Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI Vault 機能概要と特徴

OCI Vault 機能概要と特徴

ユーザーの暗号鍵・シークレットをセキュアに集中管理することができるOCI Vaultの機能概要と特徴について

3115a782126be714b5f94d24073c957d?s=128

oracle4engineer

February 15, 2021
Tweet

Transcript

  1. OCI Vault Ver 2.0 (2021/2更新) 日本オラクル株式会社 テクノロジー事業戦略統括 テクノロジー・クラウド・エンジニアリング本部 セキュリティ&マネジメントソリューション部

  2. Safe harbor statement The following is intended to outline our

    general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, timing, and pricing of any features or functionality described for Oracle’s products may change and remains at the sole discretion of Oracle Corporation. 2
  3. 3 OCIのストレージサービスはデフォルト暗号化 Vaultを利用することにより、暗号鍵の管理を Oracleマネージドからユーザー自身で管理することが可能 • 暗号鍵の作成・削除・ローテーション、バックアップ、モニタリング • OCIサービスの各サービスとシームレスに連携 • 鍵のインポート(BYOK)も可能

    FIPS 140-2 Security Level 3 に準拠したHSMを利用 2種類から選択 • Default Vault - 共有パーティション内で仮想的にユーザーのVaultを提供 • Virtual Private Vault - ユーザー専用に完全分離された専用パーティションとして提供 暗号鍵だけでなく、シークレット(パスワード、証明書、SSH キー、認証トークンなど)もVault内で管理可能 ユーザーの暗号鍵・シークレットをセキュアに集中管理 Oracle Cloud Infrastructure – Vault Vault Security Block Volume Object Storage OCI Vault Key A Key B 暗号化 暗号化 VaultとKey, Secretの作成・インポート Keyを各ストレージリソースへアサイン して暗号化 ユーザー File Storage Secret A コード Copyright © 2021, Oracle and/or its affiliates |
  4. OCI Vault の基本要素 4 OCI Vault 暗号鍵 シークレット Virtual Private

    Vault 専用HSM パーティション Default Vault 共有HSM パーティション • ユーザー自身による暗号鍵の管理 (AES, RSA, ECDSA) • BYOKのサポート • 高い信頼性と冗長化 • HSMまたはソフトウェアによるマスター暗号キーの保護 • シークレットの安全な格納と取り出し • OCI CLI, REST API, 各種SDK, Terraformの幅広い利用 Block Storage Object Storage File Storage Streaming Kubernetes Database System FIPS140-2 Level 3 certified HSM HSM Keys Software Keys HSM Keys Software Keys Copyright © 2021, Oracle and/or its affiliates |
  5. OCI Vaultの暗号鍵の基本コンセプト 5 2階層で管理する暗号鍵 • データ暗号鍵 は実際のユーザーデータを暗号化する • マスター暗号鍵 はデータ暗号鍵を暗号化する

    • IAMポリシーはマスター暗号鍵のアクセスを制御する • OCI Auditは、マスター暗号鍵のアクセスを監視する 階層構造のメリット • 多数のデータ暗号鍵から、1つのマスター暗号鍵 に管理 を集約 • 暗号鍵の漏洩時におけるリソースの影響範囲を制限 • 暗号鍵のローテション時には、データ暗号鍵を再生成す る必要がない OCI Vault マスター 暗号鍵 Block Storage Object Storage File Storage Data Key1 Data Key2 Data Key3 Data Key1 Data Key2 Data Key3 Policies Auditing Copyright © 2021, Oracle and/or its affiliates |
  6. Object Storageにおける暗号化・復号のフロー 6 暗号化プロセス 復号プロセス OCI Vault マスター 暗号鍵 Object

    Storage Object Storage Buckets Buckets ID & Access Management Policies 1 2 3 4 5 6 7 8 平文 データ 暗号化された データと暗号化 済み暗号化鍵を バケットに格納 データ暗号鍵のリクエスト 暗号化済み暗号化鍵 Data Key Data Key Data Key Data Key Data Key Data Key 平文データを 暗号鍵を使用 して暗号化する FIPS 140-2 Level 3 Vaultは データ暗号鍵 と暗号化され たデータ暗号 鍵の両方を送 信 平文 データ マスター暗号鍵は 生成もしくはインポートする Copyright © 2021, Oracle and/or its affiliates |
  7. それぞれの暗号化モデルの違い クライアントサイド・暗号化 ユーザーのデータはユーザー自身で 事前に暗号化しておき、OCIへ送信 する Oracleマネージド・暗号化 デフォルトでは、OCIにあるユー ザーのデータはOracle マネージドの暗号鍵で暗号化されて いる

