専用Exadataインフラストラクチャ上のAutonomous DatabaseでのOracle Key Vaultの使用の準備
Oracle Key Vaultは、企業内のキーおよびセキュリティ・オブジェクトを一元管理するために構築された、フルスタックのセキュリティ強化型ソフトウェア・アプライアンスです。Oracle Key Vaultは、顧客がプロビジョニングおよび管理するシステムであり、Oracle Cloud Infrastructure管理サービスの一部ではありません。オンプレミスのOracle Key Vault (OKV)を顧客管理データベース・クラウド・サービスと統合して、クリティカル・データをオンプレミスで保護できます。
- Prerequisites
- OCI VaultサービスでのVaultの作成、およびOKV REST管理者パスワードを格納するVaultへのシークレットの追加
- OCI Vaultでシークレットにアクセスするためのキー・ストアの動的グループおよびポリシー・ステートメントの作成
OCI Vaultでシークレットにアクセスするためのキー・ストア・リソース権限を付与するには、これらのリソースを識別するIAM動的グループを作成し、OCIボールトおよびシークレットで作成したシークレットへのアクセス権をこの動的グループに付与するIAMポリシーを作成します。 - キー・ストアへのExadataインフラストラクチャの動的グループおよびポリシー・ステートメントの作成
キー・ストアにアクセスする権限をExadataインフラストラクチャ・リソースに付与するには、これらのリソースを識別するIAM動的グループを作成し、作成したキー・ストアへのアクセス権を付与するIAMポリシーを作成します。 - OCI Vaultサービスからシークレットを使用するためのデータベース・サービスのポリシー・ステートメントの作成
親トピック: セキュアなAutonomous Database
前提条件
- OKVが設定されており、Oracle Public Cloudクライアント・ネットワークからネットワークにアクセスできることを確認します。クライアント・ネットワーク上のエグレスがOKVサーバーにアクセスできるように、ポート443、5695および5696を開きます。
- OKVユーザー・インタフェースからRESTインタフェースが有効になっていることを確認します。
- 「OKV REST管理者」ユーザーを作成します。「okv_rest_user」などの任意の修飾ユーザー名を使用できます。Cloud@CustomerおよびOracle Database Exadata Cloud at Customer上のAutonomous Databaseでは、同じまたは異なるRESTユーザーを使用します。これらのデータベースは、同じまたは異なるオンプレミスOKVクラスタでキー管理できます。Oracle Database Exadata Cloud at Customerには、
create endpoint
権限を持つRESTユーザーが必要です。Cloud@Customer上のAutonomous Databaseには、create endpoint
およびcreate endpoint group
権限を持つRESTユーザーが必要です。 - OKVへの接続に必要なOKV管理者資格証明およびIPアドレスを収集します
- クライアント・ネットワーク上のエグレスでOKVサーバーにアクセスできるように、ポート443、5695および5696を開きます。
- Oracle Public Cloudデプロイメントでは、コンピュート・ホストが別のVCN内にある場合は、VPN (高速接続またはVPN as a Service)または任意のVCNピアリングを使用して適切なネットワーク・ルートを設定することで、OKVがAutonomous Databaseにネットワーク・アクセスできるようにします。
OCI VaultサービスでのVaultの作成、およびOKV REST管理者パスワードを格納するVaultへのシークレットの追加
専用Exadataインフラストラクチャ・デプロイメントは、Oracle Databaseを登録してOKVでウォレットをリクエストするためにOracle Databaseがプロビジョニングされるたびに、RESTを介してOKVと通信します。そのため、Exadataインフラストラクチャは、OKVサーバーに登録するために、REST管理者資格証明にアクセスする必要があります。これらの資格証明は、OCIのOracle Vault Serviceにシークレットとして安全に格納され、必要な場合にのみ専用Exadata Infrastructureデプロイメントからアクセスされます。必要に応じて、資格証明はパスワードで保護されたウォレット・ファイルに格納されます。
