マスター暗号化キーの割当て
サポートされているリソースにマスター暗号化キーを割り当て、不要になったら削除します。
Oracleが管理する暗号化キーを使用するかわりに、管理対象のマスター暗号化キーをブロック・ボリュームまたはブート・ボリューム、データベース、ファイル・システム、バケットおよびストリーム・プールに割り当てることができます。ブロック・ボリューム、データベース、ファイル・ストレージ、オブジェクト・ストレージおよびストリーミングは、各サービスによって格納されるデータを保護するデータ暗号化キーを復号化するためにキーを使用します。デフォルトでは、これらのサービスはOracle管理のマスター暗号化キーに基づいて暗号操作を行います。リソースからVaultマスター暗号化キー割当てを削除すると、サービスはOracle管理キーを使用して暗号化に戻ります。
また、Container Engine for Kubernetesを使用して作成したクラスタにマスター暗号化キーを割り当てて、etcdキー/値ストアに保存されるKubernetesシークレットを暗号化することもできます。
キーの割当てには、次の構成が含まれます。
- 暗号化されたブート・ボリュームによるコンピュート・インスタンスの作成
- ボールト・キーで暗号化されたブート・ボリュームの作成
- 暗号化されたシークレットによるKubernetesクラスタの作成
- オブジェクト・ストレージ・バケットへのキーの割当て
- ストリーム・プールへのキーの割当て
- ブート・ボリュームへのキーの割当て
- ファイル・システムへのキーの割当て
- ブロック・ボリュームへのキーの割当て
- ブート・ボリュームへのキーの編集
- ブロック・ボリュームへのキーの編集
- ブロック・ボリュームからのキー割当ての削除
- オブジェクト・ストレージからのキー割当ての削除
マスター暗号化キーおよびキー・バージョンの作成と使用の管理の詳細は、キーの管理を参照してください。独自のキー・マテリアルを使用したキーの作成の詳細は、Vaultキーおよびキー・バージョンのインポートを参照してください。暗号化操作でのキーの使用方法の詳細は、マスター暗号化キーの使用を参照してください。キーを格納するボールトで実行できる操作の詳細は、ボールトの管理を参照してください。
必須IAMポリシー
ボリューム、バケット、ファイル・システム、クラスタおよびストリーム・プールに関連付けられたキーは、ブロック・ボリューム、オブジェクト・ストレージ、ファイル・ストレージ、Container Engine for Kubernetesおよびストリーミングがユーザーにかわってキーを使用することを認可しないかぎり機能しません。さらに、ユーザーがキーの使用方法をこれらのサービスに委任することを最初に認可する必要もあります。詳細は、共通ポリシーのユーザー・グループによるコンパートメントでのキーの使用の委任および暗号化キーを有効にするポリシーの作成を参照してください。テナンシ内のキーを管理するためにDBシステム内のすべてのノードを含む動的グループを認可しないかぎり、データベースに関連付けられたキーは機能しません。詳細は、Exadata Cloud Serviceで必要なIAMポリシーを参照してください
Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。