※ 本記事は、Max Verunによる”Announcing customer-managed keys for cross region volume replication and policy-based backup“を翻訳したものです。

2024年11月22日

Oracle Cloud Infrastructure (OCI) Block Volumeサービスでは、リージョン間のボリューム・レプリケーションおよびリージョン間のポリシーベースの自動バックアップ・コピーについて、顧客管理キーがサポートされるようになりました。この機能により、リージョン間のブロック・ボリューム操作に独自のキーを使用することに関連する、規制コンプライアンスおよび内部セキュリティ要件を満たすことができます。

以前は、ボリュームの非同期レプリケーションと、リージョン間のポリシーベースの自動バックアップを、次の例を含む様々なユース・ケースで提供していました:

  • ワークロードとデータの移行
  • 複数のリージョンへのワークロード拡張
  • 災害復旧とビジネス継続性
  • OCI Block Volumeが提供する組み込みの自動化により、運用エラーを削減します。

これまで、これらのクロス・リージョン機能では、Oracle管理キーでのみ暗号化されるボリュームおよびバックアップがサポートされていました。現在では、顧客管理キーもサポートされるようになりました。すべてのキーは引き続きOCI Vaultで安全に保持および管理されます。

デフォルトでは、OCIのボリュームとそのバックアップは、暗号化を無効にする方法なく常に暗号化されます。キーで暗号化されたボリュームの場合、リージョン間でそれらのボリュームとそのポリシーベースのスケジュール済バックアップのレプリケーションを有効にできるようになりました。顧客管理キーは次のいずれかです:

  • 宛先リージョンに存在するレプリケートされたキー
  • 所有し、ソース・リージョンのキーとは異なるターゲット・リージョン内のキー

この機能は、API、ソフトウェア開発者キット(SDK)、コンソール、Terraformなど、すべてのインタフェースを介してすべてのOCIリージョンで使用できます。Vaultサービスでのキーおよびクロス・リージョン操作サポートを使用してブロック・ボリュームを保護する方法の詳細は、テクニカル・ドキュメントを参照してください。

顧客管理キーを使用したクロス・リージョン・レプリケーションの有効化および管理

クロス・リージョン非同期ボリューム・レプリケーションで顧客管理キーを使用するには、Oracle Cloudコンソールの「Edit Volume」ページでの選択のみが必要です。

  1. Cross region replication」で、「On」を選択して非同期クロス・リージョン・レプリケーションを有効にします。
  2. ボリュームのレプリケート先となる宛先リージョンおよび可用性ドメインを選択します。
  3. 宛先リージョンおよび可用性ドメインでレプリカに名前を付けます。
  4. レプリケーションによるストレージおよびネットワークのコストへの影響を確認します。
  5. Encrypt using customer managed keys」を選択します。
  6. 宛先リージョンに暗号化キーのOCIDを入力します。
  7. Save changes」を選択すると、設定がただちに有効になります。
Configuring cross region replication of a volume
ボリュームのリージョン間レプリケーション構成

クロス・リージョン非同期ボリューム・グループ・レプリケーションでの顧客管理キーの使用は、Oracle Cloudコンソールでも簡単です。エンタープライズ・アプリケーションでは通常、複数のコンピュート・インスタンスにわたって複数のボリュームが機能する必要があります。コンピュート・インスタンスのシステム・ディスク、Web層のブロック・ボリューム、アプリケーション層およびデータベース層に電力を供給するブート・ボリューム。ボリューム・グループを使用すると、OCI Block Volumeがバックアップするシステム・ブート・ディスクなどの複数のブロック・ストレージ・ボリュームとブート・ボリュームをグループ化し、クラッシュ・コンシステントなポイントインタイムの調整バックアップおよびクローンをグループ内のすべてのボリュームにわたって実行できます。これで、リージョン間でボリューム・グループをレプリケートするために独自のキーを使用できるようになりました。

顧客管理キーを使用して、リージョン間のポリシーベースのスケジュール済バックアップ・コピーを有効化および管理

顧客管理キーを使用して暗号化されたボリュームのリージョン間でポリシーベースのスケジュール済バックアップ・コピーを有効にするには、Oracle Cloudコンソールの「Edit Volume」ページで次のステップが必要です:

  1. Backup Policies」で、メニューでバックアップ・ポリシーを選択します。バックアップ・ポリシーが、サブスクライブしたリージョンの別のリージョンへのクロス・リージョン・コピー用にすでに構成されている必要があります。
  2. ポリシーベースのスケジュール済バックアップ・コピーからのストレージおよびネットワーク・コストの影響を確認します。
  3. Encrypt using customer managed keys」を選択します。
  4. 宛先リージョンにコピーするバックアップのキーOCIDを宛先リージョンに入力します。
  5. Save changes」を選択すると、設定がただちに有効になります。
Configuring cross region backup for a volume
ボリュームのリージョン間バックアップ構成

また、ポリシーベースのスケジュール済バックアップ・コピーをボリューム・グループのリージョン間で有効化し、顧客管理キーを使用して暗号化することもできます。これは、Oracle Cloudコンソールの「Edit Volume Group」ページでも同様です。

Oracleのカスタマー・サクセス・ディレクター兼クラウド・アーキテクトであるHeinz Mielimonkaは、ブログ投稿「OCIは、データ保護の最適化を支援」でより多くのインサイトとガイダンスを提供します。彼は、CIA triad(機密性、整合性、可用性)を使用して、OCIがデータの情報セキュリティ属性、最も重要な資産を確保する方法を説明します。

試してみましょう

これらの新機能と、Oracle Cloud Infrastructureが提供するエンタープライズ・グレードのすべての機能を体験していただきたいと思います。Oracle Cloud Free Tierで簡単に試すことができます。詳細は、次のリソースを参照してください: