マスター暗号化キーの作成

• コンソール
• CLI
• API

• 1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順に選択します。
  2. 「リスト範囲」で、作成するキーを含むボールトを含むコンパートメントを選択します。
  3. キーを作成するボールトの名前を選択します。

     キーに新しいボールトを作成する必要がある場合は、Vaultの作成の手順に従って、ボールトの名前を選択します。

  4. 「リソース」で、「マスター暗号化キー」、「キーの作成」の順に選択します。
  5. 「マスター暗号化キー」を選択し、「キーの作成」を選択します。キーは、ボールトのコンパートメントとは異なるコンパートメントに作成できます。
  6. 「保護モード」で、次のいずれかのオプションを選択します:
     • HSM: ハードウェア・セキュリティ・モジュール(HSM)に格納されて処理されるマスター暗号化キーを作成するには、このオプションを選択します。
     • ソフトウェア:サーバーに格納および処理されるマスター暗号化キーを作成するには、このオプションを選択します。

     キーの保護モードは、作成後に変更できません。キー保護モードに関する情報など、キーの詳細は、キーおよびシークレット管理の概念を参照してください。

  7. キーを識別する名前を入力します。機密情報を入力しないでください。
  8. 「キー・シェイプ: アルゴリズム」で、次のいずれかのアルゴリズムを選択します。
     • AES: Advanced Encryption Standard (AES)キーは、保存データの暗号化に使用できる対称キーです。
     • RSA: Rivest-Shamir-Adleman (RSA)キーは非対称キーで、公開キーと秘密キーで構成されるキー・ペアとも呼ばれます。これらを使用して、転送中のデータの暗号化、データの署名、および署名済データの整合性の検証を行うことができます。
     • ECDSA: 楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キーは、データの署名および署名済データの整合性の検証に使用できる非対称キーです。
  9. RSAのみ。AESまたはRSAを選択した場合は、対応するキー・シェイプの長さをビット単位で選択します。
  10. ECDSAのみ。ECDSAを選択した場合は、「キー・シェイプ: 楕円曲線ID」の値を選択します。
  11. インポートされたキーのみ。パブリックにラップされたキーをインポートしてキーを作成するには、「外部キーのインポート」チェック・ボックスを選択し、次の詳細を指定します:
      • ラッピング・アルゴリズム: RSA_OAEP_AES_SHA256 (一時的なAESキーのSHA-256ハッシュを含むRSA-OAEP)を選択します。
      • 外部キー・データ・ソース:ラップ済RSAキー・マテリアルが含まれるファイルをアップロードします。
  12. オプションです。「自動ローテーション」チェック・ボックスを選択して、自動キー・ローテーションを有効にします。キーの作成後に自動ローテーション設定を編集できることに注意してください。
  13. 自動ローテーションの場合のみ。「自動ローテーション・スケジュール」セクションで、次の詳細を指定します:
      • 「開始日」:カレンダ・アイコンを使用して、キー・ローテーション・スケジュールを開始する日付を選択します。交代勤務は予定日以前に行われます。たとえば、今日キーを作成するか、既存のキーを更新し、自動ローテーション開始日を4月10日として事前定義された間隔90日でスケジュールすると、自動ローテーションは7月10日(4月10日+ 90日)以前に開始されます。
        ノート
        
        KMSでは、自動ローテーションがローテーション間隔の終了時または終了前に行われることが保証されます。ローテーションは、スケジュールされた間隔の数日前まで開始できます。
      • ローテーション間隔:キーをローテーションする必要がある事前定義済の間隔を選択します。デフォルトでは、間隔は90に設定されています。
      • オプションです。カスタム:カスタム・ローテーション間隔を60日から365日に設定するには、このオプションを選択します。
  14. オプションです。タグを適用するには、「拡張オプションの表示」を選択します。
      リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
  15. 「キーの作成」を選択します。

• マスター暗号化キーを作成するには、oci kms management key createコマンドと必要なパラメータを使用します:

  oci kms management key create --compartment-id <target_compartment_id> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <control_plane_url> --is-auto-rotation-enabled <true | false> --auto-key-rotation-details <schedule_interval_information>

  たとえば:

  oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{"algorithm":"AES","length":"16"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com --is-auto-rotation-enabled enabled --auto-key-rotation-details '{"rotationIntervalInDays": 90, "timeOfScheduleStart": "2024-02-20T00:00:00Z"}' 

  CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

• 管理エンドポイントとともにCreateKey APIを使用して、新しいマスター暗号化キーを作成します。

  ノート
  
  

  管理エンドポイントは、作成、更新、リスト、取得、削除などの管理操作に使用されます。管理エンドポイントは、コントロール・プレーンURLまたはKMSMANAGMENTエンドポイントとも呼ばれます。

  暗号化エンドポイントは、暗号化、復号化、データ暗号化鍵の生成、署名、検証などの暗号化操作に使用されます。暗号化エンドポイントは、データ・プレーンURLまたはKMSCRYPTOエンドポイントとも呼ばれます。

  管理エンドポイントおよび暗号化エンドポイントは、ボールトの詳細メタデータにあります。手順については、Getting a Vault's Detailsを参照してください。

  キー管理、シークレット管理およびシークレット取得APIのリージョナル・エンドポイントについては、APIリファレンスおよびエンドポイントを参照してください。

  APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。