Oracle Database@AzureでのExadata Database ServiceのAzure Key Vault統合

Oracle Database@Azure上のExadata Database Serviceでは、データベースの透過的データ暗号化(TDE)キー(マスター暗号化キー(MEK)とも呼ばれる)を、ファイルベースのOracleウォレットまたはOCI Vaultに格納できます。

この機能により、Oracle Database@AzureユーザーのExadata Database Serviceで、TDE MEKの管理にAzure Key Vault (AKV)管理対象HSM、AKV PremiumおよびAKV Standardを使用できます。この統合により、アプリケーション、Azureサービスおよびデータベースは、一元化されたキー管理ソリューションを使用して、セキュリティを強化し、キー・ライフサイクル管理を簡素化できます。

前提条件

Azure Key Vaultをデータベースのキー管理として構成する前に、次のステップを完了する必要があります。

Azure Key VaultをKey Management ServiceとしてExadata VMクラスタ・レベルで構成するには、次のステップを完了する必要があります。

  1. まず、委任サブネットがOracle Database@Azureのネットワーク計画に記載されている高度なネットワーク機能を使用するために必要な登録を完了し、次に、Exadata VMクラスタで使用される委任サブネットが少なくとも1つあるAzure Virtual Networkを作成する必要があります。
  2. Azureインタフェースを介してExadata VMクラスタをプロビジョニングします。ステップバイステップの手順については、Exadata VMクラスタfor Azureのプロビジョニングを参照してください。
  3. ネットワーク要件を確認して、VMクラスタがパブリック・ネットワークを介してAzure KMSに接続するか、プライベート接続を介して接続するかを決定します。詳細は、接続マシン・エージェントのネットワーク要件またはアイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件を参照してください。
  4. データベースを作成する前に、次のポリシーが作成されていることを確認してください。
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件

Azure Key Management Service (KMS)リソースは、パブリック接続とプライベート接続の両方をサポートします。Azure Key Vault Managed HSMにはプライベート接続が必要ですが、Azure Key Vault PremiumおよびStandard層ではパブリック接続オプションとプライベート接続オプションの両方がサポートされています。

次のセクションでは、パブリックネットワークアクセスのネットワーク要件について説明します。

プライベート・ネットワークを使用した構成

  • Arcエージェント・ネットワーク構成

    プライベート・ネットワークを介してアイデンティティ・コネクタを作成するには、Azure Arcプライベート・リンク・スコープおよびプライベート・エンドポイントをAzureポータルを介して構成する必要があります。Azure Arc対応サーバーのプライベート接続の設定ステップの詳細は、Azureのドキュメントを参照してください。

    ノート

    プライベート・エンドポイントは、Oracle Exadata VMクラスタをホストするAzure Virtual Network (VNet)内の非委任サブネットに作成する必要があります。プライベート・エンドポイントは、委任サブネットではサポートされていません。デフォルトでは、Exadata VMクラスタは委任サブネットにプロビジョニングされます。

    マネージドHSMにはプライベート接続が必要で、Advanced Networking機能を提供するAzureリージョンでのみサポートされます。サポートされているリージョンのリストは、Oracle Database@Azureのネットワーク計画を参照してください。

    プライベート・ネットワークを介したプライベート・エージェント・リソースとの通信を許可するには、Oracle Cloud Infrastructure (OCI)テナンシのVCNのDNS構成内に、プライベートDNSゾーンおよび対応するAレコードを作成する必要があります。

    プライベート・リンク・スコープに関連付けられたプライベート・エンドポイントのDNS構成には、必要なプライベート・エージェント・リソース・アドレスが含まれている必要があります。詳細は、接続マシン・エージェント・ネットワーク要件URLに関する項を参照してください。

    まず、Azureポータルから必要なアドレスのリストを取得します。次に、OCIのDNSゾーン・エントリを更新して構成を完了します。

    必要なIPアドレスのリストを取得するステップ:
    1. Azureポータルにサインインします。
    2. 「Azure Arc Private Link Scopes」の検索結果
    3. リストから任意のプライベートリンクスコープを選択します。
    4. 「構成」メニューで、「プライベート・エンドポイント接続」をクリックします。
    5. 「プライベート・エンドポイント」リンクをクリックします。
    6. 「設定」で「DNS構成」を選択して、必要なアドレスを表示します。

