Oracle Cloud Infrastructureドキュメント

カスタム暗号化の前提条件

Oracle Analytics Cloudインスタンスのカスタム暗号化を構成する前に、1つ以上のマスター暗号化キーを使用してボールトを設定し、必要な権限がすべてあることを確認する必要があります。

  1. Oracle Analytics CloudデプロイメントにEnterprise Editionが含まれていることを確認します。

    カスタム暗号化は、Professional EditionでデプロイされたOracle Analytics Cloudインスタンスでは使用できません。エディション情報は「インスタンスの詳細」ページに表示されます。サービスの確認を参照してください。

  2. Oracle Cloud InfrastructureのVaultサービスをよく理解し、ボールト、暗号化キーおよびシークレットを管理する権限があることを確認します。ボールトの概要およびセキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。
  3. ボールトを設定します。新しいボールトの作成を参照してください。
  4. 1つ以上のカスタム暗号化キーを追加します。新しいマスター暗号化キーの作成を参照してください。
  5. Oracle Analytics Cloudインスタンスを管理し、暗号化キーを割り当てる権限があることを確認します。
    具体的には、次の権限が付与されたグループに属している必要があります。
    • Oracle Analytics Cloudインスタンスを作成します。
    • ボールトおよびキーを参照して、キーの選択を有効にします。
    • Oracle Analytics Cloudインスタンスにキーを割り当てます。これは、キーを参照する権限に加えて必要です。Oracle Cloud Infrastructureのリソースにキーを割り当てるには、追加の個別の権限が必要です。

    たとえば、グループOACAdmins内のユーザーに次の権限を付与します。<OAC-compartment-name>は、アナリティクス・インスタンスが存在するコンパートメントです。<KEY-compartment-name>は、キーが存在するコンパートメントです。

    # Allow users in the Oracle Analytics Cloud Admins group (OACAdmins) to manage Analytics instances located in <OAC-compartment-name>. For example, MyOACCompartment.

    allow group OACAdmins to manage analytics-instances in compartment <OAC-compartment-name>

    # Allow users in the Oracle Analytics Cloud Admins group (OACAdmins) to browse and select vaults and keys located in <KEY-compartment-name>. For example, MyKeyCompartment.

    allow group OACAdmins to read vaults in compartment <KEY-compartment-name>

    allow group OACAdmins to read keys in compartment <KEY-compartment-name>

    # Allow users in the Oracle Analytics Cloud Admins group (OACAdmins) to assign encryption key MyKey1 located in <KEY-compartment-name>. For example, MyKeyCompartment.

    allow group OACAdmins to use key-delegate in compartment <KEY-compartment-name> where target.key.id = '<MyKey1_ocid>'

    # Allow Analytics instances located in MyOACCompartment to encrypt/decrypt with MyKey1 located in MyKeyCompartment

    allow any-user to use keys in compartment MyKeyCompartment where all { request.principal.type='analyticsinstance', request.principal.compartment.id='<MyOACCompartment_ocid>', target.key.id='<MyKey1_ocid>'}

    # Allow the Object Storage service to encrypt and decrypt Oracle Analytics Cloud private buckets with MyKey1 located in MyKeyCompartment (add one statement for each subscribed region)

    allow service objectstorage-<region_name> to use keys in compartment MyKeyCompartment where target.key.id = '<MyKey1_ocid>'