Oracle Database@Google CloudでのExadata Database ServiceのGoogle Cloud Key Management統合

Oracle Database@Google Cloud上のExadata Database Serviceでは、Google Cloud PlatformのKey Management Service (KMS)との統合がサポートされるようになりました。

この機能拡張により、ユーザーはGCP顧客管理暗号化キー(CMEK)を使用して、Transparent Data Encryption (TDE)マスター暗号化キー(MEK)を管理できます。

以前は、Transparent Data Encryption (TDE)マスター暗号化キー(MEK)は、ファイルベースのOracle Wallet、Oracle Cloud Infrastructure (OCI) VaultまたはOracle Key Vault (OKV)にのみ格納できました。この更新により、ユーザーはGCP KMSでMEKを直接格納および管理できるようになり、キー・ライフサイクル制御が改善され、組織固有のセキュリティ・ポリシーに準拠できるようになりました。

この統合により、アプリケーション、Google Cloudサービスおよびデータベースは、セキュリティを強化し、キー・ライフサイクル管理を簡素化する一元化されたキー管理ソリューションの恩恵を受けることができます。

前提条件

データベースのキー管理サービスとしてGCP顧客管理暗号化キー(CMEK)を構成する前に、次の前提条件が満たされていることを確認してください。

  1. Google Cloudコンソールを介してExadata VMクラスタをプロビジョニングします。ステップバイステップの手順については、Google Cloud用のExadata VMクラスタのプロビジョニングを参照してください。
  2. アイデンティティ・コネクタ接続を確認して、正しく構成され、アクティブであることを確認します。詳細は、VMクラスタにアタッチされたデフォルト・アイデンティティ・コネクタの検証を参照してください。
  3. Exadata VMクラスタ・レベルでのGCP顧客管理暗号化キー(CMEK)の構成の前提条件。

    Oracle Database@Google CloudでExadata Database Serviceとともにデプロイされたデータベースに対してGoogle Cloud Platform (GCP)顧客管理暗号化キー(CMEK)を有効にするには、VMクラスタ・レベルでキー管理オプションとしてCMEKを構成する必要があります。CMEKを有効にすると、すべてのデータベース暗号化および復号化操作で、指定されたGCP管理キーが使用されます。

    CMEKを有効にする前に、次のことを確認します。
    • 必要なGCPキー・リングおよび暗号化キーは、GCPにすでに作成されています。
    • これらのキーは、Oracle Cloud Infrastructure (OCI)でアンカー・リソースとしてミラー化され、GCPとOCI間の同期が保証されます。
    • データベースのプロビジョニングや、キーのローテーション、失効、監査などの暗号化キー・ライフサイクルの管理のために、アンカー・リソースが配置されています。
  4. GCPキー・リソースにアクセスするためのIAMポリシー要件。

    データベースは、クラスタ・リソース・プリンシパルを使用して、GCPキー・リソースを安全に取得します。この機能を有効にするには、OCIテナンシで適切なIAMポリシーを定義する必要があります。

    Oracle GCPキーへの読取り専用アクセス:
    Allow any-user to read oracle-db-gcp-keys in compartment id <your-compartment-OCID> 
    where all { request.principal.type = 'cloudvmcluster',}

    このポリシーは、VMクラスタ・リソース・プリンシパルのGCPキー・リソースへの読取り専用アクセス権を付与します。

コンソールを使用したOracle Database@Google CloudでのExadata Database ServiceのGCP KMS統合の管理

Oracle Database@Google CloudでExadata Database ServiceのGCP KMS統合を管理する方法について学習します。

Exadata Cloud InfrastructureインスタンスにVMクラスタを作成します。

ノート

Exadata Cloud InfrastructureインスタンスにクラウドVMクラスタを作成するには、まずクラウドExadataインフラストラクチャ・リソースを作成しておく必要があります。

ノート

マルチVM対応インフラストラクチャでは、複数のVMクラスタの作成がサポートされます。Exadataシステムごとの複数の仮想マシン(MultiVM)の作成および管理とVMクラスタ・ノードのサブセット化の機能がリリースされる前に作成されたインフラストラクチャでは、単一のクラウドVMクラスタの作成のみがサポートされます。

ノート

Oracle Database@Google Cloud上のExadata Database ServiceでExadata VMクラスタをプロビジョニングすると、アイデンティティ・コネクタが自動的に作成され、VMクラスタに関連付けられます。

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします
  2. 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。
    ノート

    複数のVMクラスタは、マルチVM対応インフラストラクチャでのみ作成できます。
  3. 「Exadata VMクラスタの作成」をクリックします。

    「Exadata VMクラスタの作成」ページが表示されます。VMクラスタを構成するために必要な情報を指定します。

  4. コンパートメント: VMクラスタ・リソースのコンパートメントを選択します。
  5. 表示名: VMクラスタのユーザー・フレンドリな表示名を入力します。この名前は一意である必要はありません。Oracle Cloud Identifier (OCID)は、VMクラスタを一意に識別します。機密情報を入力しないでください。
  6. Exadataインフラストラクチャの選択: VMクラスタを含むインフラストラクチャ・リソースを選択します。新しいVMクラスタを作成するための十分なリソースがあるインフラストラクチャ・リソースを選択する必要があります。「コンパートメントの変更」をクリックし、作業中のコンパートメントとは別のコンパートメントを選択して、他のコンパートメントのインフラストラクチャ・リソースを表示します。
    ノート

