Oracle Database@Google CloudでのExadata Database ServiceのGoogle Cloud Key Management統合
Oracle Database@Google Cloud上のExadata Database Serviceでは、Google Cloud PlatformのKey Management Service (KMS)との統合がサポートされるようになりました。
この機能拡張により、ユーザーはGCP顧客管理暗号化キー(CMEK)を使用して、Transparent Data Encryption (TDE)マスター暗号化キー(MEK)を管理できます。
以前は、Transparent Data Encryption (TDE)マスター暗号化キー(MEK)は、ファイルベースのOracle Wallet、Oracle Cloud Infrastructure (OCI) VaultまたはOracle Key Vault (OKV)にのみ格納できました。この更新により、ユーザーはGCP KMSでMEKを直接格納および管理できるようになり、キー・ライフサイクル制御が改善され、組織固有のセキュリティ・ポリシーに準拠できるようになりました。
この統合により、アプリケーション、Google Cloudサービスおよびデータベースは、セキュリティを強化し、キー・ライフサイクル管理を簡素化する一元化されたキー管理ソリューションの恩恵を受けることができます。
- 前提条件
GCP顧客管理暗号化キー(CMEK)をデータベースのキー管理サービスとして構成する前に、次の前提条件が満たされていることを確認してください。 - コンソールを使用したOracle Database@Google Cloud上のExadata Database ServiceのGCP KMS統合の管理
Oracle Database@Google Cloud上のExadata Database ServiceのGCP KMS統合を管理する方法について学習します。 - APIを使用したOracle Database@Google CloudでのExadata Database ServiceのGCP KMS統合の管理
親トピック: ハウツー・ガイド
前提条件
データベースのキー管理サービスとしてGCP顧客管理暗号化キー(CMEK)を構成する前に、次の前提条件が満たされていることを確認してください。
- Google Cloudコンソールを介してExadata VMクラスタをプロビジョニングします。ステップバイステップの手順については、Google Cloud用のExadata VMクラスタのプロビジョニングを参照してください。
- アイデンティティ・コネクタ接続を確認して、正しく構成され、アクティブであることを確認します。詳細は、VMクラスタにアタッチされたデフォルト・アイデンティティ・コネクタの検証を参照してください。
- Exadata VMクラスタ・レベルでのGCP顧客管理暗号化キー(CMEK)の構成の前提条件。
Oracle Database@Google CloudでExadata Database Serviceとともにデプロイされたデータベースに対してGoogle Cloud Platform (GCP)顧客管理暗号化キー(CMEK)を有効にするには、VMクラスタ・レベルでキー管理オプションとしてCMEKを構成する必要があります。CMEKを有効にすると、すべてのデータベース暗号化および復号化操作で、指定されたGCP管理キーが使用されます。
CMEKを有効にする前に、次のことを確認します。- 必要なGCPキー・リングおよび暗号化キーは、GCPにすでに作成されています。
- これらのキーは、Oracle Cloud Infrastructure (OCI)でアンカー・リソースとしてミラー化され、GCPとOCI間の同期が保証されます。
- データベースのプロビジョニングや、キーのローテーション、失効、監査などの暗号化キー・ライフサイクルの管理のために、アンカー・リソースが配置されています。
- GCPキー・リソースにアクセスするためのIAMポリシー要件。
データベースは、クラスタ・リソース・プリンシパルを使用して、GCPキー・リソースを安全に取得します。この機能を有効にするには、OCIテナンシで適切なIAMポリシーを定義する必要があります。
Oracle GCPキーへの読取り専用アクセス:Allow any-user to read oracle-db-gcp-keys in compartment id <your-compartment-OCID> where all { request.principal.type = 'cloudvmcluster',}
このポリシーは、VMクラスタ・リソース・プリンシパルのGCPキー・リソースへの読取り専用アクセス権を付与します。
コンソールを使用したOracle Database@Google CloudでのExadata Database ServiceのGCP KMS統合の管理
Oracle Database@Google CloudでExadata Database ServiceのGCP KMS統合を管理する方法について学習します。
- クラウドVMクラスタ・リソースを作成するには
Exadata Cloud InfrastructureインスタンスにVMクラスタを作成します。 - VMクラスタにアタッチされたデフォルトのアイデンティティ・コネクタの検証
VMクラスタにアタッチされたアイデンティティ・コネクタの詳細を表示するには、この手順を使用します。 - Google Cloudコンソールでのキー・リングの作成
キー・リングを作成するには、この手順を使用します。 - Google Cloudコンソールでのキーの作成
指定されたキー・リングおよび場所にRAW対称暗号化キーを作成するには、この手順を使用します。 - Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与
Oracle Cloud Infrastructure (OCI)でキーを検出可能にするには、この手順を使用します。 - Oracle Cloud Infrastructure (OCI)へのGCPキー・リングの登録
VMクラスタでGoogle Cloud顧客管理暗号化キー(CMEK)を有効にするには、まずOCIにGCPキー・リングを登録する必要があります。 - Google Cloudキー管理の有効化または無効化
Exadata VMクラスタに対してGCP CMEKを有効にするには、この手順を使用します。 - 既存のVMクラスタにデータベースを作成するには
このトピックでは、最初または後続のデータベースの作成について説明します。 - Oracle WalletからGCP Customer Managed Encryption Key (CMEK)へのKey Managementの変更
様々な暗号化方法間で暗号化キーを変更するには、この手順を使用します。 - コンテナ・データベース(CDB)のGCP顧客管理暗号化キーをローテーション
コンテナ・データベース(CDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。 - プラガブル・データベース(PDB)のGCP顧客管理暗号化キーをローテーション
プラガブル・データベース(PDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。
クラウドVMクラスタ・リソースを作成するには
Exadata Cloud InfrastructureインスタンスにVMクラスタを作成します。
Exadata Cloud InfrastructureインスタンスにクラウドVMクラスタを作成するには、まずクラウドExadataインフラストラクチャ・リソースを作成しておく必要があります。
マルチVM対応インフラストラクチャでは、複数のVMクラスタの作成がサポートされます。Exadataシステムごとの複数の仮想マシン(MultiVM)の作成および管理とVMクラスタ・ノードのサブセット化の機能がリリースされる前に作成されたインフラストラクチャでは、単一のクラウドVMクラスタの作成のみがサポートされます。
Oracle Database@Google Cloud上のExadata Database ServiceでExadata VMクラスタをプロビジョニングすると、アイデンティティ・コネクタが自動的に作成され、VMクラスタに関連付けられます。
- ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします
- 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。
