IDCSドメインの設定
ソース・リージョンと宛先リージョンの両方でIdentity Cloud Service (IDCS)ドメインを構成して、外部KMSボールトのリージョン間レプリケーションを有効にします。OCI
前提条件
開始する前に、次があることを確認します。
- ソース・リージョンと宛先リージョンの両方にアクティブなサブスクリプションがある既存のOCIテナンシ。
- IDCSおよびOAuth 2.0の概念の基本的な理解。
ソース・リージョンでのIDCSの設定
- ソース・リージョンにIDCSドメインを作成します。アイデンティティ・ドメインの作成に関する項を参照してください。ノート
デフォルトでは、IDCSドメインはテナンシがサブスクライブしたホーム・リージョンに作成されます。この場合、OCIコンソールのリージョン・セレクタから同じものを選択して、ドメインをソース・リージョンに明示的に作成する必要があります - ソース・リージョンに次のアプリケーションを作成します。
- 機密リソース・サーバー・アプリケーション: OCIの外部でホストされている外部キー・マネージャを表します。
- 機密クライアント・アプリケーション:OCIにおけるお客様の外部ボールトを表すこと。外部KMSは、外部キー・マネージャへのIPベースおよびFQDNベースの接続モデルの両方をサポートします。
- IPベースの接続:外部キー・マネージャのIPアドレスを使用します。
- FQDNベースの接続: OCI API GatewayのIPアドレスを使用します。
- IPベースの接続の場合、ソース・リージョンのIDCSドメインを宛先リージョンにレプリケートします。
- FQDNベースの接続の場合は、宛先リージョンに新しいOCI API Gatewayを作成します。
- ソース・リージョンのIDCSドメインを宛先リージョンにレプリケートします。
- 宛先リージョンに、ソース・リージョンの機密リソース・サーバー・アプリケーションと同じですが、宛先リージョンのOCI APIゲートウェイIPアドレスとしてプライマリ・オーディエンスを使用して、新しい機密リソース・サーバー・アプリケーションを作成しますhttps://destination_region_apigw_ip_address
- この新しいアプリケーションのスコープを、元のレプリケートされた機密クライアント・アプリケーションに関連付けます。ノート
レプリケートされたIDCSドメインのリージョナルURLは、OCIで外部ボールト・レプリカを作成するとき、および外部キー・マネージャ・サーバーのセカンダリ・プロバイダとしても使用されます。