メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

HSM 接続、HSM での Oracle キー、および TDE キーの検証

すべてのセットアップステップが完了したら、HSM が TDE キーストレージに対し適切に機能しているかどうかを検証します。sqlplus がインストールされている場合は、クライアントコンピュータ上または Amazon EC2 コントロールインスタンスの sqlplus などの SQL ユーティリティを使用して Oracle DB インスタンスに接続します。Oracle DB インスタンスに接続する方法については、「Oracle データベースエンジンを実行する DB インスタンスに接続するを参照してください。

注記

次のステップに進む前に、Oracle インスタンス用に作成したオプショングループで in-sync のステータスが返されることを確認します。これは、DB インスタンス識別子を describe-db-instances コマンドに渡すことで検証できます。

HSM 接続の検証

Oracle DB インスタンスと HSM 間の接続は検証することができます。Oracle DB インスタンスに接続し、次のコマンドを使用します。

Copy
$ select * from v$encryption_wallet;

HSM 接続が機能している場合は、コマンドは OPEN のステータスを返します。コマンドの出力は、次の例のようになります。

Copy
WRL_TYPE -------------------- WRL_PARAMETER ------------------- STATUS ------------------ HSM OPEN 1 row selected.

HSM での Oracle キーの検証

Amazon RDS が起動し、Oracle が実行されると、Oracle は HSM で 2 つのマスターキーを作成します。次のステップに従って、HSM にマスターキーがあることを確認します。Amazon EC2 コントロールインスタンスまたは Amazon RDS Oracle DB インスタンスのプロンプトから次のコマンドを実行できます。

  1. SSH を使用して、HSM アプライアンスに接続します。次のコマンドを使用します。

    Copy
    $ ssh manager@10.0.203.58
  2. HSM マネージャとして HSM にログインします。

    Copy
    $ hsm login
  3. 正常にログインしたら、Luna シェルプロンプトが表示されます ([hostname]lunash:>)。TDE を使用して、Oracle DB インスタンスに対応する HSM パーティションのコンテンツを表示します。「ORACLE.TDE.HSM.」で始まる 2 つの対称キーオブジェクトを探します。

    Copy
    lunash:>part showContents -par <hapg_label> -password <partition_password>

    次の出力は、コマンドから返される情報の例です。

    Copy
    Partition Name: hapg_label Partition SN: 154749011 Storage (Bytes): Total=102701, Used=348, Free=102353 Number objects: 2 Object Label: ORACLE.TDE.HSM.MK.0699468E1DC88E4F27BF426176B94D4907 Object Type: Symmetric Key Object Label: ORACLE.TSE.HSM.MK.0784B1918AB6C19483189B2296FAE261C70203 Object Type: Symmetric Key Command Result : 0 (Success)

TDE キーの検証

TDE キーが HSM に正しく保存されていることを検証する最後のステップとして、暗号化されたテーブルスペースを作成します。次のコマンドは、暗号化されたテーブルスペースを作成し、暗号化されているかどうかを示します。

Copy
SQL> create tablespace encrypted_ts datafile size 50M encryption using 'AES128' default storage (encrypt) / SQL> select tablespace_Name, encrypted from dba_tablespaces where encrypted='YES'

次のサンプル出力は、暗号化されたテーブルスペースを示します。

Copy
TABLESPACE_NAME ENC ------------------------------ --- ENCRYPTED_TS YES