    複数のVMクラスタは、マルチVM対応インフラストラクチャでのみ作成できます
  7. VMクラスタ・タイプ:
    ノート

    VMクラスタをデプロイした後は、VMクラスタ・タイプを変更できません。VMクラスタ・タイプを変更する場合は、新しいVMクラスタを作成し、データベースを新しいクラスタに移行する必要があります。

    • Exadata Database:制限のない標準データベースVMで、すべてのワークロードに適しています。
    • Exadata Database-Developer:制限付きのDeveloper Database VMが適しているのが、アプリケーション開発のみです。
  8. Oracle Grid Infrastructureバージョンの選択:リストから、VMクラスタにインストールするOracle Grid Infrastructureリリース(19cおよび23ai)を選択します。

    Oracle Grid Infrastructureリリースにより、VMクラスタでサポートできるOracle Databaseリリースが決まります。Oracle Grid Infrastructureソフトウェア・リリースより後のOracle Databaseリリースは実行できません。

    ノート

    Grid Infrastructure 23aiでVMクラスタをプロビジョニングするための最小要件:
    • Exadataシステム・ソフトウェア23.1.8を実行しているExadataゲストVM
    • Exadata System Software 23.1.xが稼働するExadataインフラストラクチャ
  9. Exadataイメージ・バージョンを選択します:
    • Oracle Linux 7およびExadataイメージ・バージョン22.1.10.0.0.230422のExadataインフラストラクチャ:
      • 「イメージの変更」ボタンが有効になっていません。
      • Oracle Grid Infrastructureのバージョンは、デフォルトで19.0.0.0.0になります。
      • Exadataゲスト・バージョンは、ホストOSのバージョンと同じです。
    • Oracle Linux 8およびExadataイメージ・バージョン23.1.3.0.0.230613のExadataインフラストラクチャ:
      • Exadataゲスト・バージョンは、デフォルトで最新(23.1.3.0)になります。
      • Oracle Grid Infrastructureのバージョンは、デフォルトで19.0.0.0.0になります。
      • 「イメージの変更」ボタンが有効になります。
      • 「イメージの変更」をクリックします。

        結果の「変更」イメージ・パネルには、使用可能なExadataイメージのメジャー・バージョン(23.1.3.0および22.1.3.0)のリストが表示されます。

        各メジャー・バージョンの最新リリースは「(最新)」で示されます。

      • スライド「使用可能なすべてのバージョンの表示」

        Exadataイメージの最新バージョン23.1.3.0および22.1.3.0を含む6つの過去のバージョンが表示されます。

      • バージョンの選択
      • 「変更の保存」をクリックします。
  10. VMクラスタの構成: 新しいVMクラスタに使用するDBサーバーを指定します(デフォルトでは、すべてのDBサーバーが選択されています)。「DBサーバーの選択」をクリックして、使用可能なDBサーバーから選択し、「保存」をクリックします。

    VMクラスタ・タイプ- Exadata Database: VMの配置用に少なくとも1つのデータベース・サーバーを選択します。メンテナンスおよび計画外の停止中も使用可能な高可用性データベース・サービスが必要な場合は、少なくとも2つのデータベース・サーバーを選択します。VMごとの割当てに使用できる最大リソースは、選択したデータベース・サーバーの数に基づきます。

    VMクラスタ・タイプ- Exadata Database-Developer: VM配置用のデータベース・サーバーを1つ選択します。1つのデータベース・サーバーのみを選択できます。

    「VM当たりのリソース割当て」ペインで:

    • VMクラスタの各仮想マシン・コンピュート・ノードに割り当てるOCPU/ECPUの数を指定します。X11M Exadataインフラストラクチャで作成されたVMクラスタの場合は、ECPUを指定します。X10M以前のExadataインフラストラクチャで作成されたVMクラスタの場合は、OCPUを指定します。最小は、X10Mおよび以前のインフラストラクチャではVM当たり2 OCPU、X11M Exadataインフラストラクチャで作成されたVMクラスタではVM当たり8 ECPUです。読取り専用の「Exadata VMクラスタに対してリクエストされたOCPU数」フィールドには、割り当てるOCPUまたはECPUコアの合計数が表示されます。
    • 各VMに割り当てるVM当たりのメモリーを指定します。VM当たりの最小値は30GBです。
    • 各VMにローカル・ストレージを割り当てるためのVM当たりのローカル・ストレージを指定します。VM当たりの最小値は60GBです。