    ユーザーはその暗号鍵を自身で管理 することはできない カスタマーマネージド・暗号化 マスター暗号鍵は、マスター暗号鍵を ユーザー自身で管理することが可能 暗号鍵の作成・削除・ローテーショ ン、バックアップ、モニタリング等 ユーザー自身で用意したマスター暗号 鍵をインポート可能 暗号鍵は、FIPS140-2 Level 3に 準拠したOCI Vaultに格納して セキュアに保護する 7 low high Copyright © 2021, Oracle and/or its affiliates |
  8. マスター暗号キーの格納場所 8 Native OCI Storage Database Data Key1 TDE Data

    Key マスター 暗号鍵 Secrets Encrypts/ Decrypts Encrypts/ Decrypts Protected HSM • FIPS140-2 Level 3に準拠したHSMに格納 • 暗号化・復号はHSM内で処理実行される • マスター暗号キーをエクスポートすることはできない • 有償 ソフトウェア • サーバー内に暗号化され保管 • 暗号化・復号はサーバーメモリ内で処理実行される • マスター暗号キーをエクスポートできる • 無償 Copyright © 2021, Oracle and/or its affiliates |
  9. 暗号化の種類 サポートする暗号アルゴリズム (2021年2月時点) ・共通鍵暗号: AES 128/196/256 ・公開鍵暗号: RSA 2048/3072/4096, ECDSA

    NIST P-256/NIST P-384/NIST P-521 9 暗号アルゴリズム 暗号 デジタル署名 AES Yes No RSA Yes Yes ECDSA No Yes Copyright © 2021, Oracle and/or its affiliates |
  10. 公開鍵を用いた暗号及びデジタル署名のフロー 10 送信者 受信者 平文データ 暗号化 データ 平文データ 公開鍵 秘密鍵

    暗号化 復号 送信者 受信者 メッセージ ダイジェスト デジタル署名 秘密鍵 公開鍵 暗号化 復号 デジタル署名 で真正性を確認 暗号化・復号 デジタル署名 Copyright © 2021, Oracle and/or its affiliates |
  11. マスター暗号鍵のインポート: BYOK (Bring Your Own Key) • ユーザー自身で用意したマスター暗号鍵をインポート • インポートする暗号鍵はRSAで暗号ラッピングが必要

    • Oracleは、インポートされた暗号鍵にアクセスできない • 新たな暗号鍵を使用して鍵のローテーションが可能 11 Block Volume Object Storage Vault User Private Vault Key A Key B File Storage BYOK Copyright © 2021, Oracle and/or its affiliates |
  12. OCIで使用されているHardware Storage Module (HSM) 12 • Marvell社 • FIPS 140-2

    Level3準拠 • FIPS Certification: https://csrc.nist.gov/Projects/Cryptographic -Module-Validation- Program/Certificate/3254 • 物理的、論理的にも暗号鍵へのアクセスを 防止する耐タンパー性の高い設計 • アプライアンス管理者であっても暗号鍵へ アクセスはできない • 一つのHSMあたり100,000 暗号鍵バージョン の管理可能 Copyright © 2021, Oracle and/or its affiliates |
  13. ユーザー自身によって暗号鍵を管理 管理できる項目 • マスター暗号鍵の作成 • マスター暗号鍵の使用 • マスター暗号鍵の有効化/無効化 • マスター暗号鍵のインポート

