Oracle Cloud Infrastructureドキュメント

セキュアなブロック・ボリュームの作成

セキュリティ・アドバイザを使用して、ブロック・ボリュームにセキュア・ブロック・ボリュームを作成します。このコンテキストでは、セキュアなブロック・ボリュームは、顧客管理キーで暗号化されるため、セキュリティ・ゾーンによって設定される最小セキュリティ要件を満たします。

ブロック・ボリュームの作成に加えて、ボリュームの暗号化に使用するVaultキーを作成し、そのキーをボリュームに割り当てます。(セキュリティ・アドバイザを使用して既存の暗号化キーを割り当てることはできませんが、既存のボールトを使用して新しいキーを作成できます。)

セキュリティ・アドバイザを使用したブロック・ボリュームの作成には、いくつかの制限があります。セキュリティ・アドバイザを使用して、バックアップ・ポリシーを持つブロック・ボリュームを作成することはできません。詳細は、ポリシーベースのバックアップを参照してください。

セキュリティ・アドバイザの外部には、作成後のリソースの使用など、その他のセキュリティ上の考慮事項があります。コンピュートおよびブロック・ボリュームのセキュリティ機能およびベスト・プラクティスについてさらに学習し、新しく作成したリソースで実装することをお薦めします。詳細は、コンピュートの保護ブロック・ボリュームの保護 およびコンピュート・インスタンスのベスト・プラクティスを参照してください。

コンソールの使用

セキュア・ブロック・ボリュームを作成する前に、必要な権限が必要です。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」「セキュリティ・アドバイザ」の順に選択します。
  2. 「セキュアなブロック・ボリュームの作成」をクリックします。
  3. 開始の前提条件を確認し、「次」をクリックします。
  4. 「Vaultの選択」ページで、次のいずれかのオプションを選択します。
    • 既存のボールトにマスター暗号化キーを作成するには、「既存Vaultの選択」を選択します。
    • 新しいボールトにマスター暗号化キーを作成するには、「新規Vaultの作成」を選択します。
  5. 前のステップでの選択に応じて、次のいずれかのアクションを実行します。
    • 既存のボールトの使用を選択した場合は、ボールトが存在するコンパートメントを選択し、ボールトを選択します。
    • ボールトの作成を選択した場合は、ボールトを作成するコンパートメントを選択し、ボールトを識別する表示名を入力します。機密情報を入力しないでください。オプションで、「仮想プライベート・ボールトにする」チェック・ボックスを選択して、ボールトを仮想プライベート・ボールトにします。ボールト・タイプの詳細は、キーおよびシークレット管理の概念を参照してください。
  6. 「次」をクリックします。
  7. 「キーの作成」ページで、キーを識別する名前を入力します。

    機密情報を入力しないでください。

    「Key Shape: Length」の値は256ビットに固定され、鍵の長さに基づいてセキュリティーが最大化されます。

    「キー・シェイプ: アルゴリズム」の値がAdvanced Encryption Standard (AES)に設定されます。

  8. (オプション)既存のボールトを使用していて、キー・マテリアルをインポートしてキーを作成する場合、「外部キーのインポート」チェック・ボックスを選択します。

    キー・マテリアルをインポートするには、最初にキー・マテリアルを生成し、ボールトの公開ラッピング・キーを使用してそれをラップする必要があります。このオプションは、新規ボールトの作成時には使用できません。キーのインポートの詳細は、キーおよびキー・バージョンのインポートを参照してください。

  9. キーにタグを適用するには、「タグ付けオプションの表示」をクリックします。
  10. 「次へ」をクリックします。
  11. 「ブロック・ボリュームの作成」ページで、ボリュームの属性を指定します:
    • ブロック・ボリューム名: ボリュームの表示名を入力します。Oracle Cloud Identifier (OCID)でインスタンスを一意に識別するため、この名前は一意である必要はありません。機密情報を入力しないでください。
    • コンパートメントに作成: ボリュームを作成するコンパートメントを選択します。
    • 可用性ドメイン: このブロック・ボリュームの使用を計画しているインスタンスと同じ可用性ドメインを選択します。
    • ボリューム・サイズおよびパフォーマンス: 「デフォルト」または「カスタム」を選択します。

      ボリューム・サイズは50 GBから32,768 GB (32 TB)までである必要があります。この範囲で、1GB単位で選択できます。デフォルトは1024GBです。サービス制限を超えるサイズを選択した場合、引上げをリクエストするように求められることがあります。詳細は、サービス制限を参照してください。

      デフォルトのボリューム・パフォーマンス設定は「バランス」です。詳細は、ブロック・ボリューム・パフォーマンスを参照してください。

    • タグ付けオプションの表示: オプションで、ボリュームにタグを適用します。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
  12. 「次へ」をクリックします。
  13. (オプション)この構成をスタックとしてリソース・マネージャに保存するには、「スタックとして保存」をクリックします。

    詳細は、リソース作成ページからのスタックの作成を参照してください。

  14. セキュリティ・アドバイザが作成するリソースのサマリーを確認し、「セキュアなブロック・ボリュームの作成」をクリックします。