暗号化キーをローテートする

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • インスタンスから暗号化キーのローテーションを実行します。新しいキーを追加し、デフォルトキーの割り当てを変更してから、一括キーローテーションまたは単一キーローテーションをスケジュールします。

    暗号化キーをデフォルトキーとして設定する前に、各プロキシでキーを使用できるようにします。これにより、キーがデフォルトキーとして割り当てられるときに、プロキシでデータを暗号化するためのキーが確保されます。すべてのプロキシは、キーがデフォルトキーとして割り当てられる前に、そのキーにアクセスできる必要があります。

    警告:
    プロキシからキーを削除する場合は、事前に一括キーローテーションジョブをセットアップして実行し、インスタンスでキーを使用しているデータが存在しないようにしてください。そのキーを使用して暗号化されている情報がまだある場合は、キーを削除した後で情報を復号化することはできません。

    Edge のフィルタリングとソートの動作

    デフォルトキーを変更した場合は、必ずキーローテーション (一括または単一のいずれかのローテーション) を実行してください。そうでない場合、レコードをソートおよびフィルタリングしたときに予期しない結果が生じることがあります。たとえば次のシナリオを考えます。
    1. 1 つの暗号化キーを使用して暗号化レコードを作成します。
    2. 新しいキーを作成し、これをデフォルトとして設定します。
    3. 新しい暗号化キーを使用して新しい暗号化レコードセットを作成します。
    Edge プロキシ経由で接続されているときに任意の暗号化フィールドでフィルタリングする場合、すべてのレコードを適切にフィルタリングで除外できなかったり、レコードが予期せず表示されたりする可能性があります。フィルターは、現在のデフォルトキーを使用して暗号化されたレコードに対してのみ機能します。前のデフォルトキーを使用して暗号化されたレコードは、引き続きリストビューに表示されます。

    Edge プロキシ経由で接続されているときに任意の暗号化フィールドでソートする場合、人間が判読可能な同一のテキストが含まれる 2 つのレコードグループが暗号化フィールドに表示されます。

    単一のキー ローテーション ジョブをスケジュールする

    指定したキー エイリアスを使用して暗号化されたデータを検索し、現在のデフォルトの暗号化キーでデータを再暗号化するジョブをスケジュールします。データは復号化されてから、デフォルトキーで再暗号化されます。

    始める前に

    必要なロール:security_admin

    このジョブをスケジュールする前に、次のデフォルトキーを更新してください エッジ暗号化の設定 > 暗号化キーの設定 > デフォルトキーを設定.

    手順

    1. 移動先 エッジ暗号化の設定 > メンテナンス > 単一のキーローテーションをスケジュール.
    2. 必要に応じて、フォームのフィールドに入力します。
      フィールド
      名前 内容を端的に表す名前を入力します。
      ジョブ タイプ [単一のキー ローテーション] を選択します。
      キー 廃止するキーを入力します。このキーがのデフォルトキーではなくなったことを確認します エッジ暗号化の設定 > 暗号化キーの設定 > デフォルトキーを設定.
      推定レコード数 処理するレコードの推定合計数。単一のキー ローテーションを実行しているときは使用できません。
      履歴レコードを処理する

      フィールドが監査されている場合は、監査テーブルの履歴レコードを処理するように選択します。監査テーブルのフィールドの履歴レコードを暗号化する場合、新しい値と古い値の両方が暗号化されます。 このフィールドは読み取り専用で有効です。

      監査フィールドの詳細については、「監査」を参照してください。
      推定最大監査レコード数 処理する監査対象レコードの推定最大数。単一のキー ローテーションを実行しているときは使用できません。
      有効 このジョブを非アクティブ化する場合は、このチェックボックスをオフにします。
      実行 ジョブの実行間隔を選択します。
      開始中 ジョブを初めて実行する日時を入力します。
    3. フォーム ヘッダーのメニュー アイコンをクリックし、[保存] を選択します。
      監査対象フィールドを処理するときは [推定レコード数] はサポートされません。

    一括キー ローテーション ジョブをスケジュールする

    以前のキーで暗号化されたデータを検索し、現在のデフォルトの暗号化キーでデータを再暗号化するジョブをスケジュールします。データは復号化されてから、現在のデフォルトキーで再暗号化されます。

    始める前に

    必要なロール:security_admin

    手順

    1. 移動先 すべて > エッジ暗号化の設定 > メンテナンス > 一括キーローテーションをスケジュール.
    2. 必要に応じて、フォームのフィールドに入力します。
      フィールド
      名前 内容を端的に表す名前を入力します。
      ジョブ タイプ [一括キー ローテーション] を選択します。
      推定レコード数 処理するレコードの推定合計数。一括キー ローテーションを実行しているときは使用できません。
      履歴レコードを処理する

      フィールドが監査されている場合は、監査テーブルの履歴レコードを処理するように選択します。監査テーブルのフィールドの履歴レコードを暗号化する場合、新しい値と古い値の両方が暗号化されます。 このフィールドは読み取り専用で有効です。

      監査フィールドの詳細については、「監査」を参照してください。
      推定最大監査レコード数 処理する監査対象レコードの推定最大数。一括キー ローテーションを実行しているときは使用できません。
      有効 このジョブを非アクティブ化する場合は、このチェックボックスをオフにします。
      実行 ジョブの実行間隔を選択します。
      開始中 ジョブを初めて実行する日時を入力します。
    3. フォーム ヘッダーのメニュー アイコンをクリックし、[保存] を選択します。
      監査対象フィールドを処理するときは [推定レコード数] はサポートされません。

    添付ファイルのキー ローテーション ジョブをスケジュールする

    指定したキー エイリアスを使用して暗号化された添付ファイルを検索し、現在のデフォルトの暗号化キーで添付ファイルを再暗号化するジョブをスケジュールします。添付ファイルは復号化されてから、デフォルトキーで再暗号化されます。

    始める前に

    必要なロール:security_admin

    手順

    1. 移動先 すべて > エッジ暗号化の設定 > メンテナンス > 添付ファイルのキーローテーションをスケジュール.
    2. 必要に応じて、フォームのフィールドに入力します。
      フィールド
      名前 内容を端的に表す名前を入力します。
      ジョブ タイプ [添付ファイルのキー ローテーション] を選択します。
      有効 このジョブを非アクティブ化する場合は、このチェックマークをオフにします。
      テーブル テーブルを選択します。
      実行 ジョブの実行間隔を選択します。
      開始中 ジョブを初めて実行する日時を入力します。
    3. フォーム ヘッダーのメニュー アイコンをクリックし、[保存] を選択します。
    4. 更新するレコードの推定数を確認するには、[推定レコード数] をクリックします。
    5. ジョブを直ちに実行するには、[今すぐ実行] をクリックします。