ノート
複数のVMクラスタは、マルチVM対応インフラストラクチャでのみ作成できます。 - 「Exadata VMクラスタの作成」をクリックします。
「Exadata VMクラスタの作成」ページが表示されます。VMクラスタを構成するために必要な情報を指定します。
- コンパートメント: VMクラスタ・リソースのコンパートメントを選択します。
- 表示名: VMクラスタのユーザー・フレンドリな表示名を入力します。この名前は一意である必要はありません。Oracle Cloud Identifier (OCID)は、VMクラスタを一意に識別します。機密情報を入力しないでください。
- Exadataインフラストラクチャの選択: VMクラスタを含むインフラストラクチャ・リソースを選択します。新しいVMクラスタを作成するための十分なリソースがあるインフラストラクチャ・リソースを選択する必要があります。「コンパートメントの変更」をクリックし、作業中のコンパートメントとは別のコンパートメントを選択して、他のコンパートメントのインフラストラクチャ・リソースを表示します。
ノート
複数のVMクラスタは、マルチVM対応インフラストラクチャでのみ作成できます - Oracle Grid Infrastructureバージョンの選択:リストから、VMクラスタにインストールするOracle Grid Infrastructureリリース(19cおよび23ai)を選択します。
Oracle Grid Infrastructureリリースにより、VMクラスタでサポートできるOracle Databaseリリースが決まります。Oracle Grid Infrastructureソフトウェア・リリースより後のOracle Databaseリリースは実行できません。
ノート
Grid Infrastructure 23aiでVMクラスタをプロビジョニングするための最小要件:- Exadataシステム・ソフトウェア23.1.8を実行しているExadataゲストVM
- Exadata System Software 23.1.xが稼働するExadataインフラストラクチャ
- Exadataイメージ・バージョンを選択します:
- Oracle Linux 7およびExadataイメージ・バージョン22.1.10.0.0.230422のExadataインフラストラクチャ:
- 「イメージの変更」ボタンが有効になっていません。
- Oracle Grid Infrastructureのバージョンは、デフォルトで19.0.0.0.0になります。
- Exadataゲスト・バージョンは、ホストOSのバージョンと同じです。
- Oracle Linux 8およびExadataイメージ・バージョン23.1.3.0.0.230613のExadataインフラストラクチャ:
- Exadataゲスト・バージョンは、デフォルトで最新(23.1.3.0)になります。
- Oracle Grid Infrastructureのバージョンは、デフォルトで19.0.0.0.0になります。
- 「イメージの変更」ボタンが有効になります。
- 「イメージの変更」をクリックします。
結果の「変更」イメージ・パネルには、使用可能なExadataイメージのメジャー・バージョン(23.1.3.0および22.1.3.0)のリストが表示されます。
各メジャー・バージョンの最新リリースは「(最新)」で示されます。
- スライド「使用可能なすべてのバージョンの表示」。
Exadataイメージの最新バージョン23.1.3.0および22.1.3.0を含む6つの過去のバージョンが表示されます。
- バージョンの選択
- 「変更の保存」をクリックします。
- Oracle Linux 7およびExadataイメージ・バージョン22.1.10.0.0.230422のExadataインフラストラクチャ:
- VMクラスタの構成: 新しいVMクラスタに使用するDBサーバーを指定します(デフォルトでは、すべてのDBサーバーが選択されています)。「DBサーバーの選択」をクリックして、使用可能なDBサーバーから選択し、「保存」をクリックします。
「VM当たりのリソース割当て」ペインで:
- VMクラスタの各仮想マシン・コンピュート・ノードに割り当てるOCPU/ECPUの数を指定します。X11M Exadataインフラストラクチャで作成されたVMクラスタの場合は、ECPUを指定します。X10M以前のExadataインフラストラクチャで作成されたVMクラスタの場合は、OCPUを指定します。最小は、X10Mおよび以前のインフラストラクチャではVM当たり2 OCPU、X11M Exadataインフラストラクチャで作成されたVMクラスタではVM当たり8 ECPUです。読取り専用の「Exadata VMクラスタに対してリクエストされたOCPU数」フィールドには、割り当てるOCPUまたはECPUコアの合計数が表示されます。
- 各VMに割り当てるVM当たりのメモリーを指定します。VM当たりの最小値は30GBです。
- 各VMにローカル・ストレージを割り当てるためのVM当たりのローカル・ストレージを指定します。VM当たりの最小値は60GBです。
新しいVMクラスタを作成するたびに、使用可能な合計領域のうち残りの領域が新しいVMクラスタに使用されます。
/u02
に加えて、追加のローカル・ファイル・システムのサイズを指定できます。個々のVMごとのサイズを指定する方法の詳細および手順は、スケール・アップまたはスケール・ダウン操作の概要を参照してください。
- 「追加ローカル・ファイル・システム構成オプションの表示」をクリックします。
- 必要に応じて、
/
、/u01
、/tmp
、/var
、/var/log
、/var/log/audit
および/home
ファイル・システムのサイズを指定します。ノート
- これらのファイル・システムは拡張のみ可能で、一度拡張するとサイズを小さくすることはできません。
- バックアップ・パーティションおよびミラー化のため、
/
および/var
ファイル・システムは、割り当てられた領域の2倍を消費します。これは、読取り専用「ミラー化による/ (GB)に割り当てられている合計記憶域」および「ミラー化による/tmp (GB)に割り当てられている合計記憶域」フィールドに示されています。
- VMクラスタの作成後、「Exadataインフラストラクチャの詳細」ページの「Exadataリソース」セクションをチェックして、ローカル・ストレージ(
/u02
)およびローカル・ストレージ(追加のファイル・システム)に割り当てられているファイル・サイズを確認します。
-
Exadataストレージの構成: 次を指定します:
- 使用可能なExadataストレージ(TB)の指定。ストレージを1TBの倍数で指定します。最小値: 2TB
- Exadataスパース・スナップショットのストレージの割当て: VMクラスタ内でスナップショット機能を使用する場合は、この構成オプションを選択します。このオプションを選択すると、SPARSEディスク・グループが作成され、PDBスパース・クローニングにVMクラスタ・スナップショット機能を使用できるようになります。このオプションを選択しなかった場合、SPARSEディスク・グループは作成されず、環境に作成されたデータベース・デプロイメントでスナップショット機能を使用できません。
ノート
スパース・スナップショットのストレージ構成オプションは、VMクラスタの作成後に変更できません。 -
ローカル・バックアップのストレージの割当て: Exadata Cloud Infrastructureインスタンス内でローカルExadataストレージへのデータベースのバックアップを実行する場合は、このオプションを選択します。このオプションを選択すると、Exadataストレージにバックアップを保存するために使用されるRECOディスク・グループに、より多くの領域が割り当てられます。このオプションを選択しない場合、より多くの領域がDATAディスク・グループに割り当てられ、データベースに多くの情報を保存できるようになります。
ノート
ローカル・バックアップのストレージ構成オプションは、VMクラスタの作成後に変更できません。
- SSHキーの追加: VMクラスタへのSSHアクセスに使用する各キー・ペアの公開鍵部分を追加します。
- SSHキー・ペアの生成: (デフォルト・オプション) SSHキー・ペアを生成するには、このラジオ・ボタンを選択します。次に、下のダイアログで、「秘密キーの保存」をクリックしてキーをダウンロードし、オプションで「公開キーの保存」をクリックしてキーをダウンロードします。
- SSHキー・ファイルのアップロード: このラジオ・ボタンを選択して、.pubファイルを参照またはドラッグ・アンド・ドロップします。
