Autonomous Database上のAmazon Web Services (AWS) Key Management Service (KMS)に存在する顧客管理マスター暗号化キーを使用するための前提条件ステップについて説明します。

1. AWS KMSへの読み取りアクセス権を付与するAWSポリシーを作成します。

   手順については、AWS KMSにアクセスするためのIAMポリシーの作成を参照し、詳細は、Amazonリソース名(ARN)を使用するためのAWS管理の前提条件の実行を参照してください。

   たとえば、ADBS_AWS_Policy1ポリシーが作成されているとします。
   
   図sec_aws_policy.pngの説明
   

   ADBS_AWS_Policy1ポリシーには、KMSにアクセスする権限が含まれます。
   
   図sec_aws_perm.pngの説明
   

2. AWSロールを作成し、そのロールにポリシーをアタッチします。

   手順については、AWSサービスにアクセスするためのIAMロールの作成を参照してください。

   たとえば、ADBS_AWS_Role1ロールが作成されているとします。

   
   

   
   図sec_aws_role.pngの説明

   
   

   この例では、ADBS_AWS_Policy1ポリシーがADBS_AWS_Role1ロールにアタッチされています。

   
   

   
   図sec_aws_att_policy.pngの説明

   
   

   ポリシーの詳細ページで、この例では、ロールが「権限ポリシーとしてアタッチ済」の下にリストされます:

   
   

   
   図sec_aws_att_role.pngの説明

   
   
3. ロールの信頼関係を指定します。

   AWSロールの信頼関係を編集して、OracleのユーザーARNおよび外部ID (テナンシOCID)を含めてセキュリティを強化します。

   1. Autonomous Databaseで、CLOUD_INTEGRATIONSを問い合せます。

      たとえば:

      SELECT * FROM CLOUD.INTEGRATIONS;

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:…:user/oraclearn

      ビューCLOUD_INTEGRATIONSは、ADMINユーザーまたはDWROLEロールを持つユーザーが使用可能です。

   2. aws_user_arnのPARAM_VALUEをコピーし、後続のステップの値を保存します。
   3. 外部IDに必要なテナンシOCIDを取得します。

      OCIコンソールで、「プロファイル」をクリックし、「テナンシ」を選択してテナンシの詳細ページに移動します。テナンシOCIDをコピーし、後続のステップ用に保存します。

      たとえば:

      
      

      
      図sec_aws_ocid.pngの説明

      
      
   4. AWSポータルで、ロールの「信頼できるエンティティ」に移動し、「プリンシパル」文までスクロールします。
   5. "Principal"には、保存されたOracleユーザーARNとして「AWS」を指定し、"Condition"には、保存されたOCIDとして「sts:ExternalId」を指定します。

      たとえば:

      
      

      
      図sec_aws_trustrel.pngの説明

      
      

AWS Key Management Service (KMS)に存在する顧客管理マスター暗号化キーを使用してAutonomous Databaseを暗号化するステップを示します。

1. 必要に応じて、必要な顧客管理暗号化キー前提条件ステップを実行します。詳細は、AWS Key Management Serviceで顧客管理暗号化キーを使用するための前提条件を参照してください。
2. 「Oracle管理キーを使用した暗号化」のデフォルトの暗号化キー設定を使用するAutonomous Databaseインスタンスを作成します。詳細は「Autonomous Databaseインスタンスのプロビジョニング」を参照してください。
   ノート
   
   AWS Key Vaultの顧客管理キーの暗号化キー設定は、Autonomous Databaseインスタンスの作成プロセス中は使用できません。オプションは、インスタンスの編集時にプロビジョニング後に使用できます。
3. Autonomous Databaseインスタンスの「詳細」ページで、「その他のアクション」をクリックし、「暗号化キーの管理」を選択します。
   ノート
   
   AWS KMSで顧客管理キーをすでに使用していて、TDEキーをローテーションする場合は、次のステップに従って別のキーを選択します(現在選択されているマスター暗号化キーとは異なるキーを選択します)。
4. 「暗号化キーの管理」ページで、「顧客管理キーを使用した暗号化」を選択します。
5. 「キー・タイプ」ドロップダウンから、「Amazon Web Services (AWS)」を選択します。
   
   

   
   図sec_aws.pngの説明

   
   
6. サービス・エンドポイントURIを入力します。

   サービス・エンドポイントURIは、AWS KMSが配置されているAWSリージョンです。

   1. AWSポータルに移動し、キーがあるKMSに移動します。
   2. ポータルの上部バーにリストされているリージョン名を見つけます。

      たとえば、このKMSはOhioというリージョンにあります。

      
      

      
      図sec_aws_region.pngの説明

      
      
   3. リージョンに対応するエンドポイントを検索します。AWS Key Management Serviceのエンドポイントおよび割当て制限に移動し、AWS KMSが配置されているAWSリージョン名のエンドポイントを検索します。

      たとえば、AWSリージョン名がOhioの場合、エンドポイントはkms.us-east-2.amazonaws.comです。

   4. サービス・エンドポイントURIのエンドポイントを入力します。
7. キーARNまたは別名を入力します。
   1. AWSポータルのキー詳細ページにナビゲートします。キーの別名またはARNをコピーします。

      たとえば、ADBS_TestAWSKMSKeyの別名が選択されています。

      
      

      
      図sec_aws_alias.pngの説明

      
      
   2. 「キーARNまたは別名」フィールドにキーの別名またはARNを入力します。
      エイリアスを入力する場合は、エントリの前にalias/を付けます。たとえば、別名がADBS_TestAWSKMSKeyの場合、次のように入力します。

      alias/ADBS_TestAWSKMSKey

      ARNを入力する場合、プレフィックスは不要です。たとえば、ARNがarn.aws.kms.us-east-2:37807956...bd154の場合、次のように入力します。

      arn.aws.kms.us-east-2:37807956...bd154

8. ARNロールを入力します(オプション)。
   1. AWSポータルのロール詳細ページにナビゲートします。
   2. ロールのARNをコピーします。

      たとえば、ADBS_AWS_Role1のARNがコピーされます。

      
      

      
      図sec_aws_arn_role.pngの説明

      
      
   3. コピーしたARNを「ARN Role」フィールドに入力します。
9. 外部IDを入力します(オプション)。

   「外部ID」に、tenant_ocidと入力します。

10. 「保存」をクリックします。

    たとえば:

    
    

    
    図sec_aws_save.pngの説明

    
    

「ライフサイクルの状態」が「更新中」に変更されます。リクエストが完了すると、「ライフサイクルの状態」に「使用可能」と表示されます。

リクエストが完了すると、Oracle Cloud Infrastructure Consoleで、主要な情報が「暗号化」という見出しの下のAutonomous Databaseインスタンスの詳細ページに表示されます。

たとえば:

図sec_aws_done.pngの説明