該当する結果がありません

一致する検索結果がありませんでした。

お探しのものを見つけるために、以下の項目を試してみてください。

  • キーワード検索のスペルを確認してください。
  • 入力したキーワードの同義語を使用してください。たとえば、「ソフトウェア」の代わりに「アプリケーション」を試してみてください。
  • 下記に示すよく使用される検索語句のいずれかを試してみてください。
  • 新しい検索を開始してください。
急上昇中の質問

 

すべて開く すべて閉じる

    全般的な質問

  • Oracle Cloud Infrastructure Vault—Key Managementとは何ですか。

    Oracle Cloud Infrastructure (OCI) Vaultにより、さまざまなOCIサービスおよびアプリケーションでキーとシークレットの使用を一元的に管理および制御できます。OCI Vaultは、ハードウェアプロビジョニング、ソフトウェアパッチ適用、高可用性維持など時間のかかる管理タスクを心配することなく、データ暗号化のニーズに集中できる、安全で回復力のあるマネージドサービスです。

    Key Managementでは、連邦情報処理標準(FIPS)140-2のセキュリティレベル3のセキュリティ認定を満たすハードウェア・セキュリティ・モジュール(HSM)を使用して、キーを保護します。HSMまたはソフトウェアのいずれかで保護されたマスター暗号化キーを作成できます。HSMで保護されたキーを使用すると、すべての暗号化操作とキーの保存がHSM内で行われます。ソフトウェアで保護されたキーを使用すると、暗号化キーはソフトウェアに保存および処理されますが、保存時にHSMのルートキーで保護されます。

  • OCI VaultとOracle Key Vaultの違いは何ですか。

    OCI VaultとOracle Key Vaultは、オラクルの2つのキー管理製品です。

    OCI Vault—Key Managementはフルマネージドサービスであり、暗号化キーの一元管理機能を提供して、OCIにのみ保存されているデータを保護します。Key Managementのビジョンは、さまざまなタイプの暗号化キー(対称および非対称)と一般的なワークロードのセット(Oracle Database TDEおよび非データベースワークロードを含む)をサポートすることです。OCI Vaultは、ネイティブのGen2 Cloud暗号化サービスです。

    Oracle Key Vaultは、オンプレミス(Oracle Exadata Cloud@CustomerとOracle Autonomous Database—Dedicatedを含む)とOCIの両方で実行されるTDE対応のOracle Databaseのキー管理機能、および暗号化されたOracle GoldenGate証跡ファイルと暗号化されたACFSファイルシステムのキー管理機能を提供します。

  • オラクル管理の暗号化と顧客管理の暗号化の違いは何ですか。

    オラクル管理の暗号化は、多くのOCIサービスのデフォルトの暗号化です。オラクル管理の暗号化は、ライフサイクル管理がオラクルによって制御される暗号化キーを使用してデータが保存時に暗号化されることを意味します。暗号化キーの管理やアクセスを望まず、OCIに保存しているすべてのデータを保護する最も簡単な方法を探しているお客様は、オラクル管理の暗号化を選択できます。

    顧客管理の暗号化は、データの保護に使用するキーをお客様が制御および管理するOCI Vault—Key Managementサービスによって提供されます。また、コンプライアンスを満たすために高度なセキュリティとFIPS 140-2レベル3の保護を必要とするお客様は、暗号化キーがハードウェアセキュリティモジュール(HSM)に保存される、顧客管理の暗号化を選択しています。

  • OCI Vault—Key ManagementのさまざまなタイプのVault分離とは何ですか。

    OCI Vaultは、キーの論理グループとしても定義されます。Vaultは、キーが生成またはインポートされる前に作成する必要があります。

    Vaultには、2つのタイプとして仮想プライベートVaultとデフォルトVaultがあります。作成するVaultのタイプによって、キーの分離度とパフォーマンスが決まります。各テナントには、Vaultを含めないことも、多くのVaultを含めることもできます。