- SSHキーの貼付け: 個々の公開キーを貼り付けるには、このラジオ・ボタンをクリックします。複数のキーを張り付けるには、「+ 別のSSHキー」をクリックして、エントリごとに1つのキーを指定します。
- ネットワーク設定の構成: 次を指定します:
ノート
IPアドレス(100.64.0.0/10)は、Exadata Cloud Infrastructure X8Mインターコネクトに使用されます。両方の構成が存在する場合は、IPv4 (単一スタック)とIPv4/IPv6 (二重スタック)から選択するオプションはありません。詳細は、VCNおよびサブネット管理を参照してください。
- 仮想クラウド・ネットワーク: VMクラスタを作成するVCN。別のコンパートメント内のVCNを選択するには、「コンパートメントの変更」をクリックします。
- クライアント・サブネット: VMクラスタがアタッチされるサブネット。別のコンパートメントにあるサブネットを選択するには、「コンパートメントの変更」をクリックします。
192.168.16.16/28と重複するサブネットは使用しないでください。これはデータベース・インスタンス上のOracle Clusterwareプライベート・インターコネクトによって使用されています。重複するサブネットを指定すると、プライベート・インターコネクトが正しく機能しません。
- バックアップ・サブネット: バックアップ・ネットワークに使用するサブネット。通常は、バックアップ保存先との間のバックアップ情報の転送およびData Guardレプリケーションに使用されます。必要に応じて、「コンパートメントの変更」をクリックして、別のコンパートメント内のサブネットを選択します。
192.168.128.0/20と重複するサブネットは使用しないでください。この制限は、クライアント・サブネットとバックアップ・サブネットの両方に適用されます。
データベースをオブジェクト・ストレージまたは自律型リカバリ・サービスにバックアップする場合は、Exadata Databaseバックアップの管理のネットワークの前提条件を参照してください。
ノート
Autonomous Recovery Serviceを使用する場合は、新しい専用サブネットを強くお薦めします。Oracle Cloudデータベースをリカバリ・サービスにバックアップするために必要なネットワーク要件および構成を確認します。「リカバリ・サービスのネットワーク・リソースの構成」を参照してください。 - ネットワーク・セキュリティ・グループ: オプションで、1つ以上のネットワーク・セキュリティ・グループ(NSG)をクライアント・ネットワークとバックアップ・ネットワークの両方に指定できます。NSGは仮想ファイアウォールとして機能し、イングレスおよびエグレス・セキュリティ・ルールのセットをExadata Cloud Infrastructure VMクラスタに適用できます。NSGは5つまで指定できます。詳細は、ネットワーク・セキュリティ・グループおよびExadata Cloud Infrastructureインスタンスのネットワーク設定を参照してください。
セキュリティ・リストのあるサブネットを選択する場合、VMクラスタのセキュリティ・ルールは、セキュリティ・リストおよびNSG内のルールの論理和になります。
ネットワーク・セキュリティ・グループを使用するには:
- 「トラフィックを制御するためのネットワーク・セキュリティ・グループの使用」チェック・ボックスを選択します。このボックスは、クライアント・サブネットとバックアップ・サブネットの両方のセレクタの下に表示されます。NSGは、クライアント・ネットワークまたはバックアップ・ネットワーク、あるいはその両方に適用できます。ネットワークにNSGを割り当てるには、仮想クラウド・ネットワークを選択する必要があります。
- ネットワークで使用するNSGを指定します。複数のNSGを使用する必要がある場合があります。不明な場合は、ネットワーク管理者に問い合せてください。
- 追加のNSGをネットワークで使用するには、「+; 別のネットワーク・セキュリティ・グループ」をクリックします。
ノート
クラウドVMクラスタ・リソースに追加のセキュリティを提供するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用して、セキュリティ属性で識別されたリソースのみがリソースにアクセスするためのネットワーク権限を持っていることを確認できます。Oracleには、一般的なデータベース・セキュリティのユース・ケースに対するポリシーの作成に役立つデータベース・ポリシー・テンプレートが用意されています。今すぐ構成するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用してセキュリティ属性がすでに作成されている必要があります。この手順の最後にある「拡張オプションの表示」をクリックします。
クラスタのセキュリティ属性を指定する場合、適用されるとすぐに、すべてのリソースでクラスタにアクセスするためのゼロトラスト・パケット・ポリシーが必要となることに注意してください。エンドポイントにセキュリティ属性がある場合は、ネットワーク・セキュリティ・グループ(NSG)とOracle Cloud Infrastructure Zero Trust Packet Routingポリシー(OCI ZPR)の両方のルールを満たす必要があります。
- プライベートDNSサービスを使用するにはノート
プライベートDNSは、選択する前に構成する必要があります。「プライベートDNSの構成」を参照してください。- 「プライベートDNSサービスの使用」チェック・ボックスを選択します。
- プライベート・ビューを選択します。別のコンパートメントにあるプライベート・ビューを選択するには、「コンパートメントの変更」をクリックします。
- プライベート・ゾーンを選択します。別のコンパートメントにあるプライベート・ゾーンを選択するには、「コンパートメントの変更」をクリックします。
- ホスト名接頭辞: Exadata VMクラスタのホスト名を選択します。ホスト名は英数字で始まり、英数字とハイフン(-)のみを含めることができます。Exadata VMクラスタに許可される最大文字数は12です。
注意:
ホスト名はサブネット内で一意である必要があります。一意でない場合、VMクラスタはプロビジョニングに失敗します。 - ホスト・ドメイン名: VMクラスタのドメイン名。選択したサブネットが、DNS名解決にOracle提供のInternet and VCN Resolverを使用する場合は、このフィールドにサブネットのドメイン名が表示され、変更できません。それ以外の場合は、ドメイン名を選択できます。ハイフン(-)は使用できません。
データベース・バックアップをオブジェクト・ストレージまたはAutonomous Recoveryサービスに格納する予定の場合、Oracleでは、バックアップに使用されるSwiftエンドポイントを自動的に解決するため、クライアント・サブネットのDNS名前解決にVCN Resolverを使用することをお薦めします。
- ホストおよびドメインURL: この読取り専用フィールドは、ホスト名とドメイン名を結合して、データベースの完全修飾ドメイン名(FQDN)を表示します。最大長は63文字です。
- ライセンス・タイプの選択: VMクラスタに使用するライセンスのタイプ。選択内容は従量制の請求に影響します。
- 「ライセンス込み」は、クラウド・サービスのコストにデータベース・サービスのライセンスが含まれていることを意味します。
- 「ライセンス持込み(BYOL)」は、無制限ライセンス契約または使用制限付きライセンス契約を契約されているOracle Databaseの顧客が、このライセンスでOracle Cloud Infrastructureを使用することを意味します。これにより、オンプレミス・ライセンスおよびクラウド・ライセンスを別々に契約する必要がなくなります。
- 診断収集: 診断収集および通知を有効にすることで、Oracle Cloud Operationsと顧客は、ゲストVMの問題をすばやく効率的に特定、調査、追跡および解決できます。イベントをサブスクライブして、リソース状態の変更に関する通知を受けます。
ノート
前述のイベント(またはメトリック、ログ・ファイル)のリストが将来変更される可能性があることを理解した上でオプト・インします。この機能はいつでもオプト・アウトできます。- 診断イベントの有効化: Oracleがクリティカル・イベント、警告イベント、エラー・イベントおよび情報イベントを収集および公開することを許可します。
