Oracle Break Glassの顧客管理キー

Oracle Break Glassと顧客管理キーを使用してFusion Applications環境を保護します。

デフォルトでは、Fusion Applications環境はOracle管理暗号化キーによって保護されます。Oracle Break Glassサービスをサブスクライブすることで、環境を保護する暗号化キーを提供および管理できる顧客管理キーの機能が提供されます。このオプションは、アドオンのサブスクリプションとして購入することもできます。

顧客管理キーでは、OCIボールトに格納されたキーを使用して、本番環境および非本番環境で保存されているデータを保護します。環境の作成時または環境の作成後に、環境で顧客管理キー・オプションを有効にできます。

ボールトとキーの設定および管理のベスト・プラクティス

本番環境と非本番環境に個別のボールトを作成することをお薦めします。非本番ボールト内で、テスト環境と開発環境に個別のキーを作成します。たとえば、次のように作成します:


環境	ボールト	マスター暗号化キー
本番	my-production-vault	my-production-key
テスト	my-nonproduction-vault	my-test-environment-key
開発	my-nonproduction-vault	my-development-environment-key

本番用と非本番用に別々のボールトを使用する利点:

個別のボールトを保持すると、本番環境と非本番環境でキーを個別にローテーションできます。
ボールト当たりのキー数には制限があります。ボールトを別にすると、本番環境と非本番環境に対して個別の件数が提供されます。

重要

テスト環境が顧客管理キーを使用する本番からテストへのリフレッシュでもキー・バージョンが消費されるため、P2Tを頻繁に行うと、ボールト内の残りのキー・バージョンの数が早く減ります。

キーの制限および使用状況を確認するには、特定のリージョンのリソース制限、割当て制限および使用状況がサービスごとに分類されている「制限、割当ておよび使用状況」ページを表示します:

コンソールでナビゲーション・メニューを開き、「ガバナンスと管理」を選択します。「テナント管理」で、「制限、割当ておよび使用状況」を選択します。
「サービス」リストから、「キー管理」を選択します。
使用するように選択したキー・タイプに応じて、「仮想ボールトのキー・バージョン数」または「仮想ボールトのソフトウェア・キー・バージョン数」のキー制限を確認します。

顧客管理キーの設定

Fusion Applicationsでは、OCI Vaultサービスを利用して暗号化キーを作成および管理し、本番環境および非本番環境を保護できます。環境の作成時にキーを設定することも、既存の環境にキーを追加することもできます。既存の環境で構成を追加すると、次回のスケジュール済メンテナンス・サイクル中に環境の暗号化が行われます。

設定タスクおよびロールの概要

顧客管理キーの管理には、組織内の様々なロールで実行する必要があるタスクが含まれます。次に、それぞれによって実行されるロールおよびタスクの概要を示します:


ロール	設定タスク	メンテナンス・タスク
テナンシ管理者	ボールトおよびキーのコンパートメントを作成しますセキュリティ管理者グループを作成し、管理ユーザーをグループに追加し、ボールトおよびキーを管理できるようにグループのポリシーを作成します。 Fusion Applicationsで顧客管理キーを使用できるようにするシステム・ポリシーを追加します Fusion Applications管理者にボールトおよびキーの読取りを許可する権限を追加します	なし
セキュリティ管理者	本番環境および非本番環境のボールトを作成します本番環境および非本番環境のキーを作成しますボールトおよびキーの情報をFusion Applications管理者に提供して、環境に追加します	キーのローテーションキー・ローテーションの検証キーの無効化(必要な場合)
Fusion Applications管理者	本番環境および非本番環境で顧客管理キーを有効にしますオプションで、顧客管理キーを使用するための開始日をスケジュールします。	本番環境および非本番環境で顧客管理キーを変更しますキー・ローテーションの検証

テナンシ管理者の設定タスク

テナンシ管理者は、セキュリティ管理者およびFusion Applications管理者のテナンシを設定して、顧客管理キーを有効化および管理するタスクを実行します。