      新しいVMクラスタを作成するたびに、使用可能な合計領域のうち残りの領域が新しいVMクラスタに使用されます。

      /u02に加えて、追加のローカル・ファイル・システムのサイズを指定できます。

      個々のVMごとのサイズを指定する方法の詳細および手順は、スケール・アップまたはスケール・ダウン操作の概要を参照してください。

      • 「追加ローカル・ファイル・システム構成オプションの表示」をクリックします。
      • 必要に応じて、//u01/tmp/var/var/log/var/log/auditおよび/homeファイル・システムのサイズを指定します。
        ノート

        • これらのファイル・システムは拡張のみ可能で、一度拡張するとサイズを小さくすることはできません。
        • バックアップ・パーティションおよびミラー化のため、/および/varファイル・システムは、割り当てられた領域の2倍を消費します。これは、読取り専用「ミラー化による/ (GB)に割り当てられている合計記憶域」および「ミラー化による/tmp (GB)に割り当てられている合計記憶域」フィールドに示されています。
      • VMクラスタの作成後、「Exadataインフラストラクチャの詳細」ページの「Exadataリソース」セクションをチェックして、ローカル・ストレージ(/u02)およびローカル・ストレージ(追加のファイル・システム)に割り当てられているファイル・サイズを確認します。
  11. Exadataストレージの構成: 次を指定します:
    • 使用可能なExadataストレージ(TB)の指定。ストレージを1TBの倍数で指定します。最小値: 2TB
    • Exadataスパース・スナップショットのストレージの割当て: VMクラスタ内でスナップショット機能を使用する場合は、この構成オプションを選択します。このオプションを選択すると、SPARSEディスク・グループが作成され、PDBスパース・クローニングにVMクラスタ・スナップショット機能を使用できるようになります。このオプションを選択しなかった場合、SPARSEディスク・グループは作成されず、環境に作成されたデータベース・デプロイメントでスナップショット機能を使用できません。
      ノート

      スパース・スナップショットのストレージ構成オプションは、VMクラスタの作成後に変更できません。
    • ローカル・バックアップのストレージの割当て: Exadata Cloud Infrastructureインスタンス内でローカルExadataストレージへのデータベースのバックアップを実行する場合は、このオプションを選択します。このオプションを選択すると、Exadataストレージにバックアップを保存するために使用されるRECOディスク・グループに、より多くの領域が割り当てられます。このオプションを選択しない場合、より多くの領域がDATAディスク・グループに割り当てられ、データベースに多くの情報を保存できるようになります。
      ノート

      ローカル・バックアップのストレージ構成オプションは、VMクラスタの作成後に変更できません。
  12. SSHキーの追加: VMクラスタへのSSHアクセスに使用する各キー・ペアの公開鍵部分を追加します。
    • SSHキー・ペアの生成: (デフォルト・オプション) SSHキー・ペアを生成するには、このラジオ・ボタンを選択します。次に、下のダイアログで、「秘密キーの保存」をクリックしてキーをダウンロードし、オプションで「公開キーの保存」をクリックしてキーをダウンロードします。
    • SSHキー・ファイルのアップロード: このラジオ・ボタンを選択して、.pubファイルを参照またはドラッグ・アンド・ドロップします。
    • SSHキーの貼付け: 個々の公開キーを貼り付けるには、このラジオ・ボタンをクリックします。複数のキーを張り付けるには、「+ 別のSSHキー」をクリックして、エントリごとに1つのキーを指定します。
  13. ネットワーク設定の構成: 次を指定します:
    ノート

    IPアドレス(100.64.0.0/10)は、Exadata Cloud Infrastructure X8Mインターコネクトに使用されます。

    両方の構成が存在する場合は、IPv4 (単一スタック)とIPv4/IPv6 (二重スタック)から選択するオプションはありません。詳細は、VCNおよびサブネット管理を参照してください。

    • 仮想クラウド・ネットワーク: VMクラスタを作成するVCN。別のコンパートメント内のVCNを選択するには、「コンパートメントの変更」をクリックします。
    • クライアント・サブネット: VMクラスタがアタッチされるサブネット。別のコンパートメントにあるサブネットを選択するには、「コンパートメントの変更」をクリックします。

      192.168.16.16/28と重複するサブネットは使用しないでください。これはデータベース・インスタンス上のOracle Clusterwareプライベート・インターコネクトによって使用されています。重複するサブネットを指定すると、プライベート・インターコネクトが正しく機能しません。

    • バックアップ・サブネット: バックアップ・ネットワークに使用するサブネット。通常は、バックアップ保存先との間のバックアップ情報の転送およびData Guardレプリケーションに使用されます。必要に応じて、「コンパートメントの変更」をクリックして、別のコンパートメント内のサブネットを選択します。

      192.168.128.0/20と重複するサブネットは使用しないでください。この制限は、クライアント・サブネットとバックアップ・サブネットの両方に適用されます。

      データベースをオブジェクト・ストレージまたは自律型リカバリ・サービスにバックアップする場合は、Exadata Databaseバックアップの管理のネットワークの前提条件を参照してください。