    例: プライベート・エージェント・リソースの追加(gbl.his.arc.azure.comなど)

    gbl.his.arc.azure.comに関連付けられたIPアドレスとその他の必要なエージェント・リソースは、プライベートDNSゾーンで定義する必要があります。

    ステップ:

    1. プライベート・ゾーンの作成
      詳細は、プライベートDNSゾーンの作成を参照してください。
      • ゾーンのタイプ: プライマリ
      • ゾーン名: <記述名>
      • コンパートメント: <コンパートメント名またはOCID>
    2. DNSレコードの追加
      • ゾーン詳細ページの「レコード」タブにナビゲートします。
      • 「レコードの管理」をクリックし、「レコードの追加」をクリックします。
        • 名前: gbl.his.arc.azure.com
        • タイプ: A (IPv4アドレス)
        • TTL(秒): 3600
        • RDATAモード: 基本
        • アドレス: <プライベートIPアドレス>
    3. ゾーンの公開
    4. 公開後に、そのレコードがゾーンのページに表示されることを確認します。
    5. VMクラスタからのAzureサービスへの接続がプライベート・ネットワークを介してルーティングされていることを確認します。

    プライベート接続の場合でも、次のエンドポイントはAzure NATゲートウェイを介してルーティングする必要があります。

    エージェントのリソース:

    • packages.microsoft.com
    • login.microsoftonline.com
    • pas.windows.net
    • management.azure.com
  • Azure Key Vaultプライベート・エンドポイントの構成

    プライベート接続を介してAzure Key Vaultsのエンドポイントにアクセスするには、DNSゾーンを作成する必要があります。また、リソースの完全修飾ドメイン名(FQDN)を対応するプライベート・エンドポイントのIPアドレスにマッピングするAレコードは、OCIテナンシに追加する必要があります。

    Exadata VMクラスタをホストしている仮想ネットワーク内のプライベート・エンドポイントを介して管理対象HSMサービスにアクセスするには、管理対象HSMへのプライベート・リンク接続を確立し、それをデフォルト・サブネットまたは非委任サブネットに関連付けることができます。アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件のトピックのプライベート・ネットワークを使用した構成に関する項に記載されているステップに従います。詳細は、管理対象HSMとAzureプライベート・リンクの統合を参照してください。

パブリックネットワークを使用した構成

AzureポータルでNATゲートウェイを作成し、Exadata VMクラスタの委任サブネットに関連付けます。詳細は、NAT gatewayの作成および既存のサブネットとの関連付けを参照してください。

コンソールを使用したOracle Database@AzureでのExadata Database Service用のAzure Key Vault統合の管理

Oracle Database@AzureでExadata Database ServiceのAzure Key Vault統合を管理する方法について学習します。

アイデンティティ・コネクタを作成すると、Azure ArcエージェントがExadata VMクラスタ・仮想マシンにインストールされ、Azure Arc対応仮想マシンとして登録されます。

これにより、Arcエージェントによって生成された Azure IDを使用して、Azure Key Management Service (KMS)とのセキュアな通信が可能になります。Azure Arcエージェントは、パブリック ネットワークまたはプライベート接続設定のいずれかを介して Azureサービスと通信できます。Azure Arcの詳細を参照してください。

Azureリソースにアクセスするには、各Exadata VMクラスタでアイデンティティ・コネクタが有効になっている必要があります。アイデンティティ・コネクタは、割り当てられたロールに応じて、Exadata VMクラスタとAzure Key Managementリソースの間でパブリック接続またはプライベート接続を確立します。

現在のAzureアカウントのアクセス・トークンを生成するには、az account get-access-tokenを参照してください。

Oracle Exadata Database Service on Dedicated Infrastructureインタフェースまたはデータベース・マルチクラウド統合インタフェースを使用して、アイデンティティ・コネクタを2つの方法のいずれかで作成できます。

Oracle Exadata Database Service on Dedicated Infrastructure

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  2. 左側のメニューから、「Oracle Exadata Database Service on Dedicated Infrastructure」の下の「Exadata VMクラスタ」をクリックします。
  3. Exadata VMクラスタのリストから、使用しているクラスタを選択します。
  4. 「VMクラスタ情報」を選択し、「マルチクラウド情報」の下にある「アイデンティティ・コネクタ」に移動します。「作成」リンクをクリックします。
    ノート