1. セキュリティ管理者グループの作成

Fusion Applications環境のセキュリティ機能へのアクセスを制限するために、個別のセキュリティ管理者グループを作成することをお薦めします。

セキュリティ管理者グループのポリシーによって、グループはボールトおよびキーを管理できますが、削除は許可されません。ポリシーは次のとおりです:

allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

セキュリティ管理者ロールに必要な特定の権限など、ロールを定義するグループおよびポリシーを作成する手順は、特定のジョブ・ファンクションを使用したOracle Cloudユーザーの管理を参照してください。

2. Fusion Applications管理者の権限の追加

Fusion Applications管理者は、ボールトおよびキーに対してread権限が必要です。read権限により、FA管理者は次のことを実行できます:

構成時のボールトおよびキーの選択。
キー・ローテーションの検証。
トラブルシューティングのためのOCI Vaultサービスのボールトおよびキーの表示。

Fusion Applications管理者の権限を追加するには:

Fusion Applications管理者ロールの作成については、特定のジョブ・ファンクションを使用したOracle Cloudユーザーの管理の手順を参照してください。

次のステートメントをFusion Applications環境管理者ロールに追加します(まだ存在しない場合):


Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>

すべての<location>変数を、ボールトおよびキーが作成されたコンパートメントの名前に置き換えてください。

3. テナンシで顧客管理キーを有効にするためのシステム・ポリシーの追加

重要

ボールトおよびキーを環境に追加する前に、顧客管理キーを有効にするポリシーを追加する必要があります。このポリシーが追加されていない場合:

環境のプロビジョニングが完了していません。
既存の環境のメンテナンスが完了していません。
顧客管理キーの有効化が完了していません。

ノート

このポリシーは、Commercial Cloud (OC1レルム)のテナンシ専用です。Fusion Applications環境が他のレルム(Oracle US Government Cloud、United Kingdom Government Cloudなど)にある場合は、正しいポリシーを取得するためにサポート・リクエストを開く必要があります。

次のステートメントを使用して、OC1レルムにポリシーを作成します:

define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}

ノート

この例に示されているサンプル・ポリシーは、ガイドラインとして意図されています。これらのポリシーを組織のセキュリティ・チームにレビューして、内部セキュリティ要件およびベスト・プラクティスに整合させる必要があります。

または、権限を特定のコンパートメントに制限するには、例に示すテナンシのかわりにコンパートメントを指定します。各コンパートメントのポリシー・ステートメントがない場合は、作成する必要があります。コンパートメントのポリシー・ステートメントを追加するには、ポリシーの作成を参照してください。各コンパートメントに既存のポリシー・ステートメントがある場合は、それらを更新する必要があります。各コンパートメントのポリシー・ステートメントを更新するには、ポリシーのステートメントの更新を参照してください。

将来、キーまたはボールト・コンパートメントを変更する場合は、ポリシーも更新する必要があります。そうしないと、Fusion環境がキーにアクセスできないため、中断が発生する可能性があります。ボールトのコンパートメントを検索するには、Vaultの詳細の取得を参照してください。

セキュリティ管理者の設定タスク

セキュリティ管理者は、ボールトおよびキーを設定し、情報をFusion Applications管理者に提供して、環境に追加します。

1. 環境用のボールトの作成

VaultドキュメントのVaultの作成の手順に従います。

ノート

基本的なボールト・タイプは、Break Glassサービスのサブスクリプションに含まれています。ボールトを作成するときに、仮想プライベート・ボールトにするオプションがあります。このボールト・タイプでは、ボールトに専用のパーティションが使用され、Break Glassサービスのサブスクリプションには含まれません。「仮想プライベート・ボールトにする」を選択すると、追加料金が発生します。ボールト・タイプの詳細は、キーおよびシークレット管理の概念を参照してください。

本番環境キー用と非本番環境キー用の2つのボールトを作成することをお薦めします。

ボールトを作成したら、本番環境に作成したボールトをレプリケートします。レプリケートされたボールトは、ディザスタ・リカバリに使用されます。

本番Fusion Applications環境が配置されているリージョンのディザスタ・リカバリ・リージョンのペアリングを確認します。リージョンのペアリングのリストは、ディザスタ・リカバリのサポートを参照してください。
リージョンのペアリングとしてリストされたリージョンをサブスクライブします。リージョンをサブスクライブするには、インフラストラクチャ・リージョンへのサブスクライブを参照してください。
ボールトおよびキーのレプリケートのステップに従って、本番環境に作成したボールトをレプリケートします。レプリケーションの宛先リージョンを選択する場合は、前のステップでサブスクライブしたディザスタ・リカバリ・リージョンを必ず選択してください。