    • マスター暗号鍵の監査 IAMでの暗号鍵用ポリシー例 • allow group VaultAdministrators to manage vaults in compartment VaultCompartment • allow service objectstorage-us-ashburn-1 to use keys in compartment OCIDemo • allow service secret to use keys in compartment OCIDemo Block Storage Object Storage File Storage Streaming OKE Encrypted OracleはOCI Vaultの暗号鍵にアクセスはできない – SOC認証済 Database System * *: 提供予定 13 Copyright © 2021, Oracle and/or its affiliates |
  14. OCI Vaultによる暗号鍵管理の動作 • OCI Vaultは、リージョナルサービスとして提供。3ADの場合、暗号鍵はそれぞれのADに複製が作成される • ブロックボリューム、オブジェクトストレージ、ファイルストレージはVaultと統合済み • マスター暗号鍵のローテーションは、既に暗号されたデータへの影響はない •

    マスター暗号鍵が変更された場合、ユーザーは、古い暗号鍵を使用して復号されたデータをそのまま影響なく利用 できる。その際、次の暗号/復号処理が行われる時に最新の暗号鍵が使用される。 • もしマスター暗号鍵が漏洩してしまった場合、強制的にデータの再暗号を実施し、以前の鍵を削除することで対応 • Vaultの削除のスケジューリング化は、7日から30日で指定可能 • Vaultと格納されるすべてマスター暗号鍵が削除対象。削除後は、暗号化されたデータにはアクセスできない • 削除後はリカバリできないため、定期的なバックアップの取得が必須 • Vaultのバックアップは、HSMが読み取り可能なBLOBとして生成される。マスター暗号鍵自身ではない • バックアップは別のリージョンにリストアできる 14 14 Copyright © 2021, Oracle and/or its affiliates |
  15. Vaultの作成 15 Copyright © 2021, Oracle and/or its affiliates |

  16. マスター暗号キーの作成 16 Copyright © 2021, Oracle and/or its affiliates |

  17. 作成されたマスター暗号キー 17 Copyright © 2021, Oracle and/or its affiliates |

  18. 各Oracle Cloud Serviceに暗号機能強化オプションとして提供 18 Copyright © 2021, Oracle and/or its

    affiliates |
  19. OCI CLI コマンド例 暗号化 oci kms crypto encrypt --key-id マスター暗号キーOCID

    --plaintext 平文データ --endpoint 暗号エンドポイント --encryption-algorithm 暗号アルゴリズム(AES_256_GCM, RSA_OAEP_SHA_1, RSA_OAEP_SHA_256) 復号 oci kms crypto decrypt –-key-id マスター暗号キーOCID –-ciphertext 暗号データ –-endpoint 暗号エンドポイント --encryption-algorithm 暗号アルゴリズム(AES_256_GCM, RSA_OAEP_SHA_1, RSA_OAEP_SHA_256) データ暗号キー生成 (AESのみ) oci kms crypto generate-data-encryption-key –-key-id マスター暗号キーOCID --include-plaintext-key (true/false) --endpoint Vaultの暗号エンドポイント --key-shape 暗号アルゴリズム キーのインポート oci kms management key import --wrapped-import-key インポートキー --compartment-id コンパートメントOCID --display-name キー名 --endpoint 暗号エンドポイント --key-shape キーの暗号アルゴリズム 19 Copyright © 2021, Oracle and/or its affiliates |
  20. OCI CLI コマンド例 20 デジタル署名 oci kms crypto signed-data sign

    --key-id 暗号鍵OCID --message メッセージダイジェスト --signing-algorithm 署名アルゴリズム --endpoint 暗号エンドポイント デジタル署名検証 oci kms crypto verified-data verify --key-id 暗号鍵OCID --message メッセージダイジェスト --signing-algorithm 署名アルゴリズム --endpoint 暗号エンドポイント –signature デジタル署名(デジタル署名時に生成される) --key-version-id 暗号鍵OCID (デジタル署名時に生成される) Copyright © 2021, Oracle and/or its affiliates |
  21. Oracle Cloudだけでなく暗号鍵ソリューションとしてVaultを利用 データ暗号鍵の作成~使用~監視 21 • データ暗号鍵の作成 oci kms crypto generate-data-encryption-key

