“5.1 暗号化によるデータの保護”を参照してください。以下では、“5.1 暗号化によるデータの保護”で説明しているファイルベースのキーストアにおける透過的データ暗号化の運用との相違点を説明します。
各テーブル空間には、その中のすべてのデータを暗号化/復号するテーブル空間暗号化キーがあります。テーブル空間暗号化キーは、マスタ暗号化キーで暗号化されて保存されます。
鍵管理システムに保存されている暗号化キーを、データベースクラスタで共通のマスタ暗号化キーとして使用します。Fujitsu Enterprise Postgresは鍵管理システムをマスタ暗号化キーのキーストアとして参照します。
以下の2つのタイプの鍵管理システムを使用できます。
kmip
OASIS(Organization for the Advancement of Structured Information Standards)によって標準化されているKMIP(Key Management Interoperability Protocol)というプロトコルを使用して利用できる鍵管理システムです。
custom
KMIPプロトコルを採用せずに、要求の形式を変換するアダプタを用いて連携する鍵管理システムです。
参照
Fujitsu Enterprise Postgresで利用可能な鍵管理システムの要件は、“導入ガイド(サーバ編)”の“鍵管理システムの要件”を参照してください。
アダプタを利用して鍵管理システムと連携する場合、マスタ暗号化キーを使ったテーブル空間暗号化キーの暗号化や復号は鍵管理システム側で行われます。
テーブル空間暗号化キーを使用しようとするたびに鍵管理システムへアクセスする必要がないように、テーブル空間暗号化キーをデータベースクラスタ内で共有できます。
マスタ暗号化キーを利用した暗号化/復号処理のコストが問題になるのは以下の場合です。
データベースへの複数の接続が暗号化テーブル空間にアクセスする
暗号化テーブル空間にアクセスする接続が繰り返され、かつコネクションプーリングが無効である
鍵管理システム上に保管されている暗号化キーを特定するための識別子として、鍵IDを利用します。
鍵管理システム上の暗号化キーを特定するための情報で、鍵管理システム内で一意の情報です。暗号化キーの実体(バイト列)と鍵IDの対応は暗号化キーのライフサイクルを通じて変わりません。
識別子の呼び方は各鍵管理システムによって異なりますが、本機能ではこのような情報を鍵IDと呼びます。
透過的データ暗号化機能の運用開始後に、使用する鍵管理システムを別の鍵管理システムに変更できます。