- ヘルス・モニタリングの有効化: OracleがOracle Databaseの起動/停止、ディスク領域の使用量などのヘルス・メトリック/イベントを収集し、Oracle Cloud operationsと共有することを許可します。一部のイベントの通知も受信します。
- インシデント・ログおよびトレース収集の有効化: 障害診断および問題解決を可能にするためにOracleがインシデント・ログおよびトレースを収集できるようにします。
ノート
前述のイベント(またはメトリック、ログ・ファイル)のリストが将来変更される可能性があることを理解した上でオプト・インします。この機能はいつでもオプトアウトできます。デフォルトでは、3つのチェック・ボックスがすべて選択されています。デフォルト設定をそのままにすることも、必要に応じてチェックボックスを選択解除することもできます。診断収集の設定は、「VMクラスタの詳細」ページの「一般情報」>>「診断収集」の下に表示されます。- 有効: 診断、ヘルス・メトリック、インシデント・ログとトレース・ファイル(3つのオプションすべて)の収集を選択した場合。
- 無効: 診断、ヘルス・メトリック、インシデント・ログとトレース・ファイル(3つのオプションすべて)を収集しないことを選択した場合。
- 一部有効: 診断、ヘルス・メトリック、インシデント・ログとトレース・ファイル(1つまたは2つのオプション)の収集を選択した場合。
- 「拡張オプションの表示」をクリックし、VMクラスタの拡張オプションを指定します:
-
タイム・ゾーン: このオプションは、「管理」タブにあります。VMクラスタのデフォルトのタイム・ゾーンはUTCですが、別のタイム・ゾーンを指定できます。タイム・ゾーン・オプションは、
Java.util.TimeZone
クラスとOracle Linuxオペレーティング・システムの両方でサポートされています。ノート
UTCまたはブラウザが検出したタイム・ゾーン以外のタイムゾーンを設定する場合に、目的のタイム・ゾーンが表示されない場合は、「別のタイム・ゾーンの選択」を選択し、「地域または国」リストで「その他」を選択して、追加のタイム・ゾーンの選択肢を検索してみてください。
- SCANリスナー・ポート: このオプションは、「ネットワーク」タブにあります。SCANリスナー・ポート(TCP/IP)は、1024から8999の範囲で割り当てることができます。デフォルトは1521です。
ノート
バックエンド・ソフトウェアを使用したプロビジョニング後にVMクラスタのSCANリスナー・ポートを手動で変更することはサポートされていません。この変更により、Data Guardのプロビジョニングが失敗する可能性があります。 - Zero Trust Packet Routing (ZPR): このオプションは、「セキュリティ属性」タブにあります。ネームスペースを選択し、セキュリティ属性のキーと値を指定します。構成中にこのステップを完了するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用してセキュリティ属性を設定しておく必要があります。構成後にセキュリティ属性を追加し、後で追加することもできます。Oracle Exadata Database Service on Dedicated Infrastructure固有のポリシーの追加の詳細は、ポリシー・テンプレート・ビルダーを参照してください。
- クラウド自動化の更新: Oracleは、クラウドのツールと自動化に必要なデータベース・ツールとエージェント・ソフトウェアに定期的に更新を適用します。これらの更新がVMクラスタに適用されるための優先時間ウィンドウを構成できます。
クラウド自動化更新の開始時間を設定します。
ノート
Oracleは、構成された時間ウィンドウの間に毎日最新のVM Cloud Automation更新をチェックし、該当する場合は更新を適用します。基礎となる長時間実行プロセスのために、自動化が構成済時間ウィンドウ内の更新の適用を開始できない場合、Oracleは、構成済時間ウィンドウ中に翌日自動的にチェックして、VMクラスタへのクラウド自動化更新の適用を開始します。クラウド・ツール更新の早期アクセスの有効化:早期アクセス用に指定されたVMクラスタは、他のシステムで使用可能になる1-2週間前に更新を受け取ります。このVMクラスタを早期に導入する場合は、このチェック・ボックスを選択します。
クラウド自動化更新の凍結期間: Oracleは、クラウド・ツールおよび自動化に必要なデータベース・ツールおよびエージェント・ソフトウェアに定期的に更新を適用します。凍結期間を有効にして、Oracle自動化がクラウド更新を適用しない期間を定義します。
スライダを移動して、フリーズ期間を設定します。
ノート
- 凍結期間は、開始日から最大45日間延長できます。
- Oracle自動化は、構成された凍結期間中であっても、クリティカルなセキュリティ修正(CVSS >= 9)を含むアップデートを自動的に適用します。
- タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
-
- 「作成」をクリックします。
次の手順
- クラスタのリストのVMクラスタの名前をクリックして「VMクラスタ詳細」ページを表示できます。「VMクラスタ詳細」ページで、「データベースの作成」をクリックしてクラスタ内に最初のデータベースを作成できます
- VMクラスタの詳細ページの「ネットワーク」セクションの「SCAN IPアドレス(IPv4)」および「SCAN IPアドレス(IPv6)」フィールドに、デュアル・スタックIPアドレスの詳細が表示されます。
- VMクラスタの詳細ページの「バージョン」セクションの「クラウド自動化の更新」フィールドに、設定した凍結期間が表示されます。
関連トピック
VMクラスタにアタッチされたデフォルトのアイデンティティ・コネクタの検証
VMクラスタにアタッチされたアイデンティティ・コネクタの詳細を表示するには、この手順を使用します。
- ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
- 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。
- 選択したVMクラスタの名前をクリックします。
- 表示される「VMクラスタの詳細」ページの「マルチクラウド情報」セクションで、「アイデンティティ・コネクタ」フィールドに、このVMクラスタにアタッチされたアイデンティティ・コネクタが表示されることを確認します。
- アイデンティティ・コネクタの名前をクリックして、その詳細を表示します。
データベース・マルチクラウド統合ポータルにリダイレクトされます。
Google Cloudコンソールでのキー・リングの作成
キー・リングを作成するには、この手順を使用します。
- Google Cloudコンソールを開き、「キー管理」ページに移動します。
- 「キー・リングの作成」をクリックします。
- 次の詳細を入力します。
- 名前: キー・リングのわかりやすい名前を入力します。
- 場所: キー・リングの場所を選択します。
重要:
- 同じ名前のキーリングは異なる場所に存在できるため、常に場所を指定する必要があります。
- 保護するリソースに近い場所を選択します。
- 顧客管理暗号化キーの場合は、キー・リングが使用されるリソースと同じ場所にあることを確認してください。
キー・リングの場所の選択:
Google Cloud Key Management Service(KMS)でキー・リングを作成する場合は、適切な場所を選択することが重要です。選択内容は、暗号化キーが格納される場所およびレプリケートされる方法に影響します。詳細は、クラウドKMSの場所を参照してください。
- リージョン:
- データは特定の地域に格納されます。
- キーは、この単一リージョンの境界内に残ります。
- 次の作業に最適:
- 低レイテンシのアプリケーション
- データ・レジデンシー要件への準拠
- リージョン固有のワークロード
- マルチリージョン:
- データは、より大きな地理的領域内の複数のリージョンにレプリケートされます。
- Googleは、配信とレプリケーションを自動的に管理します。
- 個々のデータ・センターまたはリージョンは選択できません。
- 次の作業に最適:
- 高可用性
- 耐障害性に優れたアプリケーション
- 幅広い地域にサービスを提供するサービス
- グローバル:
- 特別なタイプのマルチリージョン。
- キーは、世界中のGoogleデータセンターに配布されています。
- ロケーションの選択および管理は使用できません。
- 次の作業に最適:
- グローバル・ユーザーを含むアプリケーション
- 最大限の冗長性とリーチが必要なユースケース