    --key-id マスター暗号鍵ID --include-plaintext-key true --endpoint Vaultの暗号エンド ポイント --key-shape 暗号アルゴリズム(2020/12時点ではAESのみ) • AES 256bit データ暗号鍵の作成 oci kms crypto generate-data-encryption-key ¥ --key-id ocid1.key.oc1.iad.bbpadvkaaacuu.abuwcljts3naex25mzgigkabghvlf45paa65hssuibn7p67zlzfhtui5lxxx ¥ --include-plaintext-key false ¥ --endpoint https://bbpadvkaaacuu-crypto.kms.us-ashburn-1.oraclecloud.com ¥ --key-shape "{¥"algorithm¥": ¥"AES¥", ¥"length¥": 32}" 実行結果 "data": { “ciphertext”: “IUjJ6Oknos1iAN6wCOkAux8JrO4SiWWI8++VGV6ugAAAAA=xxxxxxxxxx”, -->データ暗号鍵(マスタ暗号鍵で暗号済み) “plaintext”: “UL9uLGEjfEaxPbiQHCCf8i5O5+4//uXsRKz9vrrm2xxx ”, --> データ暗号鍵(平文) ※暗号処理で使用し、使用後に破棄 "plaintext-checksum": "599189376" } Copyright © 2021, Oracle and/or its affiliates |
  22. Oracle Cloudだけでなく暗号鍵ソリューションとしてVaultを利用 データ暗号鍵の作成~使用~監視 22 • OpenSSLで作成したファイルを暗号化する場合 暗号化にはデータ暗号鍵(平文)を使用する openssl aes-256-cbc -e

    -in test.txt -out enctest.txt -pass pass: UL9uLGEjfEaxPbiQHCCf8i5O5+4//uXsRKz9vrrm2xxx 暗号化した後は、暗号化ファイルとデータ暗号鍵(マスタ暗号鍵で暗号済み)の両方を保存しておく。データ暗号鍵(平文)は保存しない • OpenSSLで作成したファイルを復号する場合 復号には、データ暗号鍵(マスタ暗号鍵で暗号済み) をデータ暗号鍵(平文)に戻す必要がある。そのために、Vaultのマスター暗号キーを 使って復号する oci kms crypto decrypt --key-id マスター暗号鍵ID -- ciphertext データ暗号鍵 --endpoint Vaultの暗号エンドポイント oci kms crypto decrypt ¥ --key-id ocid1.key.oc1.iad.bbpadvkaaacuu.abuwcljts3naex25mzgigkabghvlf45paa65hssuibn7p67zlzfhtui5lqta ¥ --ciphertext " IUjJ6Oknos1iAN6wCOkAux8JrO4SiWWI8++VGV6ugAAAAA=xxxxxxxxxx " ¥ --endpoint https://bbpadvkaaacuu-crypto.kms.us-ashburn-1.oraclecloud.com • OpenSSLで暗号化ファイルを復号する openssl aes-256-cbc -d -in enctest.txt -out dectest.txt -pass pass:UL9uLGEjfEaxPbiQHCCf8i5O5+4//uXsRKz9vrrm2xxx Copyright © 2021, Oracle and/or its affiliates |
  23. シークレットとは? 23 • シークレットとは、ユーザー名やパスワード、APIに アクセスするためのAPIキー、証明書、SSHキーといった 各リソースにアクセスするための機密情報 • 多くのサービス = 多くの認証情報

    = 多くのシークレット • 人は安全ではないショートカットの手段をとりがち • ソースコードや設定ファイル、コンテナイメージ等に 認証情報をハードコーディング • 認証情報をパスワードやSlack等で共有 シークレットの管理は、最も手軽で効果的な セキュリティ対策 Copyright © 2021, Oracle and/or its affiliates |
  24. OCI Vaultのシークレット管理 セキュア • シークレットはHSMで管理さ れたセキュアなデータベース に暗号化され格納 • TLS通信の強制 •

    IAMによる粒度の細かい アクセスコントール • OCI Monitoringによる ログの集約とモニタリング 自動化 • スケーラブル • 自動化のプログラムために CLI , SDK, Terafformを提供 • バージョン管理の自動化 手軽さ • 一元化されたロケーションと 管理APIの提供 • どこにシークレットを 保存しているか覚える必要は ない • 25KBまでのデータを格納 • 無償 24 Copyright © 2021, Oracle and/or its affiliates |
  25. アプリケーションでのシークレット利用例 Application Secrets Database 1. Secret OCIDからシークレットを取得 2. データベースの認証情報 3.