      ノート

      Autonomous Recovery Serviceを使用する場合は、新しい専用サブネットを強くお薦めします。Oracle Cloudデータベースをリカバリ・サービスにバックアップするために必要なネットワーク要件および構成を確認します。「リカバリ・サービスのネットワーク・リソースの構成」を参照してください。
    • ネットワーク・セキュリティ・グループ: オプションで、1つ以上のネットワーク・セキュリティ・グループ(NSG)をクライアント・ネットワークとバックアップ・ネットワークの両方に指定できます。NSGは仮想ファイアウォールとして機能し、イングレスおよびエグレス・セキュリティ・ルールのセットをExadata Cloud Infrastructure VMクラスタに適用できます。NSGは5つまで指定できます。詳細は、ネットワーク・セキュリティ・グループおよびExadata Cloud Infrastructureインスタンスのネットワーク設定を参照してください。

      セキュリティ・リストのあるサブネットを選択する場合、VMクラスタのセキュリティ・ルールは、セキュリティ・リストおよびNSG内のルールの論理和になります。

      ネットワーク・セキュリティ・グループを使用するには:

      • 「トラフィックを制御するためのネットワーク・セキュリティ・グループの使用」チェック・ボックスを選択します。このボックスは、クライアント・サブネットとバックアップ・サブネットの両方のセレクタの下に表示されます。NSGは、クライアント・ネットワークまたはバックアップ・ネットワーク、あるいはその両方に適用できます。ネットワークにNSGを割り当てるには、仮想クラウド・ネットワークを選択する必要があります。
      • ネットワークで使用するNSGを指定します。複数のNSGを使用する必要がある場合があります。不明な場合は、ネットワーク管理者に問い合せてください。
      • 追加のNSGをネットワークで使用するには、「+; 別のネットワーク・セキュリティ・グループ」をクリックします。
      ノート

      クラウドVMクラスタ・リソースに追加のセキュリティを提供するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用して、セキュリティ属性で識別されたリソースのみがリソースにアクセスするためのネットワーク権限を持っていることを確認できます。Oracleには、一般的なデータベース・セキュリティのユース・ケースに対するポリシーの作成に役立つデータベース・ポリシー・テンプレートが用意されています。今すぐ構成するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用してセキュリティ属性がすでに作成されている必要があります。この手順の最後にある「拡張オプションの表示」をクリックします。

      クラスタのセキュリティ属性を指定する場合、適用されるとすぐに、すべてのリソースでクラスタにアクセスするためのゼロトラスト・パケット・ポリシーが必要となることに注意してください。エンドポイントにセキュリティ属性がある場合は、ネットワーク・セキュリティ・グループ(NSG)とOracle Cloud Infrastructure Zero Trust Packet Routingポリシー(OCI ZPR)の両方のルールを満たす必要があります。

    • プライベートDNSサービスを使用するには
      ノート

      プライベートDNSは、選択する前に構成する必要があります。「プライベートDNSの構成」を参照してください。
      • 「プライベートDNSサービスの使用」チェック・ボックスを選択します。
      • プライベート・ビューを選択します。別のコンパートメントにあるプライベート・ビューを選択するには、「コンパートメントの変更」をクリックします。
      • プライベート・ゾーンを選択します。別のコンパートメントにあるプライベート・ゾーンを選択するには、「コンパートメントの変更」をクリックします。
    • ホスト名接頭辞: Exadata VMクラスタのホスト名を選択します。ホスト名は英数字で始まり、英数字とハイフン(-)のみを含めることができます。Exadata VMクラスタに許可される最大文字数は12です。

      注意:

      ホスト名はサブネット内で一意である必要があります。一意でない場合、VMクラスタはプロビジョニングに失敗します。
    • ホスト・ドメイン名: VMクラスタのドメイン名。選択したサブネットが、DNS名解決にOracle提供のInternet and VCN Resolverを使用する場合は、このフィールドにサブネットのドメイン名が表示され、変更できません。それ以外の場合は、ドメイン名を選択できます。ハイフン(-)は使用できません。

      データベース・バックアップをオブジェクト・ストレージまたはAutonomous Recoveryサービスに格納する予定の場合、Oracleでは、バックアップに使用されるSwiftエンドポイントを自動的に解決するため、クライアント・サブネットのDNS名前解決にVCN Resolverを使用することをお薦めします。

    • ホストおよびドメインURL: この読取り専用フィールドは、ホスト名とドメイン名を結合して、データベースの完全修飾ドメイン名(FQDN)を表示します。最大長は63文字です。
  14. ライセンス・タイプの選択: VMクラスタに使用するライセンスのタイプ。選択内容は従量制の請求に影響します。
    • 「ライセンス込み」は、クラウド・サービスのコストにデータベース・サービスのライセンスが含まれていることを意味します。
    • 「ライセンス持込み(BYOL)」は、無制限ライセンス契約または使用制限付きライセンス契約を契約されているOracle Databaseの顧客が、このライセンスでOracle Cloud Infrastructureを使用することを意味します。これにより、オンプレミス・ライセンスおよびクラウド・ライセンスを別々に契約する必要がなくなります。
  15. 診断収集: 診断収集および通知を有効にすることで、Oracle Cloud Operationsと顧客は、ゲストVMの問題をすばやく効率的に特定、調査、追跡および解決できます。イベントをサブスクライブして、リソース状態の変更に関する通知を受けます。
    ノート