    アイデンティティ・コネクタが以前に作成されていない場合、「なし」と表示されます。

  5. 「アイデンティティ・コネクタ名」「Exadata VMクラスタ」「AzureサブスクリプションID」および「Azureリソース・グループ名」は読取り専用フィールドで、値が移入されます。
  6. AzureテナントIDおよびアクセス・トークンを入力します。
  7. 「拡張オプションの表示」セクションを展開します。

    「プライベート接続情報」および「タグ」セクションにデータが移入されます。

    プライベート・エンドポイント接続を有効にするには、Azureアーク・プライベート・リンク・スコープの名前を入力します。

  8. リソースのタグを追加するには、「タグの追加」をクリックし、必要な値を入力します。
  9. 選択内容を確認し、「作成」をクリックしてアイデンティティ・コネクタを作成します。

データベース・マルチクラウド統合

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「データベース・マルチクラウド統合」をクリックします。
  2. 左側のナビゲーション・メニューから「アイデンティティ・コネクタ」を選択します。
  3. 「コンパートメント」ドロップダウン・リストから、使用しているコンパートメントを選択します。
  4. コンパートメントを選択すると、アイデンティティ・コネクタ名に名前が自動的に移入されます。

    デフォルトでは、アイデンティティ・コネクタ・タイプは「Azure」として選択されています。

  5. アイデンティティ・メカニズムとして「ARCエージェント」を選択します。
  6. 「Exadata VMクラスタ・コンパートメントの選択」リストからコンパートメントを選択し、「Exadata VMクラスタの選択」リストからExadata VMクラスタを選択します。
  7. AzureテナントIDを入力します。「AzureサブスクリプションID」および「Azureリソース・グループ名」フィールドは、Exadata VMクラスタの選択に基づいて値を移入します。
  8. 「アクセス・トークン」を入力します。
  9. 「拡張オプションの表示」セクションを展開します。「プライベート接続情報」および「タグ」セクションにデータが移入されます。これらのフィールドはオプションです。
  10. リソースのタグを追加するには、「タグの追加」をクリックし、必要な値を入力します。
  11. 選択内容を確認して、「作成」をクリックします。

アイデンティティ・コネクタの詳細を表示するには、この手順を使用します。

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  2. 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。
  3. 選択したVMクラスタの名前をクリックします。
  4. 表示される「VMクラスタの詳細」ページの「マルチクラウド情報」セクションで、「アイデンティティ・コネクタ」フィールドに、以前に作成したアイデンティティ・コネクタが表示されていることを確認します。
  5. アイデンティティ・コネクタの名前をクリックして、その詳細を表示します。

このステップでは、Azure Key Vault統合をサポートするために、必要なライブラリをVMクラスタにインストールします。Exadata VMクラスタでAzure Key Managementを有効にする前に、アイデンティティ・コネクタが作成されていることを確認します。

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  2. 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。
  3. 選択したVMクラスタの名前をクリックします。
  4. 表示される「VMクラスタの詳細」ページの「マルチクラウド情報」セクションで、「Azureキー・ストア」の横にある「有効化」リンクをクリックします。
  5. 表示される「Azureキー管理の有効化」ダイアログで、「有効化」をクリックして操作を確認します。

    アクションを確認すると、Exadata VMクラスタにライブラリがインストールされます。

    Azureキー・ストアのステータスが「無効」から「有効」に変わります。

  6. Azureキー・ストアを無効にするには、「無効化」リンクをクリックします。
  7. 表示される「Azureキー管理の無効化」ダイアログで、「無効化」をクリックして操作を確認します。

    Azureキー管理を無効にすると、有効化時にインストールされたライブラリが削除され、それを使用するように構成されたデータベースの可用性に影響します。

ノート

Azureキー管理はVMクラスタ・レベルで構成されるため、クラスタ内のすべてのデータベースで同じキー管理ソリューションを使用する必要があります。ただし、Oracle Walletを使用するデータベースは、Azure Key Vaultを使用するデータベースと同じクラスタ内に共存できます。

Azure Key Vault管理対象HSM、Azure Key Vault PremiumまたはAzure Key Vault Standardを作成し、権限を割り当てます。