    取得した認証情報を使って接続し、クエリー実行 4. クエリーの結果 • アプリケーションは、OCI Vaultに アクセスし、シークレットID(Secret OCID)からシークレットを取得 • シークレット(例えば、ユーザ名・パス ワード・接続文字列等)を使い、データ ベースにアクセスする • いつ・だれが・どこからシークレットに アクセスしたかは、OCI Monitoringで モニタリング可能 • DBのパスワードを変更する場合、シーク レットの値も変更が必要 (シェルスクリ プト、Functions、SDK等で自動化可) 25 Copyright © 2021, Oracle and/or its affiliates | 25
  26. OCI CLI コマンド例 26 シークレット作成 oci vault secret create-base64 --compartment-id

    コンパートメントID --secret-name シークレット名 --vault-id ボー ルトID --key-id キーID --secret-content-content シークレット値 シークレット値の取得 oci secrets secret-bundle get --secret-id シークレットID --query 'data."secret-bundle-content".content' --raw-output シークレット更新 (新規バージョン作成) oci vault secret update-base64 --secret-id シークレットID --secret-content-contentシークレット値 シークレット削除 oci vault secret schedule-secret-deletion --secret-id シークレットID ※シークレット値は、Base64エンコードを事前にしておくことが必要 Copyright © 2021, Oracle and/or its affiliates |
  27. ユース・ケース 27 暗号鍵 シークレット • コンプライアンス要件上、データ暗号化の暗号鍵 の管理をサービスベンダーでなく、ユーザー自身 で管理することが必須、または推奨されている • コンプライアンス要件上、定期的な暗号鍵の変更

    が求められている • コンプライアンス要件上、暗号鍵はHSMに格納 することを推奨事項として明記されている • HSMの利用の場合、FIPS140-2 Level3準拠するこ とが金融や公共・ヘルスケアといったシステムで はデファクトスタンダートとして求められる • データの暗号化やデジタル署名のクラウド基盤 • バッチやアプリケーション内でデータベースの ユーザー名・パスワード、接続文字列といった 接続情報を直接ハードコーディングすることを 禁止したい • クラウドリソースのユーザー名やパスワード、 SSHキーなどをメールやチャットツールなどで 気軽に共有してしまう運用を辞めたい • Terraformやコンテナ等のインフラの自動化管理 ジョブの中にできる限り機微な情報を含めたくない • だれが、いつ、どこからシークレットにアクセスし たのか、特定するための監視手段が必要 • シークレットの有効期限を設定したい Copyright © 2021, Oracle and/or its affiliates |
  28. 価格 28 暗号鍵 シークレット Dafult Vault ・デフォルト ・共有パーティションとして提供 ・最大10Vaultまで作成可能 ・1Vaultあたり最大AES

    1000キー, RSA 500キー ・基本無料だが、キーのローテーションが20回を超える と課金 1rotationあたり (¥64) Virtual Private Vault ・HSM内にユーザー専用のパーティションを提供し、 仮想HSMと同等の分離レベルを提供 ・最大数はリクエスト可能 ・1 Vaultあたり: (¥447/hour) ※ソフトウェア保護キーはすべて無料 無料 ・5,000 シークレット ・1シークレット 最大50バージョン ・1シークレット 最大25KB ・100000 Write APIコール/月 ・無制限 Read APIコール/月 Copyright © 2021, Oracle and/or its affiliates |
  29. OCI Vaultに暗号化キーをインポートする https://qiita.com/western24/items/06271c09a17e566661e8 OCI Vaultで電子署名を行う https://qiita.com/western24/items/0680e151c5ccce68111a Tips [Date] Copyright ©

    2021, Oracle and/or its affiliates | 29
  30. Appendix - マスタ暗号キーのインポート手順 30 Copyright © 2021, Oracle and/or its

    affiliates |
  31. 31 マスタ暗号キーのインポート手順 Copyright © 2021, Oracle and/or its affiliates |