    前述のイベント(またはメトリック、ログ・ファイル)のリストが将来変更される可能性があることを理解した上でオプト・インします。この機能はいつでもオプト・アウトできます。
    • 診断イベントの有効化: Oracleがクリティカル・イベント、警告イベント、エラー・イベントおよび情報イベントを収集および公開することを許可します。
    • ヘルス・モニタリングの有効化: OracleがOracle Databaseの起動/停止、ディスク領域の使用量などのヘルス・メトリック/イベントを収集し、Oracle Cloud operationsと共有することを許可します。一部のイベントの通知も受信します。
    • インシデント・ログおよびトレース収集の有効化: 障害診断および問題解決を可能にするためにOracleがインシデント・ログおよびトレースを収集できるようにします。
    ノート

    前述のイベント(またはメトリック、ログ・ファイル)のリストが将来変更される可能性があることを理解した上でオプト・インします。この機能はいつでもオプトアウトできます。
    デフォルトでは、3つのチェック・ボックスがすべて選択されています。デフォルト設定をそのままにすることも、必要に応じてチェックボックスを選択解除することもできます。診断収集の設定は、「VMクラスタの詳細」ページの「一般情報」>>「診断収集」の下に表示されます。
    • 有効: 診断、ヘルス・メトリック、インシデント・ログとトレース・ファイル(3つのオプションすべて)の収集を選択した場合。
    • 無効: 診断、ヘルス・メトリック、インシデント・ログとトレース・ファイル(3つのオプションすべて)を収集しないことを選択した場合。
    • 一部有効: 診断、ヘルス・メトリック、インシデント・ログとトレース・ファイル(1つまたは2つのオプション)の収集を選択した場合。
  16. 「拡張オプションの表示」をクリックし、VMクラスタの拡張オプションを指定します:
    • タイム・ゾーン: このオプションは、「管理」タブにあります。VMクラスタのデフォルトのタイム・ゾーンはUTCですが、別のタイム・ゾーンを指定できます。タイム・ゾーン・オプションは、Java.util.TimeZoneクラスとOracle Linuxオペレーティング・システムの両方でサポートされています。

      ノート

      UTCまたはブラウザが検出したタイム・ゾーン以外のタイムゾーンを設定する場合に、目的のタイム・ゾーンが表示されない場合は、「別のタイム・ゾーンの選択」を選択し、「地域または国」リストで「その他」を選択して、追加のタイム・ゾーンの選択肢を検索してみてください。

    • SCANリスナー・ポート: このオプションは、「ネットワーク」タブにあります。SCANリスナー・ポート(TCP/IP)は、1024から8999の範囲で割り当てることができます。デフォルトは1521です。
      ノート

      バックエンド・ソフトウェアを使用したプロビジョニング後にVMクラスタのSCANリスナー・ポートを手動で変更することはサポートされていません。この変更により、Data Guardのプロビジョニングが失敗する可能性があります。
    • Zero Trust Packet Routing (ZPR): このオプションは、「セキュリティ属性」タブにあります。ネームスペースを選択し、セキュリティ属性のキーと値を指定します。構成中にこのステップを完了するには、Oracle Cloud Infrastructure Zero Trust Packet Routingを使用してセキュリティ属性を設定しておく必要があります。構成後にセキュリティ属性を追加し、後で追加することもできます。Oracle Exadata Database Service on Dedicated Infrastructure固有のポリシーの追加の詳細は、ポリシー・テンプレート・ビルダーを参照してください。
    • クラウド自動化の更新: Oracleは、クラウドのツールと自動化に必要なデータベース・ツールとエージェント・ソフトウェアに定期的に更新を適用します。これらの更新がVMクラスタに適用されるための優先時間ウィンドウを構成できます。

      クラウド自動化更新の開始時間を設定します。

      ノート

      Oracleは、構成された時間ウィンドウの間に毎日最新のVM Cloud Automation更新をチェックし、該当する場合は更新を適用します。基礎となる長時間実行プロセスのために、自動化が構成済時間ウィンドウ内の更新の適用を開始できない場合、Oracleは、構成済時間ウィンドウ中に翌日自動的にチェックして、VMクラスタへのクラウド自動化更新の適用を開始します。

      クラウド・ツール更新の早期アクセスの有効化:早期アクセス用に指定されたVMクラスタは、他のシステムで使用可能になる1-2週間前に更新を受け取ります。このVMクラスタを早期に導入する場合は、このチェック・ボックスを選択します。

      クラウド自動化更新の凍結期間: Oracleは、クラウド・ツールおよび自動化に必要なデータベース・ツールおよびエージェント・ソフトウェアに定期的に更新を適用します。凍結期間を有効にして、Oracle自動化がクラウド更新を適用しない期間を定義します。

      スライダを移動して、フリーズ期間を設定します。

      ノート

      • 凍結期間は、開始日から最大45日間延長できます。
      • Oracle自動化は、構成された凍結期間中であっても、クリティカルなセキュリティ修正(CVSS >= 9)を含むアップデートを自動的に適用します。
    • タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  17. 「作成」をクリックします。

