鍵管理システムを使用する透過的データ暗号化機能の導入後に、連携する鍵管理システムを変更する必要が生じた場合、以下の手順で変更できます。
この手順の後、Fujitsu Enterprise Postgresのデータは新しい鍵管理システム上の暗号化キーを使用して暗号化されます。
新しい鍵管理システムが、鍵管理システムの接続情報ファイルに書かれていない場合は、その設定ファイルに定義を追加します。古い鍵管理システムと、新しい鍵管理システムには別の鍵管理システム名を付与します。
変更を有効にするために、設定ファイルのリロードを行ってください。
pgx_dexlare_external_master_key関数を使用して、新しく使用する暗号化キーを宣言します。鍵管理システム名として新しい鍵管理システムに付けた名前を指定します。その他の引数として、新しい鍵管理システム上の使用する鍵IDおよび資格情報が必要になります。正常に終了すると、新しい鍵管理システム上の暗号化キーを使用して暗号化されます。
注意
鍵管理システムを変更する前のバックアップデータを暗号化しているマスタ暗号化キーは、古い鍵管理システム上にしか存在しません。そのため、変更以前のバックアップデータをリストアする可能性がある期間は、古い鍵管理システムとそこに存在する暗号化キーが必要です。古い鍵管理システム上の暗号化キーの削除、古い鍵管理システムの破棄、鍵管理のサービスの解約などを行うとバックアップデータが復号できないため、そのデータを利用できなくなります。