  32. 32 マスタ暗号キーのインポート手順 公開ラッピング・キーを コピーする Copyright © 2021, Oracle and/or its

    affiliates |
  33. 33 マスタ暗号キーのインポート手順 Copyした公開ラッピング・キーを貼り付けて、パブリック・キーを作成する ※ファイルに貼り付けする際改行が入らないように注 意 $ vi public.pem -----BEGIN PUBLIC

    KEY----- MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAtGtYW61HvGLGZDBY0tEHs/5AuRYAV5Vdwm0U4T1ly5tAqZ8h2y/T85nibk/7jov GMx/kbVGxP82uD99H8oPVgHVD664TEG0MhRspa3GlAoTna6E2mvYcbqpKr9wwPfNEjl4kGS31IrcTYiTt9152ow+NtaVnaaFxOO+ysEBf2jY yhF630cSA0+8LNUdL4STX7/x47h/sK9n4koaTIBn0BP567gQru3rn+ggF4o9X8jpfnuioKWaExRKbn5MioxEsfX0PocNVZPp3L370da+wJV1I QF1BPjDgnQ8IyartbRWuiH+W4l1CWnMUMybH6vg8H/1Vi55KNb/q6zO4OTKcvf/yFJDJPGZWC/9yDX1OCSF3M1Umj2YYr2/zg+17zyoMU/K 2O+5YgNLIyyHceoOcVtKivBVhkdVoql7WIE3ufOFWVM1l3F+n5f3nANuSonQNkEj45x8eP6Z3+T7ZHio3VFvODIGuNl/T2hMdOWfpF+PJVGk 16JI0js1XP1R+KbJTzAWvJpiiyZHPPEpT9pdVw7A52SUgohPhiGlp7kCPCGMcPtzQyjWf0GbtDVNoY+3HW5iKtoLGd042sqfys2T+XCtLlcnpxu jy+7ymKssRbmPQ9mRGmN404Hkhzb26hmMSxlFPTjywPSrE/GDj+E5ETc5YOq69bAsxDRjHvZmJm50CAwEAAQ== -----END PUBLIC KEY----- 暗号鍵を作成 (256bit) $ openssl rand 32 > aes_key.bin 作成した暗号鍵をパブリック・キーでラッピングする > wrappedkey.bin (BYOK用の暗号鍵)が作成される $ openssl pkeyutl -encrypt -in "aes_key.bin" -inkey "public.pem" -pubin -out "wrappedkey.bin" -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 Copyright © 2021, Oracle and/or its affiliates |
  34. 34 マスタ暗号キーのインポート手順 キーのシェイプは256ビット wrappedkey.binを選択して インポートする Copyright © 2021, Oracle and/or

    its affiliates |
  35. 35 マスタ暗号キーのインポート手順 Copyright © 2021, Oracle and/or its affiliates |

  36. 36 インポートしたマスタ暗号キーにアクセスポリシーを設定 各サービスにKMSキーを利用する権限を付与する例 Allow service blockstorage, objectstorage-<region_name>, FssOc1Prod to use

    keys in compartment ABC where target.key.id = '<key_OCID>' Copyright © 2021, Oracle and/or its affiliates |
  37. 37 インポートしたマスタ暗号キーの使用例 オブジェクトストレージ作成時に “顧客管理キーを使用した暗号化”を選択 Copyright © 2021, Oracle and/or its

    affiliates |
  38. OCI CLIでのAESキーのインポート手順 38 Copyright © 2021, Oracle and/or its affiliates