- 「作成」をクリックします。
キー・リングが作成されると、キー・リング内の暗号化キーの作成と管理を開始できます。
Google Cloudコンソールでのキーの作成
指定されたキー・リングおよび場所にRAW対称暗号化キーを作成するには、この手順を使用します。
- Google Cloudコンソールを開き、「キー管理」ページに移動します。
- キーを作成するキー・リングの名前をクリックします。
- 「キーの作成」をクリックします。
- 次の詳細を入力します。
- キー名: キーのわかりやすい名前を入力します。
- 保護レベル: 「ソフトウェア」または「HSM」(ハードウェア・セキュリティ・モジュール)を選択します。
鍵の作成後に鍵の保護レベルを変更することはできません。詳細は、保護レベルを参照してください。
- キー・マテリアル: 「キーの生成」または「キーのインポート」を選択します。
Cloud KMSでキー・マテリアルを生成するか、Google Cloudの外部でメンテナンスされるキー・マテリアルをインポートします。詳細は、顧客管理暗号化キー(CMEK)を参照してください。
- 目的およびアルゴリズム:
詳細は、主要な目的およびアルゴリズムを参照してください
- 「目的」を「RAW暗号化/復号化」に設定します。
- 「アルゴリズム」で、「AES-256-CBC」を選択します。
- 「作成」をクリックします。
作成後、このキーを使用して、AES-CBC暗号化および復号化を必要とする暗号化操作を実行できます。
Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与
Oracle Cloud Infrastructure (OCI)でキーを検出できるようにするには、この手順を使用します。
- Google Cloud KMSで、検出可能にするキーを選択します。
- 「権限」タブにナビゲートし、「プリンシパルの追加」をクリックします。
- 「新規プリンシパル」フィールドに、ワークロード・リソース・サービス・エージェントに関連付けられたサービス・アカウントを入力します。
ノート
このサービス・アカウントは、「アイデンティティ・コネクタの詳細」ページの「GCP情報」セクションにあります。ワークロード・リソース・サービス・エージェントを探して、そのID(必須サービス・アカウント)を確認します。
- 「ロールの割当て」で、選択したロールを追加します。
ノート
次の最小権限を持つカスタム・ロールを作成し、選択したキー・リングに割り当てます。
これらの権限を一緒に使用すると、OCIは次のことを実行できます。
- キー・リングやキーなどのKMSリソースを検出します。
- キーとそのバージョンに関するメタデータにアクセスします。
- 暗号化操作(暗号化/復号化)にキーを使用します。
- キー・バージョンを作成します。
必要な最小権限:
cloudkms.cryptoKeyVersions.get
特定のキー・バージョンのメタデータの取得を許可します。
cloudkms.cryptoKeyVersions.manageRawAesCbcKeys
生のAES-CBCキー材料(輸入、回転等)の管理を可能にします。
cloudkms.cryptoKeyVersions.create
キー内に新しいキー・バージョンを作成できます。
cloudkms.cryptoKeyVersions.list
指定されたキーのすべてのバージョンをリストします。
cloudkms.cryptoKeyVersions.useToDecrypt
データの復号化にキー・バージョンを使用する権限を付与します。
cloudkms.cryptoKeyVersions.useToEncrypt
データの暗号化にキー・バージョンを使用する権限を付与します。
cloudkms.cryptoKeys.get
キーのメタデータの取得を許可します。
cloudkms.cryptoKeys.list
キー・リング内のすべてのキーをリストします。
cloudkms.keyRings.get
キー・リングのメタデータの取得を許可します。
cloudkms.locations.get
サポートされているキーの場所に関する情報を取得します。
- 「保存」をクリックして変更を適用します。
- 「リフレッシュ」をクリックして、更新された権限が有効であることを確認します。
Oracle Cloud Infrastructure (OCI)でのGCPキー・リングの登録
VMクラスタでGoogle Cloud顧客管理暗号化キー(CMEK)を有効にするには、まずOCIでGCPキー・リングを登録する必要があります。
続行する前に、Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与で概説されている権限が付与されていることを確認します。
- 「データベース・マルチクラウド統合」ポータルで、「Google Cloud統合」→「GCPキー・リング」にナビゲートします。
- 「GCPキー・リング」をクリックします。
- 「GCPキー・リングの登録」をクリックします
- 結果の「GCPキー・リングの登録」ページで、次の詳細を指定します:
- コンパートメント: VMクラスタが存在するコンパートメントを選択します。
- アイデンティティ・コネクタ: VMクラスタにアタッチされているアイデンティティ・コネクタを選択します。
- キー・リング: 登録するGCPキー・リングの名前を入力します。
単一のアイデンティティ・コネクタを介して使用可能なすべてのキー・リングを検出するには、そのアイデンティティ・コネクタに次の権限を付与する必要があります。これらの権限は、コネクタが目的のスコープ全体のすべてのキー・リングにアクセスできるように、適切なプロジェクトまたはフォルダ・レベルで割り当てる必要があります。
cloudkms.keyRings.list
プロジェクト内のすべてのキー・リングのリストを許可します。
cloudkms.locations.get
特定のキー・リングのメタデータの取得を許可します。
- 「検出」をクリックして、キー・リングがGCPに存在するかどうかを確認します。
成功すると、キー・リングの詳細が表示されます。
ノート
個々のキーではなく、キーリングのみ登録できます。必要な権限が設定されている場合、登録済キー・リングに関連付けられたサポートされているすべてのキーを使用できます。
- 「登録」をクリックします。
Google Cloudキー管理の有効化または無効化
Exadata VMクラスタに対してGCP CMEKを有効にするには、この手順を使用します。
Exadata VMクラスタをプロビジョニングする場合、GCP CMEKはデフォルトで無効になっています。
- ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
- 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。
- 構成するVMクラスタの名前を選択します。
- 「VMクラスタの詳細」ページで、「マルチクラウド情報」セクションまでスクロールし、GCP CMEKの横にある「有効化」をクリックします。
- GCP CMEKを無効にするには、「無効化」をクリックします。
既存のVMクラスタにデータベースを作成するには
このトピックでは、最初または後続のデータベースの作成について説明します。
Exadata Cloud InfrastructureインスタンスでIORMが有効な場合、デフォルトのディレクティブが新規データベースに適用され、システムのパフォーマンスが影響を受ける可能性があります。新しいデータベースがプロビジョニングされた後に、IORM設定を確認し、構成を適切に調整することをお薦めします。
最初のデータベースを作成し、キー管理用にAzure Key Vaultを選択する前に、次の前提条件が満たされていることを確認します:
- 「アイデンティティ・コネクタおよびKMSリソースを作成するためのネットワーク要件」の項で説明されているすべてのネットワーク前提条件を満たしています
- アイデンティティ・コネクタが作成され、使用できます。
- Azureキー管理はVMクラスタ・レベルで有効化されます
- VMクラスタには、ボールトにアクセスするために必要な権限があります
- ボールトはOCIリソースとして登録されます
- 仮想マシンの制限: VMクラスタをスケール・アウトしても、Azure Key Vaultを使用するデータベースは、新しく追加された仮想マシンに自動的に拡張されません。拡張を完了するには、Azureアクセス・トークンを指定して、Exadata VMクラスタの既存のアイデンティティ・コネクタを更新する必要があります。アイデンティティ・コネクタを更新したら、dbaascli database addInstanceコマンドを実行して、新しいVMにデータベース・インスタンスを追加します。