2. キーの作成

Vaultドキュメントのマスター暗号化キーの作成の手順に従うか、独自のキーをインポートするには、公開RSAラッピング・キーの取得およびキー・マテリアルをラップするためのAESを使用したRSA-OAEPの適用の手順に従います。

Fusion Applicationsのキーを作成する場合は、次の選択を行う必要があります:

「キー・シェイプ: アルゴリズム」で、「AES (暗号化および復号化に使用される対称キー)」を選択します(Fusion Applicationsの顧客管理キーの場合、このオプションを選択する必要があります)。
「キー・シェイプ: 長さ」で、「256ビット」を選択します。

本番環境用の本番ボールトに1つのキーを作成し、非本番ボールト内の非本番環境ごとに1つのキーを作成することをお薦めします。

3. Fusion Applications管理者へのボールトおよびキー情報の提供

ボールトとキーを作成した後、ボールト・コンパートメント名、ボールト名とキー名(および異なる場合はキー・コンパートメント名)をFusion Applications管理者に提供します。

新規および既存の環境への顧客管理キーの追加

Fusion Applications管理者は、顧客管理キーを環境に追加します。これは、環境の作成時または環境の作成後に実行できます。既存の環境の場合、Oracleでは、更新をスケジュールするための時間枠を選択できます。新しい環境では、環境のプロビジョニング時にキーが追加され、スケジューリングは必要ありません。

顧客管理キーを有効にした後、管理者は環境内のキーを変更することもできます。

前提条件:

サブスクリプションが環境ファミリに追加されている。サブスクリプションが追加されていない場合、顧客管理キーを選択するオプションは表示されません。
セキュリティ管理者がボールトおよびキーを作成している。
ノート

基本的なボールト・タイプは、Break Glassサービスのサブスクリプションに含まれています。ボールトを作成するときに、仮想プライベート・ボールトにするオプションがあります。このボールト・タイプでは、ボールトに専用のパーティションが使用され、Break Glassサービスのサブスクリプションには含まれません。「仮想プライベート・ボールトにする」を選択すると、追加料金が発生します。ボールト・タイプの詳細は、キーおよびシークレット管理の概念を参照してください。
テナンシ管理者が、テナンシで顧客管理キーを有効にするためのシステム・ポリシーを設定している。
テナンシ管理者が、ボールトおよびキーを読み取り、Fusion Applications環境に関連付けするためのFusion Applications管理者のポリシーを作成している。

環境作成時の顧客管理キーの追加

この手順には、顧客管理キーを有効にするステップのみが含まれます。環境を作成する完全な手順については、環境管理タスクを参照してください。

環境の作成ページで:

「拡張オプションの表示」を選択します。
「暗号化」 タブを選択します。
「顧客管理キー(推奨)」を選択します。

このオプションが表示されない場合、サブスクリプションが環境ファミリに追加されていません。
「Vault」を選択します。ボールトが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」をクリックし、適切なコンパートメントを選択する必要があります。
「キー」を選択します。キーが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」をクリックし、適切なコンパートメントを選択する必要があります。AES-256-bitキーのみが表示されます。

環境を設定するためのすべてのステップを完了すると、プロビジョニング・プロセスが開始されます。顧客管理キーを追加すると、プロビジョニング・プロセスに時間がかかります。キーが有効になっている間、環境が使用不可であることを警告するメッセージが表示されます。

既存の環境への顧客管理キーの追加および暗号化管理を切り替えるための更新のスケジュール

重要

既存の環境で顧客管理キーを有効にした場合、暗号化はすぐに実行されません。このオプションは、スケジュールされた更新中(次のスケジュールされたメンテナンス・サイクル中、またはOracleが提供する他の2つの時間のいずれか)に有効になります。「暗号化の編集」ダイアログを開いて更新をリクエストすると、環境の2つの代替時間がOCIコンソールに表示されます。更新をスケジュールするために表示される時間ウィンドウのリストでは、通常のメンテナンス・ウィンドウが選択肢のリストの最後のエントリであることに注意してください。詳細は、このトピックの既存の環境で顧客管理キーを有効にするにはを参照してください。
このオプションを有効にするためにOracleが提供する2つの代替時間のいずれかで顧客管理キーを有効にすることを選択した場合、更新が「スケジュール済」状態であるかぎり、Oracle Supportに接続せずにOCIコンソールでこの更新を再スケジュールまたは取り消すことができます。更新が進行中または完了している場合、更新を取り消したり元に戻したりすることはできません。