    | ①AESキーの作成 $ openssl rand 32 >aeskey ②Vaultのラッピングキーをコピーしwrapping_key というファイルで保存 -----BEGIN PUBLIC KEY----- MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAmyk6DG5MUHl+tyZEq77EpWh37ViUkDCTCV4SHG762Bzu27bX9EodiMAs3gK8 WXQMEDoTdJf0se8vqChxH28xZYLSJ3MrTal1X/NmEkzJEk8cVpadoR7wyL5CvweP39URnQesX1tS8gBPlOf3eZ1X2qrSEs7CgIS3/jiYtjqefJrb SGzN6JgzB2AAjC6WyL3x0LnE/Vr9GJKYvRxs/qpGcksOn7mcq4R7qQK7+QV46KYOfvaoVcp3nLJfJpGQo/dIbGvUfUZC/AljCQh67G/fWsR 89RMslNdNWlI9Wc8mmyDBYbCNkA/pf/XIeCuBZuZC3KTiHBIsWibV2tZZqRArGW3iDnZaumTE9BTBCfdSWLCvZHqyhvX6GFsouAlFtsxhj d7Grdz9/RNahMeJWAlNWqSdKcjdYp4gd40HEZdqQJqDH7Ys397v0nvCAtEMJEnNEanRnU8ijAR2S8dHwySV0EKkEbv7wjEgQmyo46SHM 7TmMw50bnfqgH21Z1d6MoBrAxJf7jcLzipsu85w0qbCivgEWIiQt9so7vVg3xk7XYbNWJNu0vMfM8WnwaCHbwApfACEaPTn1ixjD1Df4fp+9 VL1w5cW1kmcKgzEHKGSwVFQbjSSEzAcGeQGK+zAhyzLa6Fh+yPKMlGJjPIfsu8te8ejeiQySCRKtcXIiij+OjcCAwEAAQ== -----END PUBLIC KEY----- ③AESキーをラッピングキーで暗号化 openssl pkeyutl -encrypt -in aeskey -inkey wrapping_key -pubin -out rapped_aeskey -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256
  39. OCI CLIでのAESキーのインポート手順 39 Copyright © 2021, Oracle and/or its affiliates

    | [Date] ④ラッピング(暗号化)されたキーをBase64でエンコード base64 ./rapped_aeskey ⑤インポートのためにwrapped_import_key.jsonという名前でJsonファイルを作成する { “wrappingAlgorithm”: “RSA_OAEP_SHA256”, “keyMaterial”: “Base64でエンコードしたランピングキーをここに貼り付ける" } { "wrappingAlgorithm": "RSA_OAEP_SHA256", "keyMaterial": "VJgJc6I3vVOi2eMh3thbCpDkjqTUUM1erxJvRkIdhUZZKUvBa1cavuJ418EaLXhq1TQ70S9NfrRRqZ4RjE3btQ29sPL8z6lV7y+fmdvs0PDh17e AaKjFm/QkW0ioTnWg+mVLShGfDth80TjilVNnNzHwOU16Rz2/+CYIPEiGZsk8nIl7mtqzUOBKLu1K/SGqgdDH+/O2BIzO3MuV6F5Rf1aUyQ u6xY5xLiitTu/SPZSFCYMB+9bD/wGFALCiaw12TXS4lrFxGQBQiF7Wg2Px4WZhxlvXdPdZVBaNJUuH2VlYsY/Fms/HobgxJjio1iO2Su9/ErRkt c+lVpqzEWRFh2lJEeqf1WEajtNjOk2agC68cbnGytX8qnvkwETVbtvvBfv/fxt9w9dR1aLysva8Bx40XnlEg+T50xUPFwOt/9mkTNf2xgIvwqiQ6 FPOdJCTrbNgKGUSOfKW72huf81WspiCd1/uBXKg7ZDqB9kY7k8055CHy4tTnvZIJ4QI+BBuKRTB/7lIqhsh1H+6PnnzbGPL/c2ORhyWEi95v 6ZKX95pFTo0CjnNSj1/emVrXuHmdn7KBo1BPNP7Xq7/BjOciWjLdlVmNLcb/lN5qveaOtoYo6tkHTV0hltSxDU49YdgNASEoKq8zvaz60f04 wfvA0b5BXN4UZCa7qc0k7Ns6Xc=" } ⑥暗号アルゴリズムを指定するkey_shape.jsonファイルを作成 {"algorithm": "AES", "length": 32} ⑦インポートの実行 oci kms management key import --wrapped-import-key file://./wrapped_import_key.json --compartment-id ocid1.compartment.oc1..aaaaaaaa6it5wsxbeoyxpbxmq5aupsag7jo4mxsot7hhuxvjp5uqnvuxgf4a --display-name AEStestKey3 --endpoint https://bfqcupa5aaeuk-management.kms.us-ashburn-1.oraclecloud.com --key-shape file://./key_shape.json
  40. None
  41. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.