該当する結果がありません

一致する検索結果がありませんでした。

お探しのものを見つけるために、以下の項目を試してみてください。

  • キーワード検索のスペルを確認してください。
  • 入力したキーワードの同義語を使用してください。たとえば、「ソフトウェア」の代わりに「アプリケーション」を試してみてください。
  • 下記に示すよく使用される検索語句のいずれかを試してみてください。
  • 新しい検索を開始してください。
急上昇中の質問

よくある質問

すべて開く すべて閉じる

    全般的な質問

  • Oracle Cloud Infrastructure Key Managementとは何ですか。

    Oracle Cloud Infrastructure Key Managementは、保存データの暗号化に使用されるAES対称鍵の管理と制御を可能にするマネージド・サービスです。キーは、FIPS 140-2、レベル3認定のハードウェア・セキュリティ・モジュール(HSM)に保存され、耐久性と可用性に優れています。Key Managementサービスは、ブロック・ボリューム、ファイル・ストレージ、Oracle Container Engine for Kubernetes、オブジェクト・ストレージなど、多くのOracle Cloud Infrastructureサービスと統合されています。

  • Vaultとは何ですか。

    Oracle Vaultはキーの論理グループです。Vaultは、キーが生成またはインポートされる前に作成する必要があります。Vaultには、プライベートとバーチャルの2つのタイプがあり、分離度、価格、コンピュート・レベルが異なります。

  • HSMでOracle Cloud Infrastructureテナントはどのように分離されていますか。

    各テナントには、Vaultを含めないことも、多くのVaultを含めることもできます。プライベートVaultには3,000個のキーが予約されており、HSMに専用のパーティションがあります。パーティションによりHSM上で物理的に分離されるため、プライベートVaultは高い分離度を実現しています。バーチャルVaultはマルチテナント・パーティションを使用しており、HSM上のソフトウェアによって管理されるため、中程度の分離度があります。

  • Key Managementサービスを使用するタイミングを教えてください。

    マスター暗号化キーをHSMに保存してガバナンスおよび規制コンプライアンスの要件を満たす必要がある場合や、データに使用する暗号化キーの暗号有効期間を詳細に制御したい場合に、Key Managementサービスを使用してください。

  • Key Managementのデフォルトの制限は何ですか。

    バーチャルVaultのデフォルトは10で、Vaultごとに100個のキーが用意されています。

    プライベートVaultのデフォルトは0で、Vaultごとに1,000個のキーが用意されています。

    Key Managementサービスの制限の確認と更新については、サービス制限を参照してください。チケットを送信して、いつでも制限を増やすようリクエストできます。

  • Key Managementサービスを開始するにはどうすればよいですか。

    テナンシの制限で、作成予定のVaultタイプの作成が許可されていることを確認します。

    ユーザー・アカウントのIAMポリシーに、Vaultの作成に必要な権限が付与されていることを確認します。ステートメントの作成については、 IAMポリシー・リファレンスを参照してください。

    最初に、Oracle Cloud Infrastructureコンソールで「セキュリティ」を選択し、次に「Key Management」を選択して、Key ManagementキーVaultを作成します。

    Vaultを作成し、2つのVaultタイプから分離度および処理要件に最適なタイプを選択します。

    • プライベート(VIRTUAL_PRIVATE):HSMクラスター上での分離度を高め、暗号化/復号化操作を専用に処理する必要がある場合は、プライベートVaultを選択します。プライベートVaultは、高いレートでUniversal Creditsを消費します。
    • バーチャル(VIRTUAL):キー・バージョンに基づいて低価格のメトリックが必要であり、分離度が中程度(HSMのマルチテナント・パーティション)で、暗号化/復号化操作が共有環境で処理されても問題ない場合は、バーチャルVaultを選択します。

    Vault内に「マスター暗号化」キーを作成します。キーは必要に応じて、バージョン管理ができます。

    Key Managementを呼び出すサービスまたはエンティティのIAMポリシーに必要な権限があることを確認します。例:allow service objectstorage-us-ashburn-1 to use keys in compartment

    以下の場合にキーを使用します。

    • ネイティブのOracle Cloud Infrastructureストレージ:ストレージ(バケット、ファイル、ボリューム)を作成する際は、「顧客管理キーを使用して暗号化する」にマークを付け、Vaultとマスター暗号化キーを選択します。そのバケット/ボリューム/ファイル・ストレージ内のデータは、Vault内のマスター暗号化キーでラッピングされたデータ暗号化キーで暗号化されます。
    • crypto操作では、例としてコマンド・ライン・インターフェイス(CLI)を使用します。
      oci kms crypto encrypt --key-id --plaintext

    crypto操作は、SDKおよびAPIでも使用できます。詳細については、ドキュメントの「Key Managementの概要」を参照してください。

    コンソールおよびモニタリング・サービスのメトリックを使用して、操作の使用状況を監視します。メトリックと次元については、以下を参照してください。https://docs.cloud.oracle.com/iaas/Content/KeyManagement/Reference/keymgmtmetrics.htm