詳細は、Azureポータルを使用したキー・ボールトの作成を参照してください。

ノート

Azure Key Vault管理対象HSMAzure Key Vault PremiumおよびAzure Key Vault 標準リソースへのアクセスおよび管理に必要な権限を付与するために、グループに割り当てる必要がある特定のロールがあります。
  1. グループを作成し、メンバーを追加します。

    Azureグループを使用すると、リソースに同じアクセスおよび権限を割り当てることで、ユーザーを管理できます。

  2. Azure Key Vaultのタイプに基づいて、次のロールを割り当てます:
    • 管理対象HSMの場合:
      • IAM: リーダー
      • ローカルRBAC: マネージドHSM暗号責任者+マネージドHSM暗号ユーザー
    • Key Vault PremiumおよびStandard向け
      • IAM : Reader + Key Vault Crypto Officer

詳細なステップは、Azureポータルを使用したAzureロールの割当てを参照してください。

これは、OCIコンソールからAzureキー・ボールトを登録する別の方法です。既存のExadata VMクラスタでのデータベースの作成中にボールトをすでに登録している場合は、このステップをスキップできます。

  1. OCIコンソールから、「データベース・マルチクラウド統合」に移動し、「Microsoft Azure統合」を選択します。「Microsoft Azure統合」セクションで、「Azureキー・ボールト」を選択します。
    ノート

    登録を成功させるには、Azureポータルのボールトに少なくとも1つのキーを作成する必要があります。
  2. 「Azureキー・ボールトの登録」ボタンを選択します。
  3. ドロップダウン・リストから、「コンパートメント」を選択します。
  4. Azureテナンシ(アイデンティティ・コネクタとAzure Key Vaultまたは管理対象HSMが同じサブスクリプション)の同じサブスクリプション内でAzure Key Vaultまたは管理対象HSMを検出し、キーを登録するには:
    1. 「Azureキー・ボールト」セクションで、「コネクタを使用したAzureキー・ボールトの検出」リストから「アイデンティティ・コネクタ」を選択します。
    2. 「検出」をクリックします。

      Vault名のリストが表示されます。

    3. 「Vault名」の横にあるチェック・ボックスを選択します。
  5. Azureテナンシの同じサブスクリプション内で単一のAzure Key Vaultまたは管理対象HSMを検出するには、次のいずれかの形式で完全なリソースIDを指定します:

    Azure Key Vaultの場合:

    /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/vaults/<key-vault-name>

    Azure Managed HSMの場合:

    /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/managedHSMs/<hsm-name>
  6. Azureテナンシのサブスクリプション(異なるサブスクリプション内のIdentity ConnectorおよびAzure Key VaultまたはManaged HSM)でAzure Key VaultまたはManaged HSMを検出し、キーを登録するには:
    1. 「Azureキー・ボールト」セクションで、「コネクタを使用したAzureキー・ボールトの検出」リストから「アイデンティティ・コネクタ」を選択します。
    2. Azure Key Vaultの完全なリソースIDを次の形式で指定します。
      /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/vaults/<key-vault-name>
      
    3. 「検出」をクリックします。
  7. リソースのタグを追加する場合は、「拡張オプション」セクションを展開し、「タグの追加」をクリックします。
  8. 「登録」をクリックして、ボールトをOCIにローカルに登録します。
  9. ボールトを登録すると、リスト内のボールトの「表示名」「状態」「タイプ」「Azureリソース・グループ」および「作成済」の情報を表示できます。
  10. 使用しているボールトを選択し、「アイデンティティ・コネクタ・アソシエーション」タブをクリックします。このタブには、現在のコンパートメント内のアイデンティティ・コネクタ・アソシエーションがリストされます。
    ノート

    デフォルトのアソシエーションは、ボールト登録プロセス中に使用されるボールトとアイデンティティ・コネクタの間に自動的に作成されます。これにより、その特定のアイデンティティ・コネクタに関連付けられているExadata VMクラスタでボールトを使用できます。

    異なるアイデンティティ・コネクタに登録されている他のクラスタ(つまり、ボールト検出時に使用されるものではない)で同じボールトを使用する場合は、ボールトとそれらの追加のアイデンティティ・コネクタとの間にアソシエーションを明示的に作成する必要があります。