- Data Guardの制限事項:
- Azure Key Vaultを使用するプライマリのスタンバイ・データベースを作成する場合は、ターゲットVMクラスタにアクティブなアイデンティティ・コネクタがあり、Azureキー管理が有効になっており、アイデンティティ・コネクタとKey Vaultの間の必要なアソシエーションが適切に構成されていることを確認してください。
- クロスリージョンData Guardおよびデータベースのリストア操作は、キー管理にAzure Key Vaultを使用するデータベースではサポートされていません。
- PDB操作の制限:リモートPDB操作(クローン、リフレッシュ、再配置など)は、ソース・データベースと宛先データベースの両方が同じTransparent Data Encryption (TDE)キーを使用している場合にのみサポートされます。
- ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします
- コンパートメントを選択します。
- データベースを作成するクラウドVMクラスタに移動します:
「クラウドVMクラスタ(新しいExadata Cloud Infrastructureリソース・モデル)」: 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。VMクラスタのリストで、アクセスするVMクラスタを検索し、強調表示された名前をクリックしてクラスタの詳細ページを表示します。
- 「データベースの作成」をクリックします。
- 「データベースの作成」ダイアログで、次を入力します:
ノート
データベースの作成後にdb_name
、db_unique_name
およびSID接頭辞を変更することはできません。- データベース名: データベースの名前。データベース名は要件を満たす必要があります:
- 最大8文字
- 英数字のみを含みます
- アルファベットで始まります
- VMクラスタ上の
DB_UNIQUE_NAME
の最初の8文字にすることはできません - 次の予約名は使用しないでください:
grid
、ASM
- 一意のデータベース名の接尾辞:
オプションで、
DB_UNIQUE_NAME
データベース・パラメータの値を指定します。この値は大/小文字が区別されません。一意の名前は次の要件を満たす必要があります:
- 最大30文字
- 英数字またはアンダースコア(_)文字のみを含みます
- アルファベットで始まります
- VMクラスタ全体で一意。テナンシ全体で一意にすることをお薦めします。
指定しない場合は、次のように一意の名称値が自動的に生成されます:<db_name>_<3_chars_unique_string>_<region-name>
- データベース・バージョン: データベースのバージョン。Exadata VMクラスタでデータベース・バージョンが混在できます。
- PDB名: (オプション)Oracle Database 12c (12.1.0.2)以降では、プラガブル・データベースの名前を指定できます。PDB名はアルファベットで始まり、最大8文字の英数字を含むことができます。使用できる特殊文字はアンダースコア(_)のみです。
Oracle Net Servicesを使用してPDBに接続する場合に、サービス名の競合の可能性を回避するには、PDB名がVMクラスタ全体で一意であることを確認します。最初のPDBの名前を指定しない場合、システム生成の名前が使用されます。
- データベース・ホーム: データベースのOracle Databaseホーム。該当するオプションを選択します:
- 既存のデータベース・ホームの選択: 「データベース・ホームの表示名」フィールドで、既存のホームから、指定したデータベース・バージョンに対応するデータベース・ホームを選択できます。そのバージョンのデータベース・ホームがない場合は、新しいデータベース・ホームを作成する必要があります。
- 新規データベース・ホームの作成: このオプションを使用して、Data Guardピア・データベースの新規データベース・ホームをプロビジョニングします
「データベース・画像の変更」をクリックして、Oracle公開版イメージまたは事前に作成したカスタム・データベース・ソフトウェア・イメージを使用し、イメージ・タイプを選択します:
- Oracle提供のデータベース・ソフトウェア・イメージ:
次に、「使用可能なすべてのバージョンの表示」スイッチを使用して、使用可能なすべてのPSUおよびRUから選択できます。各メジャー・バージョンの最新リリースは、「最新」ラベルで示されます。
ノート
Oracle Cloud Infrastructureで使用可能なOracle Databaseのメジャー・バージョン・リリースについては、現在のバージョンに加え、直近の3つの旧バージョン(NからN - 3まで)のイメージが提供されます。たとえば、インスタンスでOracle Database 19cを使用しており、提供される19cの最新バージョンが19.8.0.0.0である場合、プロビジョニングに使用できるイメージは、バージョン19.8.0.0.0、19.7.0.0、19.6.0.0および19.5.0.0が対象になります。 - カスタム・データベース・ソフトウェア・イメージ: これらのイメージは、組織によって作成され、ソフトウェアの更新およびパッチのカスタマイズされた構成を含みます。「コンパートメントの選択」、「リージョンの選択」および「データベース・バージョンの選択」セレクタを使用して、カスタム・データベース・ソフトウェア・画像のリストを特定のコンパートメント、リージョンまたはOracle Databaseソフトウェア・メジャー・リリース・バージョンに制限します
リージョン・フィルタは、現在接続されているリージョンにデフォルト設定され、そのリージョンで作成されたすべてのソフトウェア・イメージがリストされます。別のリージョンを選択すると、ソフトウェア・イメージ・リストがリフレッシュされ、選択したリージョンで作成されたソフトウェア・イメージが表示されます。
- Oracle提供のデータベース・ソフトウェア・イメージ:
- 管理者資格証明の作成: (読取り専用)データベース管理者の
SYS
ユーザーは指定したパスワードで作成されます。- ユーザー名: SYS
- パスワード: このユーザーのパスワードを指定します。パスワードは次の条件を満たしている必要があります:
SYS、SYSTEM、TDEウォレット、およびPDB管理者用に強力なパスワード。パスワードは9から30文字で、大文字、小文字、数字および特殊文字をそれぞれ2つ以上使用する必要があります。特殊文字は、_、#または-である必要があります。パスワードにユーザー名(SYS、SYSTEMなど)を含めることはできません。また、「oracle」という単語は、正順にでも逆順にも、大/小文字の区別のいずれでも含めることができません。
- パスワードの確認: 指定したSYSパスワードを再度入力します。
- TDEウォレット・パスワードの使用はオプションです。テナンシのボールトに格納されている顧客管理暗号化キーを使用している場合、TDEウォレット・パスワードはVMクラスタに適用できません。「データベースの作成」ダイアログの最後にある「拡張オプションの表示」を使用して、顧客管理キーを構成します。
顧客管理キーを使用している場合、または別のTDEウォレット・パスワードを指定する場合は、「管理者パスワードをTDEウォレットに使用」ボックスの選択を解除します。顧客管理キーを使用している場合は、TDEパスワード・フィールドを空白のままにします。TDEウォレット・パスワードを手動で設定するには、「TDEウォレット・パスワードの入力」フィールドにパスワードを入力し、「TDEウォレット・パスワードの確認」フィールドにパスワードを入力して確認します。
-
データベース・バックアップの構成: データベースをAutonomous Recovery ServiceまたはObject Storageにバックアップするための設定を指定します:
- 自動バックアップの有効化: このデータベースで自動増分バックアップを有効にする場合は、このチェック・ボックスを選択します。セキュリティ・ゾーン・コンパートメントにデータベースを作成する場合は、自動バックアップを有効にする必要があります。
- バックアップの保存先: 選択肢は、「Autonomous リカバリ・サービス」または「オブジェクト・ストレージ」です。
- バックアップ・スケジューリング:
- オブジェクト・ストレージ(L0):