  • Key Managementと統合されているOracle Cloud Infrastructureサービスはどれですか。

    現在、次のサービスがKey Managementと統合されています。

    • Block Volumes(クロスリージョン・バックアップ/復元とOracle Cloud Infrastructure Computeブート・ボリュームを含む)
    • Object Storage
    • File Storageサービス
    • Oracle Container Engine for Kubernetes

    Marketplace製品の一部には、Key Managementサービスとネイティブで統合されているものもあります。

  • オラクル管理の暗号化と顧客管理の暗号化の違いは何ですか。

    顧客管理とは、ストレージ・サービスで暗号化されたデータが、キー管理のマスター暗号化キーでラッピングされたデータ暗号化キーによって透過的に保護されていることを意味します。

    オラクル管理とは、オラクルが維持管理する暗号化キーを使用してデータが暗号化され、リージョン内のすべてのオラクル管理ストレージで共有されることを意味します。

    いずれの場合も、データは保存時に暗号化されます。顧客管理では、分離度、バージョン管理、および暗号有効期間を詳細に制御できます。

  • データが保存されている場所を保護するために、Key Managementを使用する必要がありますか。

    いいえ。Oracle Cloud Infrastructure Block Volumes、File Storageサービス、およびObject Storageでデータを保存していてKey Managementを使用していない場合は、オラクルが安全に保存および制御する暗号化キーを使用してデータが保護されます。

  • Key Managementはどのような機能を使用できますか。

    Key Managementサービスを使用すると、次のキー管理機能を使用できます。

    • 暗号化キーを永続的に保存するために、可用性に優れたキーVaultを作成
    • 独自の対称鍵の使用
    • キーの無効化および再有効化
    • キーのローテーションとバージョン管理
    • IAMポリシーを使用したVaultおよびキー権限の制限
    • Oracle Auditを使用したキーとVaultのライフサイクルの監視
    • キーを使用したcrypto操作の監視
    • 使用しなくなったキーの削除
    • 使用しなくなったキーVaultの削除
  • Key Managementと統合されているサービスで提供されるキー管理機能は何ですか。

    Key Managementと統合されているサービスでは、次のキー管理機能を使用できます。

    • 新しいリソースへのキーの割り当て
    • 既存リソースへのキー割り当ての追加
    • 既存リソースのキー割り当ての変更
    • キー割り当ての削除
  • Key Managementで作成および保存できるキーのシェイプ/長さは何ですか。

    キーを作成する際には、キーの長さを示すキー・シェイプと、そのキーで使用されるアルゴリズムを選択することができます。すべてのキーはAdvanced Encryption Standard(AES)であり、キーの長さはAES-128、AES-192、AES-256の3種類から選択できます。推奨はAES-256です。

  • Key Managementを利用できるOracle Cloud Infrastructureリージョンはどれですか。

    すべてのOracle Cloud Infrastructureリージョンで、Key Managementを利用できます。

    キーおよびキーVaultの管理

  • キーをローテーションできますか。

    はい。セキュリティ・ガバナンスと規制コンプライアンスのニーズに合わせてキーを定期的にローテーションしたり、セキュリティ・インシデントが発生した場合にアド・ホックでキーをローテーションしたりすることができます。コンソール、API、またはCLIを使用して定期的に(たとえば、90日ごとに)キーをローテーションすると、1つのキーで保護されるデータ量が制限されます。

    注意:キーをローテーションさせても、以前に古いキー・バージョンで暗号化されたデータは自動的に再暗号化されません。このデータは、次回顧客が変更したときに再暗号化されます。キーが侵害された疑いがある場合は、そのキーで保護されているすべてのデータを再暗号化し、以前のキー・バージョンを無効にする必要があります。

  • Key Managementにキーをインポートできますか。

    はい。お客様は非対称RSA鍵ペアを使用して、AES対称鍵をラッピングする必要があります。ラッピング後にKey Managementサービスにインポートできます。

  • Key ManagementからキーVaultを削除できますか。

    はい。ただし、時間がかかります。削除の待機時間を7~30日間に構成することで、Key ManagementからキーVaultの削除をスケジュールすることができます。キーVaultおよびキーVault内で作成されたすべてのキーは、待機時間の終了時に削除され、それらのキーによって保護されていたすべてのデータにアクセスできなくなります。キーVaultを削除すると、その後復元することはできません。