    仮想プライベートVaultはHSM(単一テナント)に専用パーティションを提供します。パーティションは、他のパーティションから分離されたHSM上の物理的な境界です。仮想プライベートVaultでは、暗号化操作のための1秒あたりのトランザクションがより適切かつ一貫したものになります。

    デフォルトVaultはマルチテナントパーティションを使用するため、分離度は中程度です。

  • Vault—Key Managementサービスを開始するにはどうすればよいですか。

    1.テナンシの制限で、作成予定のVaultタイプの作成が許可されていることを確認します。

    2.ユーザーアカウントにOracle Identity and Access Management (IAM)ポリシーが作成されていることを確認して、Vaultを作成するために必要な権限を付与します。ステートメントの作成については、IAMポリシー・リファレンスを参照してください。

    3.最初に、Oracle Cloud Infrastructureコンソールで「セキュリティ」を選択し、次に「Vault」を選択して、Vaultを作成します。

    Vaultを作成し、2つのVaultタイプから分離度および処理要件に最適なタイプを選択します。

    • 仮想プライベートVault:HSMクラスター上での分離度を高め、暗号化/復号化操作を専用に処理する必要がある場合は、仮想プライベートVaultを選択します。
    • デフォルトVault:中程度の分離(HSMのマルチテナントパーティション)と暗号化/復号化操作の共有処理を受け入れる場合は、デフォルトVaultを選択します。

    4.Vault内に「マスター暗号化」キーを作成します。マスター暗号化キーには、2つの保護モード(HSMまたはソフトウェア)のいずれかを設定できます。

    • HSMによって保護されているマスター暗号化キーはHSMに保存されており、HSMからエクスポートすることはできません。キーに関連するすべての暗号化操作もHSM内で行われます。
    • ソフトウェアで保護されているマスター暗号化キーはサーバーに保存されています。サーバーからエクスポートして、サーバーではなくクライアントで暗号化操作を実行できます。保存時、ソフトウェアで保護されたキーはHSMのルートキーによって暗号化されます。

    5.Vaultを呼び出すサービスまたはエンティティのIAMポリシーに必要な権限があることを確認します。

    例:allow service objectstorage-us-ashburn-1 to use keys in compartment

    以下の場合にキーを使用します。

    • ネイティブのOracle Cloud Infrastructureストレージ:ストレージ(バケット、ファイル、ボリューム)を作成する際は、「顧客管理のキーを使用して暗号化する」にマークを付け、Vaultとマスター暗号化キーを選択します。そのバケット/ボリューム/ファイルストレージ内のデータは、Vault内のマスター暗号化キーでラッピングされたデータ暗号化キーで暗号化されます。
    • crypto操作では、例としてコマンド・ライン・インターフェイス(CLI)を使用します。oci kms crypto encrypt --key-id --plaintext

    crypto操作は、SDKおよびAPIでも使用できます。詳細については、資料の「Vaultの概要」を参照してください。

    6.コンソールおよびモニタリング・サービスのメトリックを使用して、操作の使用状況を監視します。メトリックとディメンションをご覧ください。

  • Vaultのデフォルトの制限は何ですか。

    仮想プライベートVaultの制限はデフォルトでは0です。ユーザーはVaultを使用するために制限の引き上げをリクエストする必要があります。仮想プライベートVaultを有効にすると、ユーザーの対称キーバージョンのソフト制限は1,000、ハード制限は3,000になります。

    キーの保存にデフォルトVaultを使用している場合、ハード制限はありません。デフォルトは10 Vaultで、Vaultごとに100個のキーが用意されています。

    Vaultに保存するすべてのキーバージョンは、対応するキーが有効か無効かに関係なく、この制限にカウントされます。

    OCI Vaultに課せられる制限は、OCIサービスの制限に従います。デフォルトの制限は、すべてのテナントに設定されています。お客様は、Oracle Cloud Infrastructure資料のサービス制限引き上げのリクエストの手順に従って、Vault内に保存されているキーのサービス制限の引き上げをリクエストできます。有効なキーと無効なキーの両方が制限にカウントされるため、オラクルでは、使用しなくなった無効なキーを削除することをお勧めします。