- 完全バックアップ・スケジュール日: 最初と今後のL0バックアップを開始する曜日を選択してください。
- 完全バックアップ・スケジューリング時間(UTC): 自動のバックアップ機能が選択されている場合に完全バックアップを開始する時間ウィンドウを指定します。
-
最初のバックアップをただちに取得: 完全バックアップは、Oracle Databaseを構成するすべてのデータファイルおよび制御ファイルのオペレーティング・システム・バックアップです。完全バックアップには、データベースに関連付けられたパラメータ・ファイルも含まれます。データベースが停止しているとき、またはデータベースが開いているとき、データベースの全体バックアップを作成できます。通常は、インスタンス障害やその他の異常な状況の後に完全バックアップを実行しないでください。
最初の完全バックアップを遅延するように選択した場合、データベースの障害発生時にデータベースをリカバリできなくなる可能性があります。
- オブジェクト・ストレージ(L1):
- 増分バックアップ・スケジューリング時間(UTC): 自動のバックアップ機能が選択されている場合に増分バックアップを開始する時間ウィンドウを指定します。
- 自律型リカバリ・サービス(L0):
- 最初のバックアップのスケジュール日: 最初のバックアップのスケジュール日を選択します。
- 最初のバックアップのスケジュール時間(UTC): 最初のバックアップのスケジュール時間ウィンドウを選択します。
-
最初のバックアップをただちに取得: 完全バックアップは、Oracle Databaseを構成するすべてのデータファイルおよび制御ファイルのオペレーティング・システム・バックアップです。完全バックアップには、データベースに関連付けられたパラメータ・ファイルも含まれます。データベースが停止しているとき、またはデータベースが開いているとき、データベースの全体バックアップを作成できます。通常は、インスタンス障害やその他の異常な状況の後に完全バックアップを実行しないでください。
最初の完全バックアップを遅延するように選択した場合、データベースの障害発生時にデータベースをリカバリできなくなる可能性があります。
- 自律型リカバリ・サービス(L1):
- 日次バックアップのスケジュール時間(UTC): 自動のバックアップ機能が選択されている場合に増分バックアップを開始する時間ウィンドウを示します。
- オブジェクト・ストレージ(L0):
- データベース終了後の削除オプション: データベースの終了後に、保護されたデータベースのバックアップを保持するために使用できるオプション。これらのオプションは、データベースに偶発的または悪意のある損傷が発生した場合にバックアップからデータベースをリストアする場合にも役立ちます。
- 保護ポリシーまたはバックアップ保持期間で指定された期間のバックアップの保持: データベースの終了後に、オブジェクト・ストレージ・バックアップ保持期間またはAutonomous Recovery Service保護ポリシーで定義された期間全体にわたってデータベース・バックアップを保持する場合は、このオプションを選択します。
- 72時間バックアップを保持してから削除: データベースを終了してから72時間バックアップを保持する場合は、このオプションを選択します。
-
バックアップ保存期間/保護ポリシー: 自動バックアップを有効にする場合は、事前設定された保持期間のいずれかを含むポリシー、またはカスタム・ポリシーを選択できます。
オブジェクト・ストレージ・バックアップの保存期間: 7、15、30、45、60。デフォルト: 30日。増分バックアップは、選択した保持期間が終了すると自動的に削除されます。
Autonomous Recovery Serviceの保護ポリシー:
- ブロンズ: 14日
- シルバー: 35日
- ゴールド: 65日
- プラチナ: 95日
- ユーザーによって定義されたカスタム
- デフォルト:シルバー- 35日
- リアルタイムのデータ保護の有効化: リアルタイム保護は、保護されたデータベースから自律型リカバリ・サービスへのREDO変更の継続的な転送ですこれにより、データ損失が少なくなり、リカバリ・ポイント目標(RPO)が0に近くなります。これは追加料金のオプションです。
- データベース名: データベースの名前。データベース名は要件を満たす必要があります:
- 「拡張オプションの表示」をクリックし、データベースの拡張オプションを指定します:
- 管理:
Oracle SID接頭辞: Oracle Databaseインスタンス番号は、SID接頭辞に自動的に追加され、
INSTANCE_NAME
データベース・パラメータが作成されます。INSTANCE_NAME
パラメータはSID
とも呼ばれます。SID
は、クラウドVMクラスタ全体で一意です。指定しない場合、SID
接頭辞のデフォルトはdb_name
です。ノートSID
接頭辞の入力は、Oracle 12.1以上のデータベースでのみ使用できます。SID
接頭辞は次の要件を満たす必要があります:- 最大12文字
- 英数字のみを含みますただし、この命名規則では制限されない特殊文字であるアンダースコア(_)を使用できます。
- アルファベットで始まります
- VMクラスタ内で一意
- 次の予約名は使用しないでください:
grid
、ASM
- 文字セット: データベースの文字セット。デフォルトはAL32UTF8です。
- 各国語文字セット: データベースの各国語文字セット。デフォルトはAL16UTF16です。
- 暗号化:
Exadata Cloud Service VMクラスタでデータベースを作成する場合、管理する暗号化キーに基づいて暗号化を使用することを選択できます。デフォルトでは、データベースはOracle管理の暗号化キーを使用して構成されます。
- 管理する暗号化キーに基づく暗号化を使用してデータベースを構成するには:
ノート
Azureキー管理またはGCP顧客管理暗号化キーがVMクラスタ・レベルで無効になっている場合、3つのキー管理オプション(Oracle Wallet、OCI VaultおよびOracle Key Vault)があります。- OCIボールト:
- Oracle Cloud Infrastructure Vaultサービスに有効な暗号化キーが必要です。セキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。
ノート
データベースにはAES-256暗号化キーを使用する必要があります。 - 「Vault」を選択します。
- マスター暗号化キーを選択します。
- 選択したキーの最新バージョン以外のキー・バージョンを指定するには、「キー・バージョンの選択」を選択し、使用するキーのOCIDを「キー・バージョンOCID」フィールドに入力します。
ノート
キー・バージョンは、そのプラガブル・データベース(PDB)ではなく、コンテナ・データベース(CDB)にのみ割り当てられます。PDBには、自動的に生成された新しいキー・バージョンが割り当てられます。
- Oracle Cloud Infrastructure Vaultサービスに有効な暗号化キーが必要です。セキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。
- Oracle Key Vault: コンパートメントを選択し、選択したコンパートメントからキー・ストアを選択します。
- OCIボールト:
- Azure key Vaultをキー管理として使用してデータベースを作成するには:
ノート
Azureキー管理がVMクラスタ・レベルで有効になっている場合、2つのキー管理オプション(Oracle WalletおよびAzure Key Vault)があります。- 「キー管理」タイプを「Azure Key Vault」として選択します。
- コンパートメントで使用可能なVaultを選択します。
ノート
Vaultリストには、登録済ボールトのみが移入されます。「新しいボールトの登録」リンクをクリックして、ボールトを登録します。Azureキー・ボールトの登録ページでボールトを選択し、「登録」をクリックします。ノート
ボールトに少なくとも1つのキーを登録する必要があります。 - コンパートメントで使用可能なキーを選択します。
- GCP顧客管理暗号化キーをキー管理として使用してデータベースを作成するには:
ノート
GCP顧客管理暗号化キーが有効になっている場合は、2つのキー管理オプション(Oracle WalletおよびGCP顧客管理暗号化キー)があります。- 「GCP顧客管理暗号化キー」を「キー管理」オプションとして選択します。
- コンパートメントで使用可能なキー・リングを選択します。
ノート