次のスケジュール済メンテナンス中に顧客管理キーを有効にすることを選択し、暗号化更新を再スケジュールまたは取り消す必要がある場合は、Oracle Supportに連絡して取消または再スケジュールする必要があります。
定期的にスケジュールされたメンテナンス以外の顧客管理キーを有効にする場合は、更新用に選択した時間が、リフレッシュ操作などの他の重要な環境アクティビティと競合しないようにしてください。リフレッシュ操作の場合、リフレッシュの実行中は、顧客管理キーのソース環境もターゲット環境も更新できません。
顧客管理キーを有効にするための更新が行われるまで、環境はOracle管理キーによって引き続き暗号化されます。

既存の環境で顧客管理キーを有効にするには:

環境にナビゲートします: コンソールの「アプリケーション・ホーム」で、「Fusion Applications」を選択します。「概要」ページで、環境の環境ファミリを検索し、環境名を選択します。
「リソース」で、「セキュリティ」を選択します。「暗号化」タブが表示されます。
デフォルトでは、「タイプ」はOracle管理です。「暗号化の編集」を選択して、ボールトおよびキーを追加します。
編集オプションが表示されない場合は、適切なオプションを追加していないか、環境が更新中です。
「顧客管理キー」を選択します。
「Vault」を選択します。ボールトが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」を選択し、適切なコンパートメントを選択します。ディザスタ・リカバリ(DR)を使用している場合は、レプリケーションをサポートするボールトを選択する必要があります。すべてのプライベート・ボールトはレプリケーションをサポートしています。仮想ボールトについては、仮想ボールトがレプリケーションをサポートしているかどうかを確認する方法の詳細は、ボールトおよびキーのレプリケートを参照してください。
「マスター暗号化キー」を選択します。キーが環境の作成先と同じコンパートメントにない場合は、「コンパートメントの変更」を選択し、適切なコンパートメントを選択します。AES-256-bitキーのみが表示されます。
「暗号化更新スケジュール」セクションで、時間ウィンドウを選択して、暗号化管理の更新を開始する時間を指定します。環境の次のスケジュール済メンテナンス実行がいつであるかに応じて、最大3つの日付が表示されます。

選択リスト内の日付の1つが、次回のスケジュール済メンテナンスの日付であることに注意してください。次のスケジュール済メンテナンスの日付を選択すると、ヒント・テキストに「上で選択した日付が次のスケジュール済メンテナンス日です」というメッセージが表示されます。

次のイメージに示すように、次のスケジュール済メンテナンス日のヒント・テキストが表示されます:

次に注意してください:
- デフォルトでは、時間ウィンドウに、次回のスケジュール済メンテナンス更新のオプションが表示されます。このオプションを使用し、顧客管理キーを有効にするために更新を取り消すか再スケジュールする必要がある場合は、Oracle Supportに連絡する必要があります。
- Oracleには、次回のスケジュール済メンテナンス更新の時間ではない2つの時間ウィンドウが用意されています。これら2つのウィンドウのいずれかを選択した場合は、OCIコンソールを使用して更新を取り消すか、再スケジュールして顧客管理キーを有効にできます。
「送信」を選択して、環境内の顧客管理キーを有効にする更新をリクエストします。

暗号化の実行がスケジュールされると、ウィンドウの下部にメッセージが表示されます。暗号化は、指定した時間枠で実行されます。メンテナンスが発生するまで、環境はOracle管理キーによって暗号化されたままになります。

