Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Oracle Transparent Data Encryption
Amazon RDS prend en charge Oracle TDE (Transparent Data Encryption), fonction de l'option Oracle Advanced Security disponible dans Oracle Enterprise Edition. Cette fonction chiffre automatiquement les données avant qu'elles ne soient écrites dans le stockage et déchiffre automatiquement les données lorsqu'elles sont lues depuis le stockage. Cette option n’est prise en charge que pour le modèle Apportez votre propre licence (BYOL).
TDE est utile dans les scénarios où vous avez besoin de chiffrer les données sensibles au cas où les sauvegardes et les fichiers de données seraient obtenus par un tiers. TDE est également utile lorsque vous devez vous conformer aux réglementations relatives à la sécurité.
Une explication détaillée sur TDE dans Oracle Database n’entre pas dans le cadre de ce guide. Pour plus d’informations, consultez les ressources Oracle Database suivantes :
-
Introduction to Transparent Data Encryption
dans la documentation Oracle Database -
Oracle advanced security
dans la documentation Oracle Database -
Oracle advanced security Transparent Data Encryption best practices
, qui est un livre blanc Oracle
Pour plus d’informations sur l’utilisation de TDE avec RDS for Oracle, consultez les blogs suivants :
Modes de chiffrement TDE
Oracle TDE prend en charge deux modes de chiffrement : le chiffrement d'espace de table TDE et le chiffrement de colonne TDE. Le chiffrement d'espace de table TDE permet de chiffrer des tables d'application complètes. Le chiffrement de colonne TDE permet de chiffrer les éléments de données qui contiennent des données sensibles. Vous pouvez également appliquer une solution de chiffrement hybride qui utilise les deux chiffrements TDE d'espace de table et de colonne.
Note
Amazon RDS assure la gestion du portefeuille (« wallet ») Oracle et de la clé principale TDE pour l'instance de base de données. Vous n'avez pas besoin de définir la clé de chiffrement à l'aide de la commande ALTER SYSTEM set encryption
key.
Une fois que vous avez activé l’option TDE, vous pouvez vérifier l’état du portefeuille Oracle en utilisant la commande suivante :
SELECT * FROM v$encryption_wallet;
Pour créer un espace de table chiffré, utilisez la commande suivante :
CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);
Pour spécifier l'algorithme de chiffrement, utilisez la commande suivante :
CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);
Les instructions précédentes pour chiffrer un espace de table sont les mêmes que celles que vous utiliseriez sur une base de données Oracle sur site.
Restrictions relatives à l’option TDE
L’option TDE est permanente et persistante. Une fois que vous avez associé votre instance de base de données à un groupe d’options dont l’option TDE est activée, vous ne pouvez pas effectuer les actions suivantes :
-
Désactivez l’option
TDEdans le groupe d’options actuellement associé. -
Associez votre instance de base de données à un groupe d’options qui n’inclut pas l’option
TDE. -
Partagez un instantané de base de données qui utilise l’option
TDE. Pour plus d'informations sur le partage d'instantanés de base de données, consultez Partage d’un instantané de base de données pour Amazon RDS.
Pour plus d’informations sur les options persistantes et permanentes, consultez Options persistantes et permanentes.
Déterminer si votre instance de base de données utilise TDE
Vous devez déterminer si votre instance de base de données est associée à un groupe d’options ayant TDE activée. Pour afficher le groupe d’options auquel une instance de base de données est associée, utilisez la console RDS, la commande AWS CLI describe-db-instance ou l’opération d’API DescribeDBInstances.
Ajout de l’option TDE
Pour ajouter l’option TDE à une instance de base de données, exécutez les étapes suivantes :
-
(Recommandé) Prenez un instantané de votre instance de base de données.
-
Effectuez l’une des tâches suivantes :
-
Créez un nouveau groupe d’options à partir de zéro. Pour plus d’informations, consultez Création d’un groupe d’options.