次の手順

VMクラスタが正常に作成され、「使用可能」状態になった後。
  • クラスタのリストのVMクラスタの名前をクリックして「VMクラスタ詳細」ページを表示できます。「VMクラスタ詳細」ページで、「データベースの作成」をクリックしてクラスタ内に最初のデータベースを作成できます
  • VMクラスタの詳細ページの「ネットワーク」セクションの「SCAN IPアドレス(IPv4)」および「SCAN IPアドレス(IPv6)」フィールドに、デュアル・スタックIPアドレスの詳細が表示されます。
  • VMクラスタの詳細ページの「バージョン」セクションの「クラウド自動化の更新」フィールドに、設定した凍結期間が表示されます。

VMクラスタにアタッチされたアイデンティティ・コネクタの詳細を表示するには、この手順を使用します。

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  2. 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。
  3. 選択したVMクラスタの名前をクリックします。
  4. 表示される「VMクラスタの詳細」ページの「マルチクラウド情報」セクションで、「アイデンティティ・コネクタ」フィールドに、このVMクラスタにアタッチされたアイデンティティ・コネクタが表示されることを確認します。
  5. アイデンティティ・コネクタの名前をクリックして、その詳細を表示します。

    データベース・マルチクラウド統合ポータルにリダイレクトされます。

キー・リングを作成するには、この手順を使用します。

  1. Google Cloudコンソールを開き、「キー管理」ページに移動します。
  2. 「キー・リングの作成」をクリックします。
  3. 次の詳細を入力します。
    • 名前: キー・リングのわかりやすい名前を入力します。
    • 場所: キー・リングの場所を選択します。

      重要:

      • 同じ名前のキーリングは異なる場所に存在できるため、常に場所を指定する必要があります。
      • 保護するリソースに近い場所を選択します。
      • 顧客管理暗号化キーの場合は、キー・リングが使用されるリソースと同じ場所にあることを確認してください。

      キー・リングの場所の選択:

      Google Cloud Key Management Service(KMS)でキー・リングを作成する場合は、適切な場所を選択することが重要です。選択内容は、暗号化キーが格納される場所およびレプリケートされる方法に影響します。詳細は、クラウドKMSの場所を参照してください。

      • リージョン:
        • データは特定の地域に格納されます。
        • キーは、この単一リージョンの境界内に残ります。
        • 次の作業に最適:
          • 低レイテンシのアプリケーション
          • データ・レジデンシー要件への準拠
          • リージョン固有のワークロード
      • マルチリージョン:
        • データは、より大きな地理的領域内の複数のリージョンにレプリケートされます。
        • Googleは、配信とレプリケーションを自動的に管理します。
        • 個々のデータ・センターまたはリージョンは選択できません。
        • 次の作業に最適:
          • 高可用性
          • 耐障害性に優れたアプリケーション
          • 幅広い地域にサービスを提供するサービス
      • グローバル:
        • 特別なタイプのマルチリージョン。
        • キーは、世界中のGoogleデータセンターに配布されています。
        • ロケーションの選択および管理は使用できません。
        • 次の作業に最適:
          • グローバル・ユーザーを含むアプリケーション
          • 最大限の冗長性とリーチが必要なユースケース
  4. 「作成」をクリックします。

キー・リングが作成されると、キー・リング内の暗号化キーの作成と管理を開始できます。

指定されたキー・リングおよび場所にRAW対称暗号化キーを作成するには、この手順を使用します。

  1. Google Cloudコンソールを開き、「キー管理」ページに移動します。
  2. キーを作成するキー・リングの名前をクリックします。
  3. 「キーの作成」をクリックします。
  4. 次の詳細を入力します。
    • キー名: キーのわかりやすい名前を入力します。
    • 保護レベル: 「ソフトウェア」または「HSM」(ハードウェア・セキュリティ・モジュール)を選択します。

      鍵の作成後に鍵の保護レベルを変更することはできません。詳細は、保護レベルを参照してください。

    • キー・マテリアル: 「キーの生成」または「キーのインポート」を選択します。

      Cloud KMSでキー・マテリアルを生成するか、Google Cloudの外部でメンテナンスされるキー・マテリアルをインポートします。詳細は、顧客管理暗号化キー(CMEK)を参照してください。

    • 目的およびアルゴリズム:

      詳細は、主要な目的およびアルゴリズムを参照してください

      • 「目的」「RAW暗号化/復号化」に設定します。
      • 「アルゴリズム」で、「AES-256-CBC」を選択します。
  5. 「作成」をクリックします。

作成後、このキーを使用して、AES-CBC暗号化および復号化を必要とする暗号化操作を実行できます。

Oracle Cloud Infrastructure (OCI)でキーを検出できるようにするには、この手順を使用します。

  1. Google Cloud KMSで、検出可能にするキーを選択します。
  2. 「権限」タブにナビゲートし、「プリンシパルの追加」をクリックします。
  3. 「新規プリンシパル」フィールドに、ワークロード・リソース・サービス・エージェントに関連付けられたサービス・アカウントを入力します。
    ノート

