Oracle Cloud Infrastructureドキュメント

Vaultキーおよびキー・バージョンのインポート

インポートされたキー・マテリアルを使用する場合、Vaultサービスでそのコピーを使用できるようにしながら、キー・マテリアルは引き続き担当します。

次の場合は、「Bring your own key」(BYOK)を使用することもできます。
  • 要件に基づいてツールまたはソースによって生成されたキー・マテリアルを使用します。
  • 他のクラウド・システムやオンプレミス・システムで使用するのと同じ主要資料を使用します。
  • Vaultサービスでキー・マテリアル、その有効期限および削除を管理します。
  • 耐久性とリカバリの目的で、Oracle Cloud Infrastructureの外部で重要な資料を所有および管理します。
キーまたはキー・バージョンを作成する場合、Vaultサービスでキー・マテリアルを内部的に生成させるかわりに、独自のキー・マテリアルをインポートできます。
次のキー・タイプおよびキー・シェイプをVaultサービスにインポートできます:
サポートされる鍵のタイプと鍵のサイズ
キー・タイプ サポートされているキー・サイズ
対称キー: Advanced Encryption Standard (AES)アルゴリズムベースの対称キーは、暗号化または復号化に使用されます。 次のいずれかの長さのAESキーをインポートできます。
  • 128ビット(16バイト)
  • 192ビット(24バイト)
  • 256ビット(32バイト)
非対称キー: Rivest-Shamir-Adleman (RSA)アルゴリズムベースの同対称キーは、暗号化、復号化、署名または検証に使用されます。 次のいずれかの長さのRSAキーをインポートできます。
  • 2048ビット(256バイト)
  • 3072ビット(384バイト)
  • 4096ビット(512バイト)
ノート

楕円曲線暗号デジタル署名アルゴリズム(ECDSA)ベースの非対称キーはインポートできません。

キー・マテリアルの長さは、キーの作成時またはインポート時に指定した長さと一致している必要があります。さらに、キーをインポートする前に、各ボールトで提供される公開ラッピング・キーを使用してキー・マテリアルをラップする必要があります。ボールトのラップ・キー・ペアによって、HSMはキーを安全にアンラップおよび格納できます。支払カード業界(PCI)のコンプライアンスを満たすために、それをラップするために使用するキーよりも強度の高いキーをインポートすることはできません。Vaultラッピング・キーは4096ビットRSAキーです。そのため、PCIコンプライアンスを満たすために、128ビットを超えるAESキーをインポートすることはできません。ラッピング・キーはボールトの作成時に作成され、ボールトに対して排他的です。ラッピング・キーを作成、削除またはローテーションすることはできません。

また、CLIを使用して新しい外部キーまたは外部キー・バージョンを作成する場合は、キー・マテリアルがbase64でエンコードされている必要があります。

必須IAMポリシー

注意

ボリューム、バケット、ファイル・システム、クラスタおよびストリーム・プールに関連付けられたキーは、ブロック・ボリュームオブジェクト・ストレージファイル・ストレージContainer Engine for Kubernetesおよびストリーミングがユーザーにかわってキーを使用することを認可しないかぎり機能しません。さらに、ユーザーがキーの使用方法をこれらのサービスに委任することを最初に認可する必要もあります。詳細は、共通ポリシーユーザー・グループによるコンパートメントでのキーの使用の委任および暗号化キーを有効にするポリシーの作成を参照してください。テナンシ内のキーを管理するためにDBシステム内のすべてのノードを含む動的グループを認可しないかぎり、データベースに関連付けられたキーは機能しません。詳細は、Exadata Cloud Serviceで必要なIAMポリシーを参照してください

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。

ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」「Vault」の順にクリックします。

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

始める前に

自分のキーを持ち込むには、インポートする前にRSA - Optimal Asymmetric Encryption Padding (OAEP)を使用してキー・マテリアルをラップする必要があります。鍵データを変換すると、非公開RSAラッピング鍵を所有しているハードウェアセキュリティーモジュール(HSM)のみで鍵をラップ解除できるようにすることで、保護層が追加されます。

Vaultサービスでは、キー・タイプに基づく次のラッピング・メカニズムがサポートされています:
キー・タイプ サポートされるラップメカニズム
対称キー(AES)
  • RSA_OAEP_SHA256 (SHA-256ハッシュを使用するRSA-OAEP)
  • RSA_OAEP_AES_SHA256 (SHA-256ハッシュと一時AESキーを使用するRSA-OAEP)
非対称キー(RSA) RSA_OAEP_AES_SHA256 (SHA-256ハッシュと一時AESキーを使用するRSA-OAEP)

MacOSまたはLinuxを使用している場合、コマンドを実行するにはOpenSSL 1.1.1シリーズをインストールする必要があります。RSA_OAEP_AES_SHA256ラッピングを使用する場合は、それをサポートするOpenSSLパッチもインストールする必要があります。キー・マテリアルをラップするためのOpenSSLパッチの構成を参照してください。Windowsを使用している場合は、Git Bash for Windowsをインストールしてコマンドを実行する必要があります。