  • キーまたはキー・バージョンを削除できますか。

    はい。キーまたはキー・バージョンを削除できます。キーを無効にすると、そのキーを使用した暗号化/復号化操作を防ぐことができます。

  • Key Managementで、キーVaultごとに作成または保存できるキーの数にハード制限はありますか。

    キーの保存にプライベートVaultを使用している場合、キーVaultあたり最大3,000のキー・バージョンを作成および保存することができます。

    キーの保存にバーチャルVaultを使用している場合、ハード制限はありません。

    Vaultに保存するすべてのキー・バージョンは、対応するキーが有効か無効かに関係なく、この制限にカウントされます。

    Oracle Cloud Infrastructureドキュメントのサービス制限引き上げのリクエストの手順に従って、Vault内に保存されているキーの制限の引き上げをリクエストできます。有効なキーと無効なキーの両方が制限にカウントされるため、オラクルでは、使用しなくなった無効なキーを削除することをお勧めします。

    キーの使用

  • Key Managementサービスのキーを常に直接使用する必要がありますか。

    いいえ。マスター暗号化キーでラッピングされたデータ暗号化キー(DEK)を生成し、DEKでデータを暗号化できます。

  • DEK(データ暗号化キー)を使用してデータを暗号化/復号化するにはどうすればよいですか。

    任意の暗号化ライブラリ(例:Bouncy Castle、OpenSSL)でデータを暗号化することができます。

  • crypto操作をログに記録するにはどうすればよいですか。

    Oracle Cloud Infrastructureバケットに関する情報を記載したサービス・リクエストを送信して、操作でそのバケットにログを送信するようにVaultを構成します。

    高可用性および災害復旧

  • オラクルは、リージョン内のキーの高可用性をどのように実現していますか。

    オラクルは、過去に99.999%の可用性を実現してきた6つのHSMクラスターを使用しています。

  • キーが作成されたリージョンとは異なるリージョンでキーを転送して使用できますか。

    現在、キーは作成したリージョンでのみ使用できます。

    請求

  • Key Managementの使用料金はどのように請求されますか。

    バーチャルVaultタイプを使用している場合、作成したキー・バージョン数に応じて料金が発生し、当月の利用分が月末に請求されます。

    プライベートVaultタイプを使用している場合、作成したVaultごとに1時間単位で料金が発生し、当月の利用分が月末に請求されます。キーをプライベートVaultタイプに保存する場合、キーVault内に作成し、サポートされているOracle Cloud Infrastructureサービスで使用しているキーに課金されることはありません。

    現在の価格については、Key Managementの価格ページを参照してください。

  • キーVaultの削除がスケジュールされている場合でも請求されますか。

    いいえ。削除がスケジュールされているキーVaultの使用に対して請求されることはありません。待機時間中にキーVaultの削除をキャンセルした場合、請求は継続されます。

  • 削除保留中のキーは引き続きクォータ制限にカウントされますか。

    はい。削除保留中のキーは引き続きクォータ制限にカウントされます。

    セキュリティ

  • オラクルの従業員はキー・マテリアルにアクセスできますか。

    いいえ。

  • Key Managementで作成および保存したキーは、誰が使用および管理できますか。

    Key Managementに作成および保存するキーを制御できます。キーの使用および管理ポリシーを定義し、Oracle IAMユーザー、グループ、またはサービスに、キーを使用、管理、またはリソースと関連付ける権利を付与します。

  • Key ManagementのキーVault内に作成したキーはどのように保護されますか。

    お客様の代わりにキーを作成するようサービスにリクエストすると、Key Managementはキーと以降のすべてのキー・バージョンをHSMでバックアップされたキーVaultに保存します。

    お客様の代わりにプライベートVault内にキーを作成するようサービスをリクエストすると、Key Managementは、FIPS 140-2、セキュリティ・レベル3認定のハードウェア・セキュリティ・モジュール(HSM)内の顧客単位で分離されたパーティションを使用して、キーと以降のすべてのキー・バージョンをHSMでバックアップされたキーVaultに保存します(キーVaultのバックアップに使用されるハードウェアのFIPS 140-2セキュリティ・ポリシーについては、http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdfを参照してください)。

    キーを含むすべてのキーVaultタイプは、キーの耐久性と可用性を確保するため、リージョン内で複数回複製されます。プレーンテキストのキー・マテリアルを、キーVaultから表示したりエクスポートしたりすることはできません。キー管理を呼び出してデータを暗号化または復号化することで、IAMポリシーで認証したユーザー、グループ、またはサービスのみがキーを使用できます。

  • キー管理で作成したキーをエクスポートできますか。

    いいえ。暗号化キーは、FIPS 140-2、レベル3認定のHSM内でホストされているキーVaultにのみ保存され、キーVaultからエクスポートすることはできません。

  • Key Managementサービスを管理するIAMポリシーのベスト・プラクティスを教えてください。

    IAMポリシーで「manage」ではなく「use」という単語を使用することで、Vaultの削除権限を最小限のユーザー・セットに制限することができます。例:allow group VaultOperators to use vaults in compartment

    Vaultとキーのストレージへの割り当てを制限して、不正な置換を防止します。

    一般的なパターンの例はこちらを参照してください。