    このサービス・アカウントは、「アイデンティティ・コネクタの詳細」ページの「GCP情報」セクションにあります。ワークロード・リソース・サービス・エージェントを探して、そのID(必須サービス・アカウント)を確認します。

  4. 「ロールの割当て」で、選択したロールを追加します。
    ノート

    次の最小権限を持つカスタム・ロールを作成し、選択したキー・リングに割り当てます。

    これらの権限を一緒に使用すると、OCIは次のことを実行できます。

    • キー・リングやキーなどのKMSリソースを検出します。
    • キーとそのバージョンに関するメタデータにアクセスします。
    • 暗号化操作(暗号化/復号化)にキーを使用します。
    • キー・バージョンを作成します。

    必要な最小権限:

    • cloudkms.cryptoKeyVersions.get

      特定のキー・バージョンのメタデータの取得を許可します。

    • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys

      生のAES-CBCキー材料(輸入、回転等)の管理を可能にします。

    • cloudkms.cryptoKeyVersions.create

      キー内に新しいキー・バージョンを作成できます。

    • cloudkms.cryptoKeyVersions.list

      指定されたキーのすべてのバージョンをリストします。

    • cloudkms.cryptoKeyVersions.useToDecrypt

      データの復号化にキー・バージョンを使用する権限を付与します。

    • cloudkms.cryptoKeyVersions.useToEncrypt

      データの暗号化にキー・バージョンを使用する権限を付与します。

    • cloudkms.cryptoKeys.get

      キーのメタデータの取得を許可します。

    • cloudkms.cryptoKeys.list

      キー・リング内のすべてのキーをリストします。

    • cloudkms.keyRings.get

      キー・リングのメタデータの取得を許可します。

    • cloudkms.locations.get

      サポートされているキーの場所に関する情報を取得します。

  5. 「保存」をクリックして変更を適用します。
  6. 「リフレッシュ」をクリックして、更新された権限が有効であることを確認します。

VMクラスタでGoogle Cloud顧客管理暗号化キー(CMEK)を有効にするには、まずOCIでGCPキー・リングを登録する必要があります。

ノート

続行する前に、Oracle Cloud Infrastructure (OCI)によるキー検出のためのGoogle Cloud KMSでの権限の付与で概説されている権限が付与されていることを確認します。

  1. 「データベース・マルチクラウド統合」ポータルで、「Google Cloud統合」「GCPキー・リング」にナビゲートします。
  2. 「GCPキー・リング」をクリックします。
  3. 「GCPキー・リングの登録」をクリックします
  4. 結果の「GCPキー・リングの登録」ページで、次の詳細を指定します:
    • コンパートメント: VMクラスタが存在するコンパートメントを選択します。
    • アイデンティティ・コネクタ: VMクラスタにアタッチされているアイデンティティ・コネクタを選択します。
    • キー・リング: 登録するGCPキー・リングの名前を入力します。

      単一のアイデンティティ・コネクタを介して使用可能なすべてのキー・リングを検出するには、そのアイデンティティ・コネクタに次の権限を付与する必要があります。これらの権限は、コネクタが目的のスコープ全体のすべてのキー・リングにアクセスできるように、適切なプロジェクトまたはフォルダ・レベルで割り当てる必要があります。

      • cloudkms.keyRings.list

        プロジェクト内のすべてのキー・リングのリストを許可します。

      • cloudkms.locations.get

        特定のキー・リングのメタデータの取得を許可します。

  5. 「検出」をクリックして、キー・リングがGCPに存在するかどうかを確認します。

    成功すると、キー・リングの詳細が表示されます。

    ノート

    個々のキーではなく、キーリングのみ登録できます。必要な権限が設定されている場合、登録済キー・リングに関連付けられたサポートされているすべてのキーを使用できます。

  6. 「登録」をクリックします。

Exadata VMクラスタに対してGCP CMEKを有効にするには、この手順を使用します。

ノート

Exadata VMクラスタをプロビジョニングする場合、GCP CMEKはデフォルトで無効になっています。

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  2. 「Oracle Exadata Database Service on Dedicated Infrastructure」で、「Exadata VMクラスタ」をクリックします。
  3. 構成するVMクラスタの名前を選択します。
  4. 「VMクラスタの詳細」ページで、「マルチクラウド情報」セクションまでスクロールし、GCP CMEKの横にある「有効化」をクリックします。
  5. GCP CMEKを無効にするには、「無効化」をクリックします。

データベースの作成およびキー管理ソリューションとしてのGCP顧客管理暗号化キー(CMEK)の使用

このトピックでは、データベースを作成し、キー管理ソリューションとしてGCP顧客管理暗号化キー(CMEK)を使用するステップのみについて説明します。

汎用データベース作成手順については、既存のVMクラスタにデータベースを作成するにはを参照してください。

前提条件

  • VMクラスタ・レベルでGoogle Cloud Key Managementを有効にします。
  • OCIでGCPキー・リングを登録します。

ステップ

VMクラスタでGoogle Cloud Key Managementが有効になっている場合は、2つのキー管理オプション(Oracle WalletおよびGCP顧客管理暗号化キー)があります。