登録済みの鍵リングのみが一覧表示されます。
目的のキー・リングが表示されない場合は、まだ登録されていない可能性があります。「キー・リングの登録」をクリックして検出および登録します。
詳細な手順は、Oracle Cloud Infrastructure (OCI)へのGCPキー・リングの登録を参照してください。
- 選択したキー・リングおよびコンパートメント内の暗号化キーを選択します。
- 管理する暗号化キーに基づく暗号化を使用してデータベースを構成するには:
- タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
- 管理:
- 「データベースの作成」をクリックします。
次のことができるようになりました。
- Data Guard設定が同じOracleホーム内の別のデータベースで実行されている間、またはその逆でCDBを作成または削除します。
- 同じOracleホーム内でData Guardアクション(スイッチオーバー、フェイルオーバーおよび回復)を同時に実行している間に、CDBを作成または削除します(またはその逆)。
- 同じOracleホーム内でPDBを同時に作成または削除する際に、CDBを作成または削除します。その逆も同様です。
- 同じOracleホーム内でCDBを同時に作成または削除します。
- VMクラスタ・タグを同時に更新しながら、CDBを作成または削除します。
データベースの作成が完了すると、ステータスが「プロビジョニング中」から「使用可能」に変わり、新しいデータベースのデータベース詳細ページの「暗号化」セクションに暗号化キー名および暗号化キーOCIDが表示されます。
警告:
ボールトから暗号化キーを削除しないでください。これにより、キーで保護されているデータベースが使用できなくなります。Oracle WalletからGCP Customer Managed Encryption Key (CMEK)へのKey Managementの変更
異なる暗号化方式間で暗号化鍵を変更するには、この手順を使用します。
- GCP顧客管理暗号化キーからOracle Walletに移行できません。
- キー管理構成が更新されている間、データベースは短期間停止不能になります。
- OCIコンソールでデータベースの詳細ページに移動します。
- 「暗号化」セクションで、「キー管理」が「Oracle Wallet」に設定されていることを確認します。次に、「変更」リンクをクリックします。
- 「キー管理の変更」ページで次の情報を入力します。
- ドロップダウン・リストから、「キー管理」に「GCP顧客管理暗号化キー」を選択します。
- 使用しているコンパートメントを選択し、そのコンパートメントで使用可能なキー・リングを選択します。
- 次に、使用するキー・コンパートメントを選択し、ドロップダウン・リストから目的のキーを選択します。
- 「変更の保存」をクリックします。
コンテナ・データベース(CDB)の顧客管理暗号化キーのローテーション
コンテナ・データベース(CDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。
- ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
- コンパートメントを選択します。
選択したコンパートメントに対するVMクラスタのリストが表示されます。
- VMクラスタのリストで、暗号化キーをローテーションするデータベースを含むVMクラスタの名前をクリックします。
- 「データベース」をクリックします。
- 暗号化キーをローテーションするデータベースの名前をクリックします。
「データベース詳細」ページに、選択したデータベースに関する情報が表示されます。
- 「暗号化」セクションで、「キー管理」が「GCP顧客管理暗号化キー」に設定されていることを確認し、「ローテーション」リンクをクリックします。
- 表示される「キーのローテーション」ダイアログで、「ローテーション」をクリックしてアクションを確認します。
プラガブル・データベース(PDB)の顧客管理暗号化キーのGCPローテーション
プラガブル・データベース(PDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。
- ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
- コンパートメントを選択します。
選択したコンパートメントに対するVMクラスタのリストが表示されます。
- VMクラスタのリストで、起動するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
- 「データベース」で、暗号化キーをローテーションするPDBを含むデータベースを検索します。
- データベースの名前をクリックして、「データベース詳細」ページを表示します。
- ページの「リソース」セクションの「プラガブル・データベース」をクリックします。
このデータベース内の既存のPDBのリストが表示されます。
- 暗号化キーをローテーションするPDBの名前をクリックします。
プラガブル詳細ページが表示されます。
- 「暗号化」セクションに、キー管理がGCP顧客管理暗号化キーとして設定されていることが表示されます。
- 「ローテーション」リンクをクリックします。
- 表示される「キーのローテーション」ダイアログで、「ローテーション」をクリックしてアクションを確認します。
APIを使用したOracle Database@Google CloudでのExadata Database ServiceのGCP KMS統合の管理
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
次のリソースは、OCI SDK、CLIおよびTerraformを介してお客様に提供されます。これらのAPIは、Oracle Database on ExadataをGoogle Cloud Servicesと統合したいお客様によって使用されます。
表5-10 OracleDbGcpIdentityConnectors
API | 説明 |
---|---|
ListOracleDbGcpIdentityConnectors |
指定されたフィルタに基づいて、すべてのGCPアイデンティティ・コネクタ・リソースをリストします。 |
GetOracleDbGcpIdentityConnector |
特定のGCPアイデンティティ・コネクタ・リソースに関する詳細情報を取得します。 |
CreateOracleDbGcpIdentityConnector |
指定されたExaDB-D VMクラスタに新しいGCPアイデンティティ・コネクタ・リソースを作成します。 |
UpdateOracleDbGcpIdentityConnector |
既存のGCPアイデンティティ・コネクタ・リソースの構成詳細を更新します。 |
ChangeOracleDbGcpIdentityConnectorCompartment |
GCPアイデンティティ・コネクタ・リソースを別のコンパートメントに移動します。 |
DeleteOracleDbGcpIdentityConnector |
指定されたGCPアイデンティティ・コネクタ・リソースを削除します。 |
表5-11 OracleDbGcpKeyRings
API | 説明 |
---|---|
ListOracleDbGcpKeyRings |
指定されたフィルタに基づいてすべてのGCPキー・リング・リソースをリストします。 |
CreateOracleDbGcpKeyRing |
新しいGCPキーリングリソースを作成します。 |
ChangeOracleDbGcpKeyRingCompartment |
GCPキー・リング・リソースを別のコンパートメントに移動します。 |
RefreshOracleDbGcpKeyRing |
GCPキーリングリソースの詳細をリフレッシュします。 |
GetOracleDbGcpKeyRing |
特定のGCPキー・リング・リソースに関する詳細情報を取得します。 |
UpdateOracleDbGcpKeyRing |
既存のGCPキー・リング・リソースの構成詳細を更新します。 |
DeleteOracleDbGcpKeyRing |
指定されたGCPキー・リング・リソースを削除します。 |
表5-12 OracleDbGcpKeyKeys
API | 説明 |
---|---|
ListOracleDbGcpKeys |
指定されたフィルタに基づいてすべてのGCPキー・リング・リソースをリストします。 |
GetOracleDbGcpKey |
特定のGCPキー・リソースに関する詳細情報を取得します。 |