Key Management
キー管理サービスは、リソースへのアクセスを保護するためにキーを格納および管理するOCIサービスです。
Oracle Cloud Infrastructure (OCI) Key Management Service (KMS)は、OCIに格納されているデータの暗号化キーの一元管理および制御を提供するクラウドベースのサービスです。
OCI KMSには、次の機能があります:
- 暗号化キーを一元的に格納および管理することで、キー管理を簡素化します。
- 対称キーおよび非対称キーなどの各種暗号化キー・タイプをサポートし、保存中および転送中のデータを保護します。
- セキュリティおよびコンプライアンス要件に対処するには、独自のキー(BYOK)をOCIに持ち込む、OCIで作成、またはOCI外部の独自のキーを保持(HYOK)をより詳細に制御します。FIPS 140-2レベル3認定ハードウェア・セキュリティ・モジュール(HSM)を使用して、暗号化キーを格納および保護することもできます。
- ストレージ、データベース、Fusion Applicationsなどの他のOCIサービスと暗号化を統合して、これらのサービスに格納されているデータを保護します。
キーおよびシークレット管理の概念
Vault、キーおよびシークレットへのアクセスおよび管理に関するVaultおよびキー管理の概念を理解します。
- ボールト
- ボールトは、Vaultサービスがボールト・キーおよびシークレットを作成して永続的に格納する論理エンティティです。使用するボールトのタイプによって、ストレージの分離度、管理および暗号化へのアクセス、スケーラビリティ、バックアップ機能などの機能が決まります。また、使用するボールトのタイプは価格設定にも影響します。ボールトの作成後、ボールトのタイプは変更できません。
- キー
- キーは、1つ以上のキー・バージョンを表す論理エンティティであり、各キーには暗号化マテリアルが含まれます。ボールト・キーの暗号化資料は、暗号化またはデジタル署名にキーを使用できる特定のアルゴリズムに対して生成されます。暗号化に使用すると、キーまたはキーのペアがデータを暗号化および復号化し、データが格納されている場所またはデータが転送中のデータを保護します。AES対称キーを使用すると、同じキーでデータが暗号化および復号化されます。RSA非対称キーを使用すると、公開キーはデータを暗号化し、秘密キーはデータを復号化します。
- キー・バージョンとローテーション
- 各ボールト・マスター暗号化キーには、キー・バージョンが自動的に割り当てられます。キーをローテーションすると、ボールト・サービスにより新しいキー・バージョンが生成されます。Vaultサービスでは、新しいキー・バージョンのキー・マテリアルを生成することも、独自のキー・マテリアルをインポートすることもできます。
- 自動キー回転
-
OCI Key Management Serviceを使用すると、キー・ローテーションを自動的にスケジュールできます。ローテーション・スケジュールは、暗号化キー(有効状態)のローテーションの頻度とローテーション・スケジュールの開始日を定義します。自動ローテーションをスケジュールする場合、60日から365日の範囲のキー・ローテーション・スケジュールを定義できます。KMSは、HSMキーとソフトウェア・キーの両方に対して自動キー・ローテーションをサポートしており、対称キーと非対称キーの両方に適用されます。ノート
この機能は、プライベート・ボールトでのみ使用できます。自動キー回転の顕著な特徴は次のとおりです:- キーの自動キー・ローテーション・スケジュールを有効化または更新できます。
- 自動ローテーション・ステータス、定期的なキー・ローテーション更新、最後に成功したローテーション・ステータス、次のローテーション開始日などの自動キー・ローテーション・アクティビティをキーの粒度で追跡する機能。
- 自動キー・ローテーションに関係なく、オンデマンド(手動操作)でキーをローテーションする機能が有効または無効になります。
- テナントの容量制限、不正な状態のキーまたはボールトなどの問題のためにキー・ローテーションが失敗した場合にイベント通知を送信します。
自動ローテーション・イベント通知: KMSは自動レイ・ローテーション・ステータス通知を送信します。これらの通知を受信するには、OCIイベント・サービスを構成する必要があります。キーのローテーションのたびに、KMSはローテーションのステータスおよびエラーメッセージ(ある場合)に関する通知を送信します。OCIイベント・サービスを使用すると、Oracle関数をアタッチして、新しいキー・バージョンでデータを再暗号化するためのカスタム・ロジックを実行し、その後に古いキー・バージョンを削除したり、データのサイズ設定または検証のために非対称キーの公開部分を配布したりできます。
- ハードウェア・セキュリティ・モジュール
