Vaultキーおよびキー・バージョンのインポート
インポートされたキー・マテリアルを使用する場合、Vaultサービスでそのコピーを使用できるようにしながら、キー・マテリアルは引き続き担当します。
- 要件に基づいてツールまたはソースによって生成されたキー・マテリアルを使用します。
- 他のクラウド・システムやオンプレミス・システムで使用するのと同じ主要資料を使用します。
- Vaultサービスでキー・マテリアル、その有効期限および削除を管理します。
- 耐久性とリカバリの目的で、Oracle Cloud Infrastructureの外部で重要な資料を所有および管理します。
キー・タイプ | サポートされているキー・サイズ |
---|---|
対称キー: Advanced Encryption Standard (AES)アルゴリズムベースの対称キーは、暗号化または復号化に使用されます。 | 次のいずれかの長さのAESキーをインポートできます。
|
非対称キー: Rivest-Shamir-Adleman (RSA)アルゴリズムベースの同対称キーは、暗号化、復号化、署名または検証に使用されます。 | 次のいずれかの長さのRSAキーをインポートできます。
|
楕円曲線暗号デジタル署名アルゴリズム(ECDSA)ベースの非対称キーはインポートできません。
キー・マテリアルの長さは、キーの作成時またはインポート時に指定した長さと一致している必要があります。さらに、キーをインポートする前に、各ボールトで提供される公開ラッピング・キーを使用してキー・マテリアルをラップする必要があります。ボールトのラップ・キー・ペアによって、HSMはキーを安全にアンラップおよび格納できます。支払カード業界(PCI)のコンプライアンスを満たすために、それをラップするために使用するキーよりも強度の高いキーをインポートすることはできません。Vaultラッピング・キーは4096ビットRSAキーです。そのため、PCIコンプライアンスを満たすために、128ビットを超えるAESキーをインポートすることはできません。ラッピング・キーはボールトの作成時に作成され、ボールトに対して排他的です。ラッピング・キーを作成、削除またはローテーションすることはできません。
また、CLIを使用して新しい外部キーまたは外部キー・バージョンを作成する場合は、キー・マテリアルがbase64でエンコードされている必要があります。
必須IAMポリシー
ボリューム、バケット、ファイル・システム、クラスタおよびストリーム・プールに関連付けられたキーは、ブロック・ボリューム、オブジェクト・ストレージ、ファイル・ストレージ、Container Engine for Kubernetesおよびストリーミングがユーザーにかわってキーを使用することを認可しないかぎり機能しません。さらに、ユーザーがキーの使用方法をこれらのサービスに委任することを最初に認可する必要もあります。詳細は、共通ポリシーのユーザー・グループによるコンパートメントでのキーの使用の委任および暗号化キーを有効にするポリシーの作成を参照してください。テナンシ内のキーを管理するためにDBシステム内のすべてのノードを含む動的グループを認可しないかぎり、データベースに関連付けられたキーは機能しません。詳細は、Exadata Cloud Serviceで必要なIAMポリシーを参照してください
Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。
始める前に
自分のキーを持ち込むには、インポートする前にRSA - Optimal Asymmetric Encryption Padding (OAEP)を使用してキー・マテリアルをラップする必要があります。鍵データを変換すると、非公開RSAラッピング鍵を所有しているハードウェアセキュリティーモジュール(HSM)のみで鍵をラップ解除できるようにすることで、保護層が追加されます。
キー・タイプ | サポートされるラップメカニズム |
---|---|
対称キー(AES) |
|
非対称キー(RSA) | RSA_OAEP_AES_SHA256 (SHA-256ハッシュと一時AESキーを使用するRSA-OAEP) |
MacOSまたはLinuxを使用している場合、コマンドを実行するにはOpenSSL 1.1.1シリーズをインストールする必要があります。RSA_OAEP_AES_SHA256
ラッピングを使用する場合は、それをサポートするOpenSSLパッチもインストールする必要があります。キー・マテリアルをラップするためのOpenSSLパッチの構成を参照してください。Windowsを使用している場合は、Git Bash for Windowsをインストールしてコマンドを実行する必要があります。