※ 本記事は、Julien TESTUTによる”Managing and Using Master Key Wallets in OCI GoldenGate“を翻訳したものです。

2024年1月25日

GoldenGateを使用すると、ユーザーはOCI Vaultなどのキー管理サービス(KMS)またはGoldenGateデプロイメントに格納されているローカル・マスター・キー・ウォレットを使用して証跡ファイルを暗号化できます。前の記事「OCI GoldenGateでのプロファイルの使用」で、Key Management ServiceをOCI GoldenGateとともに使用する方法について説明したので、このブログでローカル・マスター・キー・ウォレットの管理と使用に焦点を当てます。

マスター・キー・ウォレットの作成と使用

OCI GoldenGateデプロイメント・コンソールを起動し、「Administration Service」→「Configuration」→「Key Management」に移動します。

「Master Key」の横にある「Add new version of Master Key」(+アイコン)をクリックします。
Master key wallet creation in GoldenGate Console 
新しいマスター・キーがリストに表示され、ExtractおよびReplicatで使用できます。
New Master Key in GoldenGate Console
証跡データを暗号化するには、Extractの作成中に暗号化プロファイルをLocalWalletに設定します。これがデフォルト値です。
Encryption Profile in GoldenGate Console
次に、Extractパラメータ・ファイルにENCRYPTTRAIL {AES128 | AES192 | AES256}を追加します。詳細は、「パラメータ・ファイルの暗号化パラメータの指定」を参照してください。
EXTRACT E_ATP
USERIDALIAS ATP_Source DOMAIN OracleGoldenGate
ENCRYPTTRAIL AES192
EXTTRAIL E1
TABLE SRC_OCIGGLL.*;

クラウド・シェルのLogdumpを使用して証跡が正しく暗号化されていることを確認し、デプロイメント・バックアップから証跡を開くことができます。正しいマスター・キーがない場合は、次に示すように証跡を復号化できません。
Logdump in Cloud Shell

ターゲットReplicatは、デプロイメントが正しいマスター・キー・ウォレットにアクセスできる場合にのみ、暗号化された証跡を処理できます。そうでない場合、「/u02/Deployment/var/lib/wallet/の場所にあるウォレットからマスター暗号化キーOGG_DEFAULT_MASTERKEYを取得中にエラーが発生しました」というエラー・メッセージが表示されます。

マスター・キー・ウォレット操作ページを使用したマスター・キーの管理

マスター・キー・ウォレット操作ページを使用して、OCI GoldenGateとGoldenGateのオンプレミス・デプロイメント間でマスター・キーをインポートおよびエクスポートできます。
Master key wallet operations page in OCI Console 
OCI GoldenGateデプロイメントにマスター・キーが作成されたら、「Export」ボタンを使用してエクスポートできます。既存のVault暗号化キー、および最低限必要なポリシーを設定する必要があります。
Export master key wallet using OCI Console 
マスター・キーがOCI Vaultのシークレットにエクスポートされます。インポート機能を使用して、別のOCI GoldenGateデプロイメントにインポートできます。
Import master key wallet using OCI Console 
「Import」をクリックし、「Secret」を選択して「Import」をクリックします。

「Work requests」ページで、マスター・キー・ウォレットのインポート操作およびエクスポート操作を実行できます。
Master key wallet operation in Work requests page 
Walletインポート操作が完了したら、OCI GoldenGateコンソールに戻り、「Administration Service」→「Configuration」→「Key Management」に正しいマスター・キーが表示されていることを確認します。

OCI GoldenGateとGoldenGateオンプレミス間のマスター・キーのエクスポートおよびインポート

オンプレミスでGoldenGateを現在使用している場合は、OCI GoldenGateで作成されたマスター・キーをインポートするか、その逆を実行します。
オンプレミスのGoldenGateからマスター・キーをインポートするには、次を実行する必要があります:

  • cwallet.ssoファイルを/u02/deployments/Marketplace/var/lib/wallet/から別のディレクトリにコピー
  • 次のコマンドでssoファイルをエンコード: base64 -w 0 cwallet.sso
    • コマンドの出力をクリップボードにコピー
  • OCIコンソールで、OCI Vaultに移動し、以前に作成した暗号化キーを使用して新しいシークレットを作成し、シークレット・コンテンツとしてbase64コマンドからの出力を入力します。シークレット・タイプ・テンプレートをプレーン・テキストに設定
  • 最後に、OCI GoldenGateデプロイメントに移動し、マスター・キー・ウォレット操作をクリックし、新しく作成されたシークレットを使用してWalletをインポート

マスター・キーをオンプレミスのGoldenGateにエクスポートするには、次を実行する必要があります:

  • OCI Vaultのシークレットへのマスター・キー・ウォレットのエクスポート
  • OCI Vaultに移動し、新しく作成したシークレットをクリック
  • 「View Secret Contents」をクリックし、「Show decoded Base64 digit」を有効に
    • コンテンツをクリップボードにコピー
  • GoldenGateオンプレミス・デプロイメントをホストしているマシンに接続し、新しいファイル(secretfile)を作成し、シークレット・コンテンツをそのファイルにコピー
  • 次のコマンドを実行: base64 -d secretfile > cwallet.sso  
  • 最後に、cwallet.ssoを/u02/deployments/Marketplace/var/lib/wallet/にコピー

まとめ

この技術的な記事では、GoldenGateがマスター・キー・ウォレットを使用して証跡に含まれるデータを暗号化する方法について説明しています。OCI GoldenGateは、マスター・キー・ウォレット操作ページへのアクセスを提供し、ユーザーはOCI GoldenGateとGoldenGateのオンプレミス・デプロイメント間でマスター・キー・ウォレットをエクスポートおよびインポートできます。