  • Key Managementでは、どのような機能を使用できますか。

    Key Managementサービスでは、次のキー管理機能を使用できます。詳細については、資料の「Vaultの概要」を参照してください。

    • データを保護する独自の暗号化キーの作成
    • キーの持ち込み
    • キーのローテーション
    • キーのクロスリージョンバックアップおよび復元のサポート
    • IAMポリシーを使用したキー権限の制限
    • OCI内部サービスへの統合:Oracle Autonomous Database—Dedicated、Oracle Block Storage、Oracle File Storage、Oracle Object Storage、Streaming and Container engine for Kubernetes
  • Vault—Key Managementで作成および保存できるキーのシェイプ/長さは何ですか。

    キーを作成する際には、キーの長さを示すキーシェイプと、そのキーで使用されるアルゴリズムを選択することができます。現時点ですべてのキーはAdvanced Encryption Standard(AES - GCM)であり、キーの長さは次の3種類から選択できます。AES-128、AES-192、AES-256。推奨はAES-256です。

  • Vault—Key Managementを利用できるOracle Cloud Infrastructureリージョンはどれですか。

    Key Managementは、すべての商用および政府機関のOracle Cloud Infrastructureリージョンで利用できます。

    キーおよびキーVaultの管理

  • キーをローテーションできますか。

    はい。セキュリティ・ガバナンスと規制コンプライアンスのニーズに合わせてキーを定期的にローテーションしたり、セキュリティ・インシデントが発生した場合にアドホックでキーをローテーションしたりすることができます。コンソール、API、またはCLIを使用して定期的に(たとえば、90日ごとに)キーをローテーションすると、1つのキーで保護されるデータ量が制限されます。

    注意:キーをローテーションさせても、以前に古いキー・バージョンで暗号化されたデータは自動的に再暗号化されません。このデータは、次回顧客が変更したときに再暗号化されます。キーが侵害された疑いがある場合は、そのキーで保護されているすべてのデータを再暗号化し、以前のキーバージョンを無効にする必要があります。

  • 自分のキーをVault—Key Managementに持ち込むことはできますか。

    はい。独自のキー管理インフラストラクチャからVaultにキーのコピーをインポートして、統合OCIサービスで使用したり、独自のアプリケーション内から使用したりできます。

  • Vaultを削除できますか。

    はい。ただし、時間がかかります。7〜30日の待機期間を設定することで、削除をスケジュールできます。VaultおよびVault内で作成されたすべてのキーは、待機時間の終了時に削除され、それらのキーによって保護されていたすべてのデータにアクセスできなくなります。Vaultを削除すると、その後復元することはできません。

  • キーまたはキーバージョンを削除できますか。

    はい。ただし、時間がかかります。7〜30日の待機期間を設定することで、削除をスケジュールできます。また、キーを無効にすると、そのキーを使用した暗号化/復号化操作を防ぐことができます。

    キーの使用

  • OCI Vault-Key Managementを使用する場合、データはどこで暗号化されますか。

    データをKey Management APIに直接送信して、Vaultに保存されているマスター暗号化キーを使用して暗号化および復号化できます。

    また、エンベロープ暗号化と呼ばれる方法を使用して、アプリケーションおよびOCIサービス内でデータをローカルに暗号化できます。

    エンベロープ暗号化を使用すると、Key Management APIからデータ暗号化キー(DEK)を生成および取得できます。DEKはKey Managementサービスで保存または管理されませんが、マスター暗号化キーによって暗号化されます。アプリケーションではDEKを使用してデータを暗号化し、暗号化されたDEKをデータと一緒に保存できます。アプリケーションでデータを復号化するときは、暗号化されたDEKに対してKey Management APIのdecryptを呼び出して、DEKを取得する必要があります。取得したDEKを使用して、ローカルでデータを復号化できます。