  1. 「暗号化」セクションで、「GCP顧客管理暗号化キー」を選択します。
  2. コンパートメントで使用可能な登録済キー・リングを選択します。 ノート
    • 登録済みの鍵リングのみが一覧表示されます。
    • 目的のキー・リングが表示されない場合は、まだ登録されていない可能性があります。「キー・リングの登録」をクリックして検出および登録します。

      詳細な手順は、Oracle Cloud Infrastructure (OCI)へのGCPキー・リングの登録を参照してください。

  3. コンパートメントで選択したキー・リング内のキーを選択します。

異なる暗号化方式間で暗号化鍵を変更するには、この手順を使用します。

ノート

  • GCP顧客管理暗号化キーからOracle Walletに移行できません。
  • キー管理構成が更新されている間、データベースは短期間停止不能になります。
  1. OCIコンソールでデータベースの詳細ページに移動します。
  2. 「暗号化」セクションで、「キー管理」「Oracle Wallet」に設定されていることを確認します。次に、「変更」リンクをクリックします。
  3. 「キー管理の変更」ページで次の情報を入力します。
    1. ドロップダウン・リストから、「キー管理」「GCP顧客管理暗号化キー」を選択します。
    2. 使用しているコンパートメントを選択し、そのコンパートメントで使用可能なキー・リングを選択します。
    3. 次に、使用するキー・コンパートメントを選択し、ドロップダウン・リストから目的のキーを選択します。
    4. 「変更の保存」をクリックします。

コンテナ・データベース(CDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、暗号化キーをローテーションするデータベースを含むVMクラスタの名前をクリックします。
  4. 「データベース」をクリックします。
  5. 暗号化キーをローテーションするデータベースの名前をクリックします。

    「データベース詳細」ページに、選択したデータベースに関する情報が表示されます。

  6. 「暗号化」セクションで、「キー管理」「GCP顧客管理暗号化キー」に設定されていることを確認し、「ローテーション」リンクをクリックします。
  7. 表示される「キーのローテーション」ダイアログで、「ローテーション」をクリックしてアクションを確認します。

プラガブル・データベース(PDB)のGCP顧客管理暗号化キーをローテーションするには、この手順を使用します。

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、起動するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、暗号化キーをローテーションするPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベース詳細」ページを表示します。
  6. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 暗号化キーをローテーションするPDBの名前をクリックします。

    プラガブル詳細ページが表示されます。

  8. 「暗号化」セクションに、キー管理がGCP顧客管理暗号化キーとして設定されていることが表示されます。
  9. 「ローテーション」リンクをクリックします。
  10. 表示される「キーのローテーション」ダイアログで、「ローテーション」をクリックしてアクションを確認します。

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

次のリソースは、OCI SDK、CLIおよびTerraformを介してお客様に提供されます。これらのAPIは、Oracle Database on ExadataをGoogle Cloud Servicesと統合したいお客様によって使用されます。

表5-11 OracleDbGcpIdentityConnectors

API 説明
ListOracleDbGcpIdentityConnectors 指定されたフィルタに基づいて、すべてのGCPアイデンティティ・コネクタ・リソースをリストします。
GetOracleDbGcpIdentityConnector 特定のGCPアイデンティティ・コネクタ・リソースに関する詳細情報を取得します。
CreateOracleDbGcpIdentityConnector 指定されたExaDB-D VMクラスタに新しいGCPアイデンティティ・コネクタ・リソースを作成します。
UpdateOracleDbGcpIdentityConnector 既存のGCPアイデンティティ・コネクタ・リソースの構成詳細を更新します。
ChangeOracleDbGcpIdentityConnectorCompartment GCPアイデンティティ・コネクタ・リソースを別のコンパートメントに移動します。
DeleteOracleDbGcpIdentityConnector 指定されたGCPアイデンティティ・コネクタ・リソースを削除します。

表5-12 OracleDbGcpKeyRings

API 説明
ListOracleDbGcpKeyRings 指定されたフィルタに基づいてすべてのGCPキー・リング・リソースをリストします。
CreateOracleDbGcpKeyRing 新しいGCPキーリングリソースを作成します。
ChangeOracleDbGcpKeyRingCompartment GCPキー・リング・リソースを別のコンパートメントに移動します。
RefreshOracleDbGcpKeyRing GCPキーリングリソースの詳細をリフレッシュします。
GetOracleDbGcpKeyRing 特定のGCPキー・リング・リソースに関する詳細情報を取得します。
UpdateOracleDbGcpKeyRing 既存のGCPキー・リング・リソースの構成詳細を更新します。
DeleteOracleDbGcpKeyRing 指定されたGCPキー・リング・リソースを削除します。

表5-13 OracleDbGcpKeyKeys

API 説明
ListOracleDbGcpKeys 指定されたフィルタに基づいてすべてのGCPキー・リング・リソースをリストします。
GetOracleDbGcpKey 特定のGCPキー・リソースに関する詳細情報を取得します。