  11. 「アソシエーションの作成」をクリックします。
  12. ドロップダウン・リストから、「コンパートメント」「Azureキー・ボールト・アソシエーション名」および「アイデンティティ・コネクタ」を選択します。
  13. 「拡張オプション」セクションを展開すると、リソースを編成するためのタグを追加できます。
  14. 選択内容を確認して、「作成」をクリックします。

データベースの作成およびキー管理ソリューションとしてのAzure Key Vaultの使用

このトピックでは、データベースを作成し、キー管理ソリューションとしてAzure Key Vaultを使用するステップのみについて説明します。

汎用データベース作成手順については、既存のVMクラスタにデータベースを作成するにはを参照してください。

前提条件

最初のデータベースを作成し、キー管理用にAzure Key Vaultを選択する前に、次の前提条件が満たされていることを確認します:

制限事項

  • 仮想マシンの制限: VMクラスタをスケール・アウトしても、Azure Key Vaultを使用するデータベースは、新しく追加された仮想マシンに自動的に拡張されません。拡張を完了するには、Azureアクセス・トークンを指定して、Exadata VMクラスタの既存のアイデンティティ・コネクタを更新する必要があります。アイデンティティ・コネクタを更新したら、dbaascli database addInstanceコマンドを実行して、新しいVMにデータベース・インスタンスを追加します。
  • Data Guardの制限事項:
    • Azure Key Vaultを使用するプライマリのスタンバイ・データベースを作成する場合は、ターゲットVMクラスタにアクティブなアイデンティティ・コネクタがあり、Azureキー管理が有効になっており、アイデンティティ・コネクタとKey Vaultの間の必要なアソシエーションが適切に構成されていることを確認してください。
    • クロスリージョンData Guardおよびデータベースのリストア操作は、キー管理にAzure Key Vaultを使用するデータベースではサポートされていません。
  • PDB操作の制限:リモートPDB操作(クローン、リフレッシュ、再配置など)は、ソース・データベースと宛先データベースの両方が同じTransparent Data Encryption (TDE)キーを使用している場合にのみサポートされます。

ステップ

ノート

Azureキー管理がVMクラスタ・レベルで有効になっている場合、2つのキー管理オプション(Oracle WalletおよびAzure Key Vault)があります。

  1. 「暗号化」セクションで、「Azure Key Vault」を選択します。
  2. コンパートメントで使用可能な登録済Vaultを選択します。
    ノート

    • Vaultリストには、登録済みのボールトのみが表示されます。

      「新しいボールトの登録」リンクをクリックして、ボールトを登録します。Azureキー・ボールトの登録ページでボールトを選択し、「登録」をクリックします。

    • ボールトに少なくとも1つのキーを登録する必要があります。
  3. コンパートメントで使用可能なキーを選択します。

異なる暗号化方式間で暗号化キーを変更する方法について学習します。

  1. OCIコンソールで既存のExadata VMクラスタに移動します。「データベース」タブを選択します。次に、使用するデータベース・リソースを選択します。
  2. 「データベース情報」タブを選択し、「キー管理」セクションまでスクロール・ダウンします。
  3. 「暗号化」セクションで、「キー管理」「Oracle Wallet」に設定されていることを確認します。次に、「変更」リンクを選択します。
  4. 「キー管理の変更」ページで次の情報を入力します。
    1. ドロップダウン・リストから、「キー管理」「Azureキー・ボールト」を選択します。
    2. 使用しているVaultコンパートメントを選択し、コンパートメントで使用可能なVaultを選択します。
    3. 使用しているキー・コンパートメントを選択し、ドロップダウン・リストからキーを選択します。
    4. 「変更の保存」をクリックします。
ノート

Azure Key VaultからOracle Walletへのキー管理の変更は、APIまたはOCIコンソールを使用して実行できません。これは、dbaascli tde fileToHsmコマンドでのみサポートされています。また、Azure Key VaultとOCI VaultまたはOracle Key Vault (OKV)の切替えはサポートされていません。

コンテナ・データベース(CDB)のAzureキー・ボールト暗号化キーをローテーションするには、この手順を使用します。

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、暗号化キーをローテーションするデータベースを含むVMクラスタの名前をクリックします。
  4. 「データベース」をクリックします。
  5. 暗号化キーをローテーションするデータベースの名前をクリックします。

