翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した Oracle TDE AWS CloudHSM: データベースを設定し、マスター暗号化キーを生成する
Oracle TDE を AWS CloudHSM クラスターと統合するには、以下のトピックを参照してください。
-
Oracle Database 設定の更新により、クラスターの HSM を外部セキュリティモジュールとして使用します。外部セキュリティモジュールの詳細については、Oracle Database Advanced Security ガイド
の「透過的データ暗号化の概要」を参照してください。 -
クラスターの HSM で Oracle TDE マスター暗号化キーの生成を行います。
Oracle Database 設定の更新
クラスターで HSM を外部セキュリティモジュールとして使用するように Oracle Database の設定を更新するには、次のステップを実行します。外部セキュリティモジュールの詳細については、Oracle Database Advanced Security ガイド
Oracle 設定を更新するには
-
Amazon EC2 クライアントインスタンスに接続します。これは、Oracle Database をインストールした先のインスタンスです。
-
sqlnet.ora
というファイルのバックアップコピーを作成します。このファイルの場所については、Oracle のドキュメントを参照してください。 -
テキストエディタを使用して、
sqlnet.ora
というファイルを編集します。次の行を追加します。ファイルの既存の行がencryption_wallet_location
で始まる場合は、既存の行を次の行に置き換えます。encryption_wallet_location=(source=(method=hsm))
ファイルを保存します。
-
次のコマンドを実行して、Oracle Database が AWS CloudHSM PKCS #11 ソフトウェアライブラリのライブラリファイルを検索するディレクトリを作成します。
sudo mkdir -p /opt/oracle/extapi/64/hsm
-
次のコマンドを実行して、PKCS #11 ファイルの AWS CloudHSM ソフトウェアライブラリを前のステップで作成したディレクトリにコピーします。
sudo cp /opt/cloudhsm/lib/libcloudhsm_pkcs11.so /opt/oracle/extapi/64/hsm/
注記
/opt/oracle/extapi/64/hsm
ディレクトリに含めるライブラリファイルは 1 つに限られます。そのディレクトリに存在する他のファイルを削除します。 -
次のコマンドを実行して、
/opt/oracle
ディレクトリおよびその内容すべての所有権を変更します。sudo chown -R oracle:dba /opt/oracle
-
Oracle Database を起動します。
Oracle TDE マスター暗号化キーの生成
クラスターの HSM で Oracle TDE マスターキーを生成するには、次の手順を実行します。
マスターキーを生成するには
-
次のコマンドを使用して、Oracle SQL*Plus を開きます。プロンプトが表示されたら、Oracle Database のインストール時に設定したシステムパスワードを入力します。
sqlplus / as sysdba
注記
Client SDK 3 の場合、マスターキーを生成するたびに
CLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE
環境変数を設定する必要があります。この変数は、マスターキーの生成にのみ必要です。詳細については、サードパーティーアプリケーションの統合に関する既知の問題 の「問題:OracleはCKA_MODIFIABLE
マスターキーの生成中に PCKS #11 属性を設定しますが、HSM はそれをサポートしていません」を参照してください。 -
次の例に示すように、マスター暗号化キーを作成する SQL ステートメントを実行します。使用しているバージョンの Oracle Database に対応するステートメントを使用します。
<CU user name>
を暗号化ユーザー (CU) のユーザー名に置き換えます。<password>
を CU パスワードに置き換えます。重要
次のコマンドは 1 回のみ実行します。コマンドを実行するたびに、新しいマスター暗号化キーが作成されます。
-
Oracle Database バージョン 11 の場合は、次の SQL ステートメントを実行します。
SQL>
alter system set encryption key identified by "
<CU user name>
:<password>
"; -
Oracle Database バージョン 12 およびバージョン 19c の場合は、次の SQL ステートメントを実行します。
SQL>
administer key management set key identified by "
<CU user name>
:<password>
";
レスポンスが
System altered
またはkeystore altered
の場合は、Oracle TDE のマスターキーが正常に生成および設定されています。 -
-
(オプション) 次のコマンドを実行して Oracle ウォレットのステータスを確認します。
SQL>
select * from v$encryption_wallet;
ウォレットが開いていない場合は、次のいずれかのコマンドを使用して開きます。
<CU user name>
を暗号化ユーザー (CU) の名前に置き換えます。<password>
を CU パスワードに置き換えます。-
Oracle 11 の場合は、次のコマンドを実行してウォレットを開きます。
SQL>
alter system set encryption wallet open identified by "
<CU user name>
:<password>
";手動でウォレットを閉じるには、次のコマンドを実行します。
SQL>
alter system set encryption wallet close identified by "
<CU user name>
:<password>
"; -
Oracle 12 および Oracle 19c の場合は、次のコマンドを実行してウォレットを開きます。
SQL>
administer key management set keystore open identified by "
<CU user name>
:<password>
";手動でウォレットを閉じるには、次のコマンドを実行します。
SQL>
administer key management set keystore close identified by "
<CU user name>
:<password>
";
-