- 保護モードをHSMに設定してAES対称マスター暗号化キーを作成すると、Vaultサービスによってハードウェア・セキュリティ・モジュール(HSM)内にキー・バージョンが格納され、物理セキュリティのレイヤーが提供されます。(シークレットを作成すると、シークレット・バージョンはbase64-encodedで、マスター暗号化キーによって暗号化されますが、HSMには格納されません。)リソースの作成後、サービスは、ハードウェア障害に対する自己回復性を実現するために、サービス・インフラストラクチャ内の特定のキー・バージョンまたはシークレット・バージョンのコピーを保持します。HSMで保護されたキーのキー・バージョンは、他の場所には格納されず、HSMからエクスポートできません。
- エンベロープ暗号化
- データの暗号化に使用されるデータ暗号化キーは、それ自体がマスター暗号化キーで暗号化されます。この概念はエンベロープ暗号化と呼ばれます。Oracle Cloud Infrastructureサービスは、ボールト・サービスと対話や、Oracle Cloud Infrastructure Identity and Access Management (IAM)によって保護されたマスター暗号化キーへのアクセスなくしてプレーン・テキスト・データにアクセスすることはできません。復号化のために、オブジェクト・ストレージ、ブロック・ボリューム、ファイル・ストレージなどの統合サービスには、暗号化された形式のデータ暗号化キーのみが格納されます。
- シークレット
- シークレットとは、パスワード、証明書、SSHキー、Oracle Cloud Infrastructureサービスで使用する認証トークンなどの資格証明です。シークレットをボールトに格納すると、コードや構成ファイルなどの他の場所に格納するよりも優れたセキュリティを実現できます。リソースや他のサービスへのアクセスに必要な場合、ボールト・サービスからシークレットを取得できます。
- シークレット・バージョン
- 各シークレットには、シークレット・バージョンが自動的に割り当てられます。シークレットをローテーションするときに、新しいシークレット・コンテンツをボールト・サービスに提供して、新しいシークレット・バージョンを生成します。シークレット・コンテンツを定期的にローテーションすることで、シークレットが公開された場合の影響を抑えることができます。Oracle Cloud ID (OCID)と呼ばれるOracleが割り当てた一意のシークレット識別子はローテーション後も変わりませんが、シークレット・バージョンによって、ボールト・サービスがルールやコンプライアンス要件を満たすためにシークレット・コンテンツをローテーションすることが可能になります。シークレットを再利用できないように構成されたルールがある場合、ローテーション後に古いシークレット・バージョンのコンテンツは使用できませんが、シークレット・バージョンは引き続き使用可能であり、「現在」以外のローテーション状態を示すマークが付きます。シークレット・バージョンおよびそのローテーション状態の詳細は、シークレット・バージョンおよびローテーション状態を参照してください。
- シークレット・バンドル
- ボールト・シークレット・バンドルは、シークレット・コンテンツ、シークレットおよびシークレット・バージョンのプロパティ(バージョン番号やローテーション状態など)、およびユーザーが指定したシークレットのコンテキスト・メタデータで構成されます。シークレットをローテーションするとき、新しいシークレット・バージョンを作成しますが、これにも新しいシークレット・バンドル・バージョンが含まれています。
リージョンおよび可用性ドメイン
ボールト・サービスは、すべてのOracle Cloud Infrastructure商用リージョンで使用できます。使用可能なリージョンのリストと、関連するロケーション、リージョン識別子、リージョン・キーおよび可用性ドメインの詳細は、リージョンおよび可用性ドメインについてを参照してください。
ただし、他のOracle Cloud Infrastructureサービスとは異なり、ボールトサービスにはすべてのAPI操作に対する1つのリージョン・エンドポイントがありません。このサービスには、ボールトの作成、更新およびリスト操作を処理するプロビジョニング・サービス用のリージョン・エンドポイントが1つあります。キーの作成、更新およびリスト操作の場合、サービス・エンドポイントは複数の独立したクラスタ間で分散されます。シークレットのサービス・エンドポイントは、異なる独立したクラスタ間でさらに分散されます。
ボールト・サービスにはパブリック・エンドポイントがあるため、アプリケーションでの暗号操作にはサービスによって生成されたデータ暗号化キーを直接使用できます。ただし、ボールトと統合されたサービスでマスター暗号化キーを使用することは、サービスとキーが含まれるボールトが同じリージョン内に存在しているときのみ可能です。キー管理操作、キー暗号操作、シークレット管理操作およびシークレット取得操作に対して異なるエンドポイントが存在します。詳細は、Oracle Cloud Infrastructure APIドキュメントを参照してください