OCI Vaultでシークレットにアクセスするためのキー・ストアの動的グループおよびポリシー・ステートメントの作成
OCIボールトのシークレットにアクセスする権限をキー・ストア・リソースに付与するには、これらのリソースを識別するIAM動的グループを作成し、OCIボールトおよびシークレットで作成したシークレットへのアクセス権をその動的グループに付与するIAMポリシーを作成します。
動的グループを定義する場合、キー・ストアを含むコンパートメントのOCIDを指定して、キー・ストア・リソースを識別します。
- キー・ストア・リソースを含むコンパートメントのOCIDをコピーします。このOCIDは、コンパートメントの「コンパートメントの詳細」ページで確認できます。
- 動的グループを作成するには、Oracle Cloud Infrastructureドキュメントの動的グループの管理の手順に従います。これらの手順に従う場合、次の形式の一致ルールを入力します:
ALL {resource.compartment.id ='<compartment-ocid>'}
ここで、
<compartment-ocid>
は、キー・ストア・リソースを含むコンパートメントのOCIDです。
動的グループを作成した後、ボールトおよびシークレットを含むコンパートメントより上位のコンパートメント階層にあるコンパートメントのIAMポリシーに移動(または作成)します。その後、次の形式のポリシー・ステートメントを追加します:
allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>
ここで、<dynamic-group>
は作成した動的グループの名前、<vaults-and-secrets-compartment>はボールトおよびシークレットを作成したコンパートメントの名前です。
キー・ストアに対するExadataインフラストラクチャのための動的グループおよびポリシー・ステートメントの作成
キー・ストアにアクセスする権限をExadataインフラストラクチャ・リソースに付与するには、これらのリソースを識別するIAM動的グループを作成し、作成したキー・ストアへのアクセス権をその動的グループに付与するIAMポリシーを作成します。
動的グループを定義する場合、Exadataインフラストラクチャを含むコンパートメントのOCIDを指定して、Exadataインフラストラクチャ・リソースを識別します。
- Exadataインフラストラクチャ・リソースを含むコンパートメントのOCIDをコピーします。このOCIDは、コンパートメントの「コンパートメントの詳細」ページにあります。
- 動的グループを作成するには、Oracle Cloud Infrastructureドキュメントの動的グループの管理の手順に従います。これらの手順に従う場合、次の形式の一致ルールを入力します:
ALL {resource.compartment.id ='<compartment-ocid>'}
<compartment-ocid>
は、Exadataインフラストラクチャ・リソースを含むコンパートメントのOCIDです。 - 動的グループを作成した後、キー・ストアを含むコンパートメントより上位のコンパートメント階層にあるコンパートメントのIAMポリシーに移動(または作成)します。その後、次の形式のポリシー・ステートメントを追加します:
allow dynamic-group <dynamic-group> to use keystores in compartment <key-store-compartment>
ここで、
<dynamic-group>
は作成した動的グループの名前、<key-store-compartment>
はキー・ストアを作成したコンパートメントの名前です。
OCI Vaultサービスからシークレットを使用するデータベース・サービスのポリシー・ステートメントの作成
OCI Vaultのシークレットを使用してOKV RESTインタフェースにログインする権限をAutonomous Databaseサービスに付与するには、OCIボールトおよびシークレットを含むコンパートメントより上位のコンパートメント階層にあるIAMポリシーに移動(または作成)します。その後、次の形式のポリシー・ステートメントを追加します:
allow service database to read secret-family in compartment <vaults-and-secrets-compartment>
ここで、<vaults-and-secrets-compartment>
は、OCIボールトおよびシークレットを作成したコンパートメントの名前です。
OCI Vaultが設定され、IAM構成が設定されると、Oracle Key Vaultのキー・ストアをOCIにデプロイし、それを専用Exadata VMクラスタに関連付ける準備ができました。