  • エンベロープ暗号化を使用する理由は何ですか。なぜデータをVault—Key Managementに送信して直接暗号化しないのですか。

    Key Managementに送信して直接暗号化できるデータの最大サイズは4 KBです。さらに、エンベロープ暗号化はパフォーマンスに大きなメリットをもたらします。Key Management APIを使用してデータを直接暗号化する場合、データはネットワーク経由で転送する必要があります。エンベロープ暗号化では、ネットワーク経由でリクエストおよび配信されるDEKのサイズははるかに小さいため、ネットワークの負荷が軽減されます。DEKは、アプリケーションまたは暗号化OCIサービスでローカルに使用されるため、データのブロック全体を送信する必要がありません。

    高可用性および災害復旧

  • オラクルは、リージョン内のキーの高可用性をどのように実現していますか。

    オラクルは、ノードとHSMのクラスターを使用して、キーのレプリカをそのキーが作成された場所と同じリージョンに保存しています。これにより、Key Managementで99.9%のSLAと99.99%のSLOを達成できています。Oracle PaaS/IaaS Public Cloud Servicesの基本資料を参照してください。

  • キーが作成されたリージョンとは異なるリージョンでキーを転送して使用できますか。

    はい。Key Managementは、仮想プライベートVaultのクロスリージョンのバックアップと復元をサポートしているため、キーが作成された場所とは異なるリージョンでキーを使用できます。バックアップと復元はFIPSの要件を満たしています。これは、実際のキーマテリアルがエクスポートされず、キーマテリアルを表すバイナリオブジェクトがエクスポートされるためです。復元操作はOCI管理のHSMに対してのみ実行できます。

    請求

  • Vault—Key Managementの使用に対してどのように課金されますか。

    作成されたVaultのタイプに基づいて課金されます。

    デフォルトでは、Vaultはキーバージョンの数に基づいて課金されます。ソフトウェアで保護されたキーは無料ですが、HSMで保護されたキーに対してはキーバージョンごとに50セントが課金されます。(最初の20のキーバージョンは無料です)。

    ただし、仮想プライベートVault(シングルテナントHSM)を作成する場合は、1時間あたりの料金がかかります。この料金は、Vaultの作成時から発生し、Vaultの削除がスケジュールされるまでかかります。仮想プライベートVault内のキーバージョンに対しては課金されません。

    詳細については、Oracle Cloud Securityの料金表をご覧ください。

  • キーの削除がスケジュールされている場合でも料金がかかりますか。

    いいえ、削除がスケジュールされているキーに対しては料金はかかりません。キーの削除をキャンセルすると、課金が再開されます。

    セキュリティ

  • オラクルの従業員はキーマテリアルにアクセスできますか。

    いいえ、できません。

  • Vault—Key Management内に作成したキーはどのように保護されますか。

    HSM保護モードでキーを作成するようサービスにリクエストすると、Key Managementはキーと以降のすべてのキーバージョンをHSMに保存します。プレーンテキストのキーマテリアルをHSMから表示したりエクスポートしたりすることはできません。ソフトウェア保護モードでは、キーはKey Managementサーバーに保存されますが、HSMからのルートキーによって保存時に保護されます。

    Key Managementを呼び出してデータを暗号化または復号化することで、IAMポリシーで認証したユーザー、グループ、またはサービスのみがキーを使用できます。

  • Vault—Key Managementで作成したキーをエクスポートできますか。

    はい。ソフトウェア保護モードを使用してキーを作成する場合は、キーマテリアルをプレーンテキストでエクスポートできます。しかし、HSM保護モードでキーを作成する場合は、キーがHSMを離れることがないため、キーマテリアルをエクスポートすることはできません。キーマテリアルは同じまたは別のリージョンに復元するためにバックアップできます。ただし、そのバックアップではキーマテリアルにアクセスできません。