-
Copiez un groupe d’options existant à l’aide de l’AWS CLI ou de l’API. Pour plus d’informations, consultez Copie d’un groupe d’options.
-
Réutilisez un groupe d’options existant autre que le groupe d’options par défaut. Une bonne pratique consiste à utiliser un groupe d’options qui n’est actuellement associé à aucune instance de base de données ni à aucun instantané.
-
-
Ajoutez la nouvelle option au groupe d’options de l’étape précédente.
-
Si le groupe d’options actuellement associé à votre instance de base de données possède des options activées, ajoutez ces options à votre nouveau groupe d’options. Cette stratégie empêche la désinstallation des options existantes lors de l’activation de la nouvelle option.
-
Ajoutez le nouveau groupe d’options à votre instance de base de données.
Pour ajouter l’option TDE à un groupe d’options et l’associer à votre instance de base de données
-
Dans la console RDS, choisissez Groupes d’options.
-
Choisissez le nom du groupe d’options auquel vous souhaitez ajouter l’option.
-
Sélectionnez Ajouter une option.
-
Dans Nom de l’option, choisissez TDE, puis configurez les paramètres de l’option.
-
Sélectionnez Ajouter une option.
Important
Si vous ajoutez l’option TDE à un groupe d’options qui est actuellement attaché à une ou plusieurs instances de base de données, une brève interruption de service a lieu pendant le redémarrage automatique de toutes les instances de base de données.
Pour plus d’informations sur l’ajout d’options, consultez Ajout d’une option à un groupe d’options.
-
Associez le groupe d’options à une instance de base de données nouvelle ou existante :
-
Pour une nouvelle instance de base de données, appliquez le groupe d’options lorsque vous lancez l’instance. Pour plus d’informations, consultez Création d'une instance de base de données Amazon RDS.
-
Pour une instance de base de données existante, appliquez le groupe d’options en modifiant l’instance et en attachant le nouveau groupe d’options. L’instance de base de données ne redémarre pas dans le cadre de cette opération. Pour plus d’informations, consultez Modification d'une instance de base de données Amazon RDS.
-
L’exemple suivant utilise la commande de l’AWS CLI add-option-to-option-group pour ajouter l’option TDE à un groupe d’options appelé myoptiongroup. Pour plus d’informations, consultez Getting started: Flink 1.13.2.
Pour Linux, macOS ou Unix :
aws rds add-option-to-option-group \ --option-group-name "myoptiongroup" \ --options "OptionName=TDE" \ --apply-immediately
Pour Windows :
aws rds add-option-to-option-group ^ --option-group-name "myoptiongroup" ^ --options "OptionName=TDE" ^ --apply-immediately
Copie de vos données vers une instance de base de données qui n’inclut pas l’option TDE
Vous ne pouvez pas supprimer l’option TDE d’une instance de base de données ou l’associer à un groupe d’options qui n’inclut pas l’option TDE. Pour migrer vos données vers une instance qui n’inclut pas l’option TDE, procédez comme suit :
-
Déchiffrez les données sur l’instance de base de données.
-
Copiez les données dans une nouvelle instance de base de données qui n’est pas associée à un groupe d’options avec
TDEactivée. -
Supprimez votre instance de base de données d’origine.
Vous pouvez utiliser le même nom pour la nouvelle instance que pour l’instance de base de données précédente.
Considérations relatives à l’utilisation de TDE avec Oracle Data Pump
Vous pouvez utiliser Oracle Data Pump pour importer ou exporter des fichiers de vidage chiffrés. Amazon RDS prend en charge le mode (ENCRYPTION_MODE=PASSWORD) pour Oracle Data Pump. Amazon RDS ne prend pas en charge le mode de chiffrement transparent (ENCRYPTION_MODE=TRANSPARENT) pour Oracle Data Pump. Pour plus d’informations, consultez Importation à l'aide d'Oracle Data Pump.
