートメントのリソースを指定する動的グループを作成します: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. 「作成」をクリックします。
  5. Autonomous Databaseインスタンスがあるテナンシで、ボールトおよびキーへのアクセスを許可するポリシーを定義します(ボールトおよびキーが異なるテナンシにある場合)。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティおよびセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ポリシー」をクリックします。
    3. ポリシーを記述するには、「ポリシーの作成」をクリックします。
    4. 「ポリシーの作成」ページで、「名前」と「説明」を入力します。
    5. ポリシーの作成ページで、「手動エディタの表示」を選択します。
    6. ポリシー・ビルダーで、Autonomous Databaseインスタンスが別のテナンシにあるボールトおよびキーにアクセスできるようにポリシーを追加します。また、IAMユーザーが属するIAMグループのポリシーを追加して、Autonomous DatabaseインスタンスのOracle Cloud Infrastructure Consoleに、別のテナンシに存在するキーの詳細を表示できるようにします。

      たとえば、汎用ポリシーで、Autonomous DatabaseインスタンスTenancy-1およびボールトとキーを持つテナンシTenancy-2を使用してテナンシをコールします:

      次のポリシーをコピーし、変数および名前を、定義した値に置き換えます。動的グループ名ADB-DynamicGroupは、ステップ4で作成した動的グループです。 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      たとえば、次のようにすると、動的グループDGKeyCustomer1のメンバーは、training2という名前のテナンシのリモート・ボールトおよびキーにアクセスできます。 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. 「作成」をクリックして、ポリシーを保存します。
  6. テナンシOCID (Autonomous Databaseインスタンスを含むテナンシ)をコピーします。
  7. 動的グループOCID (ステップ4で作成した動的グループ用)をコピーします。
  8. ボールトおよびキーがあるリモート・テナンシで、動的グループおよびポリシーを定義して、Autonomous Databaseインスタンスがボールトおよびキーにアクセスできるようにします。
    1. Oracle Cloud Infrastructureコンソールから、「アイデンティティおよびセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ポリシー」をクリックします。
    3. ポリシーを作成するには、「ポリシーの作成」をクリックします。
    4. 「ポリシーの作成」ページで、「名前」と「説明」を入力します。
    5. ポリシーの作成ページで、「手動エディタの表示」を選択します。
    6. ポリシー・ビルダーで、Autonomous Databaseインスタンスがテナンシ2のボールトおよびキーを使用できるように、Autonomous Databaseインスタンス(テナンシ-1)を使用してテナンシの動的グループにアクセスできるように、ポリシーおよび動的グループを追加します。また、ユーザー・グループがボールトにアクセスできるようにするポリシーと、別のテナンシのAutonomous DatabaseインスタンスのOracle Cloud Infrastructure Consoleに関する情報を表示するためのキーを追加する必要があります。

      動的グループおよびボールトとキーのポリシーを作成するには、ポリシー・ビルダーを使用します。 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      たとえば、動的グループDGKeyCustomer1およびグループREMGROUPのメンバーが、training2という名前のテナンシのリモート・ボールトおよびキーにアクセスできるように、リモート・テナンシで次を定義します。 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. 「作成」をクリックして、ポリシーを保存します。