キー管理フレームワークの鍵交換
KMF Key Exchange は KMF Resource Exchange のサブセット関数です。Key Exchange は複数のインスタンス間で暗号化されたデータを安全に転送します。
Key Exchange の概要
Key Exchange はインスタンス間でキーを安全に転送します。
KMF Key Exchange は、顧客がインスタンス間で KMF キーを交換するための安全な方法を提供します。アプリケーションのユースケースの 1 つにデータクローンプロセスがあります。Key Exchangeを使用すると、KMF コンポーネントのデータクローン中に暗号化モジュールキーがコピーされます。暗号化モジュール、モジュールキー仕様、およびモジュールアクセスポリシーは、クローンプロセスに含まれます。キーの転送は含まれていません。
Key Exchange の使用
Column Level Encryption に KMF を使用する管理者は、データのクローンを実行するときにKey Exchangeを使用して本番インスタンス間でキーをクローンできます。データのクローン作成では、管理者/ KMF 暗号化マネージャーは次の操作を実行できます。
- すべてのキーを他のインスタンスに交換する。
- 特定のキーを 1 回または定期的に他のインスタンスと交換する。
- ターゲットインスタンスからキーソースインスタンスにオンデマンド要求を送信します。
- 暗号テキストをリキーするためにソースからターゲットにキーを交換する。
- 要求の有効期限を管理し、要求が期限切れになった場合は、キーを削除するか、鍵交換要求を却下します。
- 要求が完了してキーがインポートされると、使用したキーは期限切れになり、タイムスタンプが付与されます。
- ソースのキーで暗号化されたターゲットインスタンスで暗号テキストをリキーします。
サポートされているモード
Key Exchangeは、暗号化モジュールの暗号化仕様レベルでいくつかのモードをサポートしています。
| モード | 説明 |
|---|---|
| 自動 (設定なし、デフォルトの動作) | すべてのキーは、追加の設定なしに、データクローンプロセス中に自動的に送信されます。 |
| 設定可能 (1 回限りの設定セットアップ) | 管理者は、データクローンプロセス中に送信されるキーを設定します。 |
| 手動 (ループ内のユーザー) | 管理者は、ターゲットインスタンスのオンデマンド要求をソースに送信します。キーソースインスタンスで管理者が要求を承認する必要があります。 |
| リキー (自動要求) | 管理者は、クローンセットアッププロセス中にリキーのオプションを選択します。 |