ノート

顧客管理キーの更新を再スケジュールまたは取り消す必要がある場合は、顧客管理キーを有効にするための更新の再スケジュールまたは更新の取消の手順を参照してください。

顧客管理キーを使用可能にするための更新の再スケジュールまたは取消

更新ステータスが「スケジュール済」であるかぎり、更新を再スケジュールまたは取り消して顧客管理キーに切り替えることができます。これを行う方法は、定期的なメンテナンス中または通常のメンテナンス・ウィンドウ外で更新が行われるようにスケジュールされているかどうかによって異なります。

定期的なメンテナンス中にスケジュールされた更新:定期的にスケジュールされたメンテナンス中に顧客管理キーを有効にするリクエストを送信した場合は、Oracle Supportに連絡して、顧客管理キーの有効化を取り消すか、再スケジュールしてください。
メンテナンス・ウィンドウ外でスケジュールされた更新:定期的にスケジュールされたメンテナンス中でない顧客管理キーを有効にする時間ウィンドウを指定した場合は、このトピックの手順を使用して、OCIコンソールで更新を取り消すか、再スケジュールできます。

重要

更新を再スケジュールまたは取り消して顧客管理キーに切り替えるには、更新ステータスを「スケジュール」にする必要があります。更新が進行中または完了している場合、更新を取消または元に戻すことはできません。

顧客管理キーを有効にするために更新を再スケジュールまたは取り消すには

ノート

これらの手順は、通常のメンテナンス・ウィンドウ外でスケジュールされた更新にのみ適用されます。これらの手順を使用するには、更新のステータスが「スケジュール済み」である必要があります。顧客管理キーを有効にするための更新が定期的なメンテナンス中に行われるようにスケジュールされている場合は、Oracle Supportにお問い合せください。

環境にナビゲートします: コンソールの「アプリケーション・ホーム」で、「Fusion Applications」を選択します。「概要」ページで、環境の環境ファミリを検索し、環境名を選択します。
「リソース」で、「セキュリティ」を選択します。「暗号化」タブが表示されます。
暗号化オプションの表で、「顧客管理」行を見つけて「アクション」メニュー()を選択し、「再スケジュール」または「取消」を選択します。
再スケジュールのみ:顧客管理キーの更新を再スケジュールする場合は、ドロップダウン・メニューを使用して新しい日付を選択し、「送信」を選択します。

ノート

定期的にスケジュールされたメンテナンス以外の顧客管理キーを有効にする場合は、更新用に選択した時間が、リフレッシュ操作などの他の重要な環境アクティビティと競合しないようにしてください。リフレッシュ操作の場合、リフレッシュの実行中は、顧客管理キーのソース環境もターゲット環境も更新できません。

取消のみ:更新を取り消す場合は、環境名を入力して更新を取り消すことを確認し、「スケジュール済キーの取消」を選択します。

キーのステータスおよび詳細の表示

キーのステータスおよび詳細を表示するには:

環境にナビゲートします。「アプリケーション・ホーム」の「自分のアプリケーション」で、「Fusion Applications」を選択し、環境名を選択します。環境の詳細ページが表示されます。
「リソース」で、「セキュリティ」を選択します。「暗号化」タブが表示されます。

キーが追加されているが、メンテナンス・サイクルがまだ実行されていない場合、「キー・ステータス」は「スケジュール済」と表示されます。

Vaultおよびキーの名前を選択して、これらのリソースに移動できます。

キーの変更とローテーション

マスターの暗号化鍵を変更し、必要に応じて鍵のバージョンをローテーションできます。

環境にナビゲートします: コンソールの「アプリケーション・ホーム」で、「Fusion Applications」を選択します。「概要」ページで、環境の環境ファミリを検索し、環境名を選択します。
「リソース」で、「セキュリティ」を選択します。
「暗号化」タブを選択します。
「暗号化キーの変更」を選択します。
「暗号化キーの変更」パネルで、「Vault」を選択します。ディザスタ・リカバリ(DR)を使用している場合は、レプリケーションをサポートするボールトを選択する必要があります。すべてのプライベート・ボールトはレプリケーションをサポートしています。仮想ボールトについては、仮想ボールトがレプリケーションをサポートしているかどうかを確認する方法の詳細は、ボールトおよびキーのレプリケートを参照してください。

