Oracle Cloud Infrastructureドキュメント

プライベート・エンドポイントの作成

外部キー・マネージャがOCI外部キー管理サービス(EKMS)にアクセスできるように、VCNにプライベート・エンドポイントを作成する方法について学習します。

ノート

メモリー割当ての問題を回避するために、失敗したプライベート・エンドポイントを明示的に削除してください。メモリー割当ての問題が続く場合、アクティブなプライベート・エンドポイントが存在しない場合でも、消費が制限される可能性があります。
    1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」「プライベート・エンドポイント」の順に選択します。
    2. 「プライベート・ エンドポイント」ページで、「プライベート・ エンドポイントの作成」を選択します。
    3. 「プライベート・エンドポイントの作成」ワークフローで、次の詳細を指定します:
      • タイプ:「外部」を使用します。これは、OCI KMSでサポートされる唯一のエンドポイント・タイプです。
      • 名前:外部キー管理プライベート・エンドポイントの名前を入力します。
      • 説明:簡単な説明を指定します。
      • 仮想プライベート・ネットワーク:ドロップダウン・リストからVCNを選択します。
      • サブネット:サブネットを選択するか、使用しているVCNの表示値を確認します。
      • 外部キー・マネージャのプライベートIP: TLS接続構成に基づいて、外部キー・マネージャの静的IPアドレスまたはAPIゲートウェイのプライベートIPアドレスのいずれかを指定します。
      • 外部キー・マネージャ・ポート:外部キー管理リソースのポート番号を入力します。静的IPアドレス・ベースのTLS接続の場合は、外部キー・マネージャ・サーバーのポート番号を指定します。たとえば、443です。FQDNベースのTLS接続の場合は、フィールドを空白のままにします。
      • 証明書: 「証明書のアップロード」または「証明書の貼付け」を使用して、キー管理CAバンドルを指定します。外部CAは、PEM形式の証明書ファイルです。
        ノート

        TLS接続構成に基づいて、外部キー・マネージャまたはOCI APIゲートウェイのCAバンドルを使用します。
    4. 「作成」を選択します。

      外部キー管理のプライベート・エンドポイントを作成した後、「プライベート・エンドポイントの詳細」ページにアクセスして、エンドポイントがACTIVE状態であることを確認できます。

  • oci kms ekm ekms-private-endpoint createコマンドを使用して、新しいプライベート・エンドポイントを作成します:

    oci kms ekm ekms-private-endpoint create  --ca-bundle <bundle_type> --compartment-id <compartment_id>| -c <secret_name> --display-name <name> --xternal-key-manager-ip <ip address> --subnet-id,  <subnet_id> --defined-tags <tags> --freeform-tags<tags>

    たとえば:

    
--ca-bundle "-----BEGIN CERTIFICATE-----\nMIIFrjCCA5agAwIBAgIQAsMYA04ijAErxlDri 6cIa/\n-----END CERTIFICATE-----",
--compartment-id "ocid1.compartment.region1..aaaaaaaaiexample6mjdbzlsxf576zgtlbi3",
--display-name "Example EKMS PE",
--external-key-manager-ip 1.2.3.4,
--subnet-id "ocid1.subnet.region1.sea.aaaaaaexamplenpse5gupw56s5",
--freeform-tags {"key": "value"},
--port 6758

    機密情報を入力しないでください。

    CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

  • CreateEkmsPrivateEndpoint APIを使用して、OCI外部キー管理を外部キー管理システムに接続するためのプライベート・エンドポイントを作成します。

    ノート

    各リージョンには、シークレットの作成、更新およびリスト操作のための一意のエンドポイントがあります。このエンドポイントは、コントロール・プレーンURLまたはシークレット管理エンドポイントと呼ばれます。各リージョンには、シークレット・コンテンツの取得に関連する操作に対応する一意のエンドポイントもあります。このエンドポイントは、データ・プレーンURLまたはシークレット取得エンドポイントと呼ばれます。リージョン・エンドポイントの詳細は、APIドキュメントを参照してください。

    APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。