Vaultサービスでは、ボールトのコピーとその内容を永続的に保持し、可用性ドメインが使用できない場合でも、Vaultサービスがリクエストに応じてキーまたはシークレットを生成できるようにするために、その内容が保持されます。このレプリケーションは、お客様が構成する可能性のあるリージョン間レプリケーションとは独立しています。
複数の可用性ドメインがあるリージョンの場合、Vaultサービスは、リージョン内のすべての可用性ドメインにわたって暗号化キーのコピーを保持します。複数の可用性ドメインを持つリージョンには可用性ドメインごとに1つのラックがあり、これは、各ラックが別々の可用性ドメインに属しているこれらのリージョンの3つの合計ラックにわたってレプリケーションが行われることを意味します。単一の可用性ドメインを持つリージョンでは、Vaultサービスは、フォルト・ドメイン間で暗号化キーのコピーを保持します。
シークレットの場合、複数の可用性ドメインがあるリージョンでは、Vaultサービスは2つの異なる可用性ドメインにシークレット・コピーを分散します。単一の可用性ドメインを持つリージョンでは、Vaultサービスは、2つの異なるフォルト・ドメインにコピーを分散します。
すべてのアベイラビリティ・ドメインに3つのフォルト・ドメインがあります。フォルト・ドメインは、Vaultサービスが特定のアベイラビリティ・ドメイン内の異なる物理ハードウェアにリソースを分散できるようにすることで、高可用性とフォルト・トレランスを提供するのに役立ちます。物理ハードウェア自体にも、1つのフォルト・ドメイン内の停電が他のフォルト・ドメインに影響しないようにする、独立した冗長な電源装置があります。
これらすべてによって、複数の可用性ドメインを持つリージョンで可用性ドメインを使用できない場合や、単一の可用性ドメインを持つリージョンでフォルト・ドメインを使用できない場合でも、Vaultサービスがリクエストに応じてキーとシークレットを生成できます。
ボールトへのプライベート・アクセス
ボールト・サービスでは、サービス・ゲートウェイを介した仮想クラウド・ネットワーク(VCN)内のOracle Cloud Infrastructureリソースからのプライベート・アクセスがサポートされます。VCNでサービス・ゲートウェイを設定して使用すると、リソース(暗号化されたボリュームがアタッチされているインスタンスなど)は、パブリック・インターネットに公開しなくても、ボールト・サービスなどのパブリックOracle Cloud Infrastructureサービスにアクセスできます。インターネット・ゲートウェイは必須ではなく、リソースはプライベート・サブネットにあって、プライベートIPアドレスのみを使用できます。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。
リソース識別子
Oracle Cloud Infrastructureへのアクセス方法
Oracle Cloud Infrastructureには、クラウド・アカウントを入力してアクセスできます。
Oracle Cloud Infrastructure (OCI)にアクセスするには、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用します。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックに含まれています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「Infrastructureコンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。
認証と認可
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。
組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループ、コンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新規ユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。
会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。
ボールト・リソースの制限
使用を開始する前に、Vaultサービスの制限とそのリソース使用率を確認します。
適用可能な制限のリストと制限拡大のリクエスト方法は、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。
テナンシのリソース制限に対する使用レベルを表示する手順は、サービス制限、割当ておよび使用状況の表示を参照してください。ボールトの詳細でキーおよびキー・バージョンの数を表示することで、各ボールトのキー制限に対する使用状況を取得することもできます。