    「データベース詳細」ページに、選択したデータベースに関する情報が表示されます。

  6. 「暗号化」セクションで、「キー管理」「Azure Key Vault」に設定されていることを確認し、「ローテーション」リンクをクリックします。
  7. 表示される「キーのローテーション」ダイアログで、「ローテーション」をクリックしてアクションを確認します。
ノート

キー・ローテーションは、OCIインタフェースを介して実行する必要があります。Azureインターフェイスからキーを直接ローテーションしても、データベースには影響しません。

プラガブル・データベース(PDB)のAzureキー・ボールト暗号化キーをローテーションするには、この手順を使用します。

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、起動するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、暗号化キーをローテーションするPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベース詳細」ページを表示します。
  6. ページの、「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 暗号化キーをローテーションするPDBの名前をクリックします。

    プラガブル詳細ページが表示されます。

  8. 「暗号化」セクションに、キー管理がAzure Key Vaultとして設定されていることが表示されます。
  9. 「ローテーション」リンクをクリックします。
  10. 表示される「キーのローテーション」ダイアログで、「ローテーション」をクリックしてアクションを確認します。

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

これらのAPI操作を使用して、Oracle Database@Azure上のExadata Database ServiceのAzure Key Vault統合を管理します。

表5-10 Oracle Database@Azure上のExadata Database ServiceのAzure Key Vault統合を管理するためのAPI操作

API 説明
createOracleDbAzureConnector Azure固有の詳細を顧客から取得し、ExaDB-D VMクラスタへのARCエージェントのインストールを自動化します。
deleteOracleDbAzureConnector Azure Connectorリソースを削除し、ExaDB-D VMクラスタからArc Agentをアンインストールします。
getOracleDbAzureConnector 特定のAzure Connectorリソースの詳細をフェッチします。
listOracleDbAzureConnectors 指定されたフィルタに基づいてAzure Connectorリソースをリストします。
CreateMultiCloudResourceDiscovery 新しいマルチクラウド・リソース検出リソースを作成します。
GetMultiCloudResourceDiscovery 特定のマルチクラウド・リソース検出リソースの詳細を取得します。
ListMultiCloudResourceDiscoveries すべてのマルチクラウド・リソース検出リソースのリストを取得します。
CreateOracleDbAzureVaultAssociation Oracle DBとAzureボールトの間に新しいアソシエーションを作成します。
GetOracleDbAzureVaultAssociation 特定のOracle DB Azureボールト・アソシエーションの詳細を取得します。
ListOracleDbAzureVaultAssociations すべてのOracle DB Azureボールト・アソシエーションのリストを取得します。
CreateCloudVMCluster クラウドVMクラスタを作成します。
GetCloudVmCluster 指定されたクラウドVMクラスタに関する情報を取得します。Exadata Cloud Serviceインスタンスおよび専用Exadataインフラストラクチャ上のAutonomous Databaseにのみ適用されます。
ListCloudVmClusters 指定されたコンパートメント内のクラウドVMクラスタのリストを取得します。Exadata Cloud Serviceインスタンスおよび専用Exadataインフラストラクチャ上のAutonomous Databaseにのみ適用されます。
DeleteCloudVMCluster 指定されたクラウドVMクラスタを削除します。Exadata Cloud Serviceインスタンスおよび専用Exadataインフラストラクチャ上のAutonomous Databaseにのみ適用されます。
CreateDatabase 指定されたデータベース・ホームに新しいデータベースを作成します。データベース・バージョンを指定する場合は、データベース・ホームのバージョンと一致する必要があります。ExadataおよびExadata Cloud@Customerシステムに適用されます。
CreateDatabaseFromBackup

データベース・バックアップからリストアしてデータベースを作成するための詳細。

警告: Oracleでは、APIを使用して文字列値を指定するときに機密情報を使用しないことをお薦めします。

MigrateVaultKey Vaultサービスを使用して、暗号化キー管理を顧客管理からOracle管理に変更します。
RotateVaultKey 既存のVaultサービス・キーの新しいバージョンを作成します。
RestoreDatabase 指定したリクエスト・パラメータに基づいてデータベースをリストアします。