選択したボールトが別のコンパートメントにある場合は、ボールト・アクセス用のIAMポリシーの作成が必要になる場合があります。See 3. Add the System Policy to Enable Customer-Managed Keys in Your Tenancy for details.
マスター暗号化キーを選択します
「送信」を選択し、キーの変更を確認します。

組織のセキュリティ・プラクティスに基づいてキーをローテーションします。CLIジョブを設定してキーを自動的にローテーションすることも、指定したセキュリティ管理者がVaultサービス・コンソールUIを使用して手動でローテーションすることもできます。キー・バージョンの詳細は、キーおよびシークレット管理の概念を参照してください。

キーをローテーションする前に、次の条件を満たしている必要があります:

環境の「ライフサイクルの状態」が「アクティブ」で、「ヘルス・ステータス」が「使用可能」である必要があります。
ボールトで使用可能なキー・バージョンの制限を満たしていない必要があります。テスト環境が顧客管理キーを使用する本番からテストへのリフレッシュでもキー・バージョンが消費されるため、P2Tを頻繁に行うと、ボールト内の残りのキー・バージョンの数も減ります。

キー・ローテーション中に予想されること:

停止時間がなく、環境の「ヘルス・ステータス」は「使用可能」のままです。
環境の詳細ページに、ローテーションが進行中であることを警告するバナー・メッセージが表示されます。
「キー・ステータス」は、「ローテーション進行中」と表示されます。

キーをローテーションするには

VaultドキュメントのVaultキーのローテーションの手順に従います。

キー・ローテーションを検証するには

キーをローテーションした後、環境の詳細ページでローテーションを検証できます:

環境にナビゲートします。「アプリケーション・ホーム」の「自分のアプリケーション」で、「Fusion Applications」を選択し、環境名を選択します。環境の詳細ページが表示されます。
「リソース」で、「セキュリティ」を選択します。「暗号化」タブが表示されます。
「キー・バージョン」を選択して、Vaultサービスのバージョンに対応していることを確認します。

キーの無効化および有効化

Fusion Applicationsを停止してFusionデータベースにアクセスする状況が発生した場合、セキュリティ管理者は、キーを無効にして、すべてのユーザーを即時に強制的にシステムから除外できます。

警告

キーを無効にすると、データが失われる可能性があります。キーが無効になっている場合、Fusion Applicationsクラウド・サービスは、環境の使用中に障害が発生する可能性を最小限に抑えるために、環境を事前に停止しようとします。ただし、キーが無効になると、再度有効になるまで環境を再起動できません。キーが無効な状態のままだと、Fusion Applicationsクラウド・サービスは、以前に保存された顧客データにアクセスできません。

キーを無効にすると予想されること:

環境の「ヘルス・ステータス」が「使用不可」に更新されます。「ライフサイクルの状態」が「無効」に更新されます。すべてのユーザーが強制的にアプリケーションから除外されます。
環境の詳細ページに、暗号化が無効になったことを警告するバナー・メッセージが表示されます。
「キー・ステータス」は、「無効」と表示されます。

ノート

キーの無効化を開始すると、環境のコンポーネント(データベース・サービス、中間層、ロード・バランサなど)を停止する一連のプロセスが実行され、完了までに最大1時間かかる場合があります。これらのプロセスが完了するまで、キーを再度有効にしないでください。

同様に、キーの有効化を開始すると、システムをバックアップする一連のプロセスの完了には最大1時間かかる場合があります。

キーを無効にするには

VaultドキュメントのVaultキーの無効化の手順に従います。

キーを有効にするには

VaultドキュメントのVaultキーの有効化の手順に従います。

キーの削除

セキュリティ管理者ロールに付与される権限には、キーおよびボールトの削除は含まれません。キーおよびボールトの削除は、非常に破壊的な操作であり、まれな状況ではテナンシ管理者のみが実行する必要があります。

テナンシ管理者がキーを削除すると、このキーで暗号化されているデータまたはOCIリソース(Fusion Applicationsデータベースを含む)はすべて、即座に使用不可または取得不可になります。

キーの削除をスケジュールする前に、キーをバックアップすることを強くお薦めします。後でもう一度キーを使用することになった場合、バックアップを使用してキーおよびボールトをリストアできます。

詳細は、「Vaultキーの削除」を参照してください。

Oracle Cloud Infrastructureドキュメント