鍵ストアのベスト・プラクティス

鍵ストア資格情報

ローカル keystone ファイルのパスワードを作成または変更する場合は、 gsk8capicmd_64 コマンドの –strong パラメーターを使用して、パスワードが強力であることを確認してください。 gsk8capicmd_64 コマンドの完全な構文について詳しくは、「 GSKCapiCmd ユーザー・ガイド」を参照してください。

鍵ストアのバックアップ

鍵ストア構成ファイルは Db2 データベース・バックアップの一部として組み込まれていないため、手動でバックアップする必要があります。 鍵ストア資格情報がディスクに保管されている場合でも、手動でバックアップする必要があります。

ローカル鍵ストア・ファイルの場合、構成ファイルは Db2 データベース・バックアップの一部として組み込まれていないため、手動でバックアップする必要があります。

セントラル鍵ストアの場合は、鍵ストアのバックアップに関する推奨事項について理解するために、ご使用の鍵ストア製品の資料を参照してください。

MK ラベルの固有性

Db2 は、MK ラベルを使用して各 MK を一意的に識別し、暗号化された各オブジェクト (データベース、トランザクション・ログ、またはバックアップ・ファイル) にラベル値を保管します。 この保管ラベル値は、オブジェクト内のデータの暗号化に使用されるデータ暗号鍵 (DEK) の復号に使用される MK を識別するためのものです。 重複を避けるために固有の MK ラベルを使用することが重要です。 固有のラベルが使用されないと、暗号化データへのアクセス権限が失われる可能性があります。 ラベルの鍵ストアから取得された MK がオブジェクト内の DEK の暗号化に使用される MK と異なる場合、暗号化データへのアクセス権限は失われます。

マスター鍵の保持

暗号化データベース、トランザクション・ログ、およびバックアップ・イメージに保管されている DEK にアクセスするには、MK が必要です。 これらのオブジェクトの存続時間中に複数の MK が存在することがあるため、暗号化データが保持されている間はそれらの MK を保持する必要があります。 そのため、鍵ストアから MK を削除しないでください。

鍵ストアの構成変更

すべての変更をオンラインで完了できるわけではないため、 Db2 データベース管理対象鍵ストア構成パラメーターまたは鍵ストア構成の内容を変更する前に、慎重に計画する必要があります。 新しい鍵要求が行われるたびに、その要求が鍵ストアにアクセスするときにこれらの値が読み取られます。 いくつかの例外を除き、これらの構成値に対する変更は、次のキー要求で Db2 処理に反映されます。 Db2 データベース・マネージャー構成パラメーター keystore_type および keystore_location はオンラインで構成可能ですが、これらは単一の db2 update dbm cfg コマンドで設定する必要があります。 そうしないと、 Db2 は更新と更新の間に鍵ストアにアクセスしようとして、アクセス・エラーを報告する可能性があります。

SSL_KEYDB、SSL_KEYDB_STASH、および SSL_KMIP_CLIENT_CERTIFICATE_LABEL の各鍵ストア構成値を変更した場合は、インスタンスを再始動して変更を有効にする必要があります。 LIBRARY 鍵ストア構成値への変更は、 Db2 が再始動されるまで有効になりません。 同様に、構成値が変更されない場合、ライブラリーの物理コピーに対する変更は、 Db2 が再始動されるまで有効になりません。 Db2 は定期的に鍵ストアにアクセスできるため、潜在的なエラーを回避するために、構成変更時に Db2 を停止することを強くお勧めします。 暗号化されたデータベースと暗号化されていないデータベースが同じインスタンスのもとに混在する場合は、暗号化されたデータベースを静止するだけで十分です。

鍵の循環