Vaultシークレットの管理
ボールト・シークレット、シークレット・タグおよびシークレット・ルールを作成および管理します。
Oracle Cloud Infrastructure Secret Managementでは、シークレットを使用してAPIキー、パスワード、暗号化キーなどの機密データを簡単に保護できます。これらの機密情報を安全に作成、保存、管理、およびアクセスするための堅牢なソリューションを提供します。提供される集中型ストレージでは、ハードウェア・セキュリティ・モジュール(HSM)ときめ細かいアクセス制御を利用して、重要な情報のセキュリティと整合性を保護します。OCIシークレット管理を使用して、アプリケーションにシークレットを直接埋め込むことをなくし、攻撃対象領域を減らし、アプリケーション全体のセキュリティを強化します。
シークレットの自動生成およびローテーション
OCIシークレット管理の自動シークレット生成および自動シークレット・ローテーション機能により、スクリプトを使用してシークレットの作成およびローテーションを管理する手作業の負担がなくなります。OCIコンソールおよびAPIを使用して、シークレットの作成からローテーションおよび削除までのライフサイクルを効率的に作成および管理することで、セキュリティと運用効率が向上します。
自動シークレット生成では、いくつかの簡単なステップで、OCIシークレット管理に代わってシークレットを自動的に生成させます。自動シークレット生成では、パスワード、SSHキー、ランダム・バイトなどの3種類のシークレット生成タイプがサポートされます。詳細は、Vaultでのシークレットの作成を参照してください。
「自動シークレット・ローテーション」では、シークレットの自動ローテーションを有効にして、シークレットのローテーション間隔を1か月から12か月に設定し、定期的にシークレットをローテーションします。この機能は、Autonomous Database (ADB)およびOCIファンクションと統合され、ADBまたはファンクション・コードで使用されるシークレットをシームレスにローテーションします。「自動シークレット・ローテーション」が有効な場合、アプリケーションはすぐに新しいシークレットの使用を開始します。OCI関数では、任意の資格証明を簡単にローテーションし、ローテーション・プロセスの一部としてコードを実行できます。自動ローテーションは、手動で作成したシークレットにも使用できます。OCIファンクションの事前作成関数を使用してデータベースのシークレットをローテーションするには、Walletファンクションを使用しないデータベース・シークレット・ローテーションおよびWalletファンクションを使用するデータベース・シークレット・ローテーションを参照してください。
シークレット・バージョンおよびローテーション状態
ボールト・シークレット・バージョン、ローテーション状態およびシークレット・バージョン制限の影響について学習します。
ボールト・シークレット・バージョンおよびローテーション状態について理解すると、制限、ローテーション、その他のルール、または規制への準拠を維持するためにシークレット・コンテンツをトラッキングおよび管理するのに役立ちます。
シークレット・バージョンおよびローテーション状態を含む、シークレットの概念の基本的な定義については、キーおよびシークレット管理の概念を参照してください。シークレット・バージョンの作業の詳細は、Vaultシークレットの管理を参照してください。
ローテーション状態
シークレット・バージョンは、一度に複数のローテーション状態になることができます。存在するシークレット・バージョンが1つのみの場合(シークレットを初めて作成したときなど)、そのシークレット・バージョンには自動的に「現在」と「最新」の両方のマークが付きます。シークレットをトラッキングできるように、シークレットの「最新」バージョンには、最後にボールトにアップロードされたシークレット・コンテンツが含まれます。
シークレットをローテーションして新しいシークレット・コンテンツをアップロードするときは、そのシークレットを「保留中」としてマークできます。シークレット・バージョンのローテーション状態を「保留中」としてマークすると、シークレット・コンテンツを今すぐアクティブに使用せずにボールトにアップロードできます。保留中のシークレット・バージョンを「現在」ステータスにプロモートする準備ができるまで、「現在」のシークレット・バージョンを使用し続けることができます。通常、最初にターゲット・リソースまたはサービス上で資格証明をローテーションした後でこれを行います。意図せずシークレット・バージョンを変更することを避ける必要があります。「現在」のシークレット・バージョンを変更すると、それを必要とするアプリケーションが期待されるシークレット・バージョンをボールトから取得できなくなります。
シークレット・コンテンツの更新で間違いがあった場合や、古いリソースのバックアップをリストアしたときに古いシークレット・コンテンツを使用して再開する場合などに、以前のバージョンに簡単にロールバックできるように、シークレット・バージョンを「前」としてマークすることもできます。「前」としてマークされるシークレット・バージョンは、以前に「現在」としてマークされていたシークレット・バージョンです。以前のバージョンにロールバックするには、シークレットを更新して、目的のシークレット・バージョン番号を指定します。
シークレット・バージョンが削除されていないかぎり、シークレットを更新して、その過去のシークレット・バージョンを使用できます。シークレットを更新すると、選択したシークレット・バージョン番号が「現在」としてマークされます。これは、シークレット・バージョンを「現在」にプロモートするのと同じ結果になります。
削除できるのは、「非推奨」としてマークされているシークレット・バージョンのみです。非推奨のシークレット・バージョンとは、「現在」、「保留」、「前」のいずれとしてもマークされていないものです。これにより、削除したシークレット・バージョンが後で必要になるような状況(たとえば、以前にバックアップしたデータベースをリストアする場合)を回避できます。「非推奨」以外のマークがあるシークレット・バージョンは、「現在」としてマークすることで、再びアクティブに使用できます。
バージョン制限
シークレット・バージョンの制限は、使用中のシークレット・バージョンと非推奨のバージョン(削除がスケジュールされているバージョンを含む)の両方に適用されます。特定のシークレットのバージョンの数、およびテナンシ内のシークレット・バージョンの数の制限の詳細は、サービスの制限を参照してください。
始める前に
開始する前にまず、ルール、シークレット・バージョンおよびシークレット・バージョン・ローテーション状態の作業の意味をよく理解するために、シークレット・ルールおよびシークレット・バージョンおよびローテーション状態を読むことをお薦めします。
必須IAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。
管理者向け:
- セキュリティ管理者によるボールト、キーおよびシークレットの管理のポリシーを使用すると、指定したグループは、ボールト、キーおよびシークレットに関するすべての操作を実行できます。
- 暗号化キーを有効にするポリシーの作成ポリシーにより、指定したグループは特定のボールト内のシークレットですべてを実行できます。
- ユーザーによるすべてのシークレットの読取り、更新およびローテーションのポリシーを使用すると、指定したグループは、テナンシの任意のボールト内のすべてのシークレットの読取り、更新およびローテーションを行うことができます。
- 権限の詳細、またはシークレットのより詳細なポリシーを記述する方法については、ボールト・サービスの詳細を参照してください。
リソースのタグ付け
リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用するか、後でリソースを必要なタグで更新します。タグ適用についての一般情報は、リソース・タグを参照してください。
リソースのモニタリング
別のコンパートメントへのリソースの移動
シークレットはコンパートメント間で移動できます。シークレットを新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、シークレットおよびシークレット・バージョンへのアクセスに影響します。シークレットを移動しても、シークレットに関連付けられているボールトへのアクセスには影響しません。同様に、ボールトは、そのシークレットの移動とは別に、コンパートメント間で移動できます。詳細は、コンパートメントの管理を参照してください。