Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Oracle Transparent Data Encryption
Amazon RDS prend en charge Oracle TDE (Transparent Data Encryption), fonction de l'option Oracle Advanced Security disponible dans Oracle Enterprise Edition. Cette fonction chiffre automatiquement les données avant qu'elles ne soient écrites dans le stockage et déchiffre automatiquement les données lorsqu'elles sont lues depuis le stockage. Cette option n’est prise en charge que pour le modèle Apportez votre propre licence (BYOL).
TDE est utile dans les scénarios où vous avez besoin de chiffrer les données sensibles au cas où les sauvegardes et les fichiers de données seraient obtenus par un tiers. TDE est également utile lorsque vous devez vous conformer aux réglementations relatives à la sécurité.
Une explication détaillée sur TDE dans Oracle Database n’entre pas dans le cadre de ce guide. Pour plus d’informations, consultez les ressources Oracle Database suivantes :
+ [Introduction to Transparent Data Encryption](https://docs.oracle.com/en/database/oracle/oracle-database/19/asoag/introduction-to-transparent-data-encryption.html#GUID-62AA9447-FDCD-4A4C-B563-32DE04D55952) dans la documentation Oracle Database
+ [Oracle advanced security](https://www.oracle.com/security/database-security/) dans la documentation Oracle Database
+ [Oracle advanced security Transparent Data Encryption best practices](https://www.oracle.com/br/a/tech/docs/technical-resources/twp-transparent-data-encryption-bestpractices.pdf), qui est un livre blanc Oracle
Pour plus d’informations sur l’utilisation de TDE avec RDS for Oracle, consultez les blogs suivants :
+ [Oracle Database Encryption Options on Amazon RDS](https://aws.amazon.com/blogs/apn/oracle-database-encryption-options-on-amazon-rds/)
+ [Migrez une instance de base de données Amazon RDS pour Oracle compatible TDE entre comptes avec un temps d'arrêt réduit grâce à AWS DMS](https://aws.amazon.com/blogs/database/migrate-a-cross-account-tde-enabled-amazon-rds-for-oracle-db-instance-with-reduced-downtime-using-aws-dms/)
## Modes de chiffrement TDE
Oracle TDE prend en charge deux modes de chiffrement : le chiffrement d'espace de table TDE et le chiffrement de colonne TDE. Le chiffrement d'espace de table TDE permet de chiffrer des tables d'application complètes. Le chiffrement de colonne TDE permet de chiffrer les éléments de données qui contiennent des données sensibles. Vous pouvez également appliquer une solution de chiffrement hybride qui utilise les deux chiffrements TDE d'espace de table et de colonne.
**Note**
Amazon RDS assure la gestion du portefeuille (« wallet ») Oracle et de la clé principale TDE pour l'instance de base de données. Vous n'avez pas besoin de définir la clé de chiffrement à l'aide de la commande `ALTER SYSTEM set encryption key`.
Une fois que vous avez activé l’option `TDE`, vous pouvez vérifier l’état du portefeuille Oracle en utilisant la commande suivante :
```
SELECT * FROM v$encryption_wallet;
```
Pour créer un espace de table chiffré, utilisez la commande suivante :
```
CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);
```
Pour spécifier l'algorithme de chiffrement, utilisez la commande suivante :
```
CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);
```
Les instructions précédentes pour chiffrer un espace de table sont les mêmes que celles que vous utiliseriez sur une base de données Oracle sur site.
## Restrictions relatives à l’option TDE
L’option TDE est permanente et persistante. Une fois que vous avez associé votre instance de base de données à un groupe d’options dont l’option TDE est activée, vous ne pouvez pas effectuer les actions suivantes :
+ Désactivez l’option `TDE` dans le groupe d’options actuellement associé.
+ Associez votre instance de base de données à un groupe d’options qui n’inclut pas l’option `TDE`.
+ Partagez un instantané de base de données qui utilise l’option `TDE`. Pour plus d'informations sur le partage d'instantanés de base de données, consultez [Partage d’un instantané de base de données pour Amazon RDS](USER_ShareSnapshot.md).
Pour plus d’informations sur les options persistantes et permanentes, consultez [Options persistantes et permanentes](USER_WorkingWithOptionGroups.md#Overview.OptionGroups.Permanent).
## Déterminer si votre instance de base de données utilise TDE
Vous devez déterminer si votre instance de base de données est associée à un groupe d’options ayant `TDE` activée. Pour afficher le groupe d'options auquel une instance de base de données est associée, utilisez la console RDS, la [describe-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html) AWS CLI commande ou l'opération d'API [DBInstancesDescribe](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBInstances.html).
## Ajout de l'option TDE
Pour ajouter l’option `TDE` à une instance de base de données, exécutez les étapes suivantes :
1. (Recommandé) Prenez un instantané de votre instance de base de données.
1. Effectuez l’une des tâches suivantes :
+ Créez un nouveau groupe d’options à partir de zéro. Pour de plus amples informations, veuillez consulter [Création d’un groupe d’options](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.Create).
+ Copiez un groupe d'options existant à l'aide de l'API AWS CLI or. Pour de plus amples informations, veuillez consulter [Copie d’un groupe d’options](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.Copy).
+ Réutilisez un groupe d’options existant autre que le groupe d’options par défaut. Une bonne pratique consiste à utiliser un groupe d’options qui n’est actuellement associé à aucune instance de base de données ni à aucun instantané.
1. Ajoutez la nouvelle option au groupe d’options de l’étape précédente.
1. Si le groupe d’options actuellement associé à votre instance de base de données possède des options activées, ajoutez ces options à votre nouveau groupe d’options. Cette stratégie empêche la désinstallation des options existantes lors de l’activation de la nouvelle option.
1. Ajoutez le nouveau groupe d’options à votre instance de base de données.
### Console
**Pour ajouter l’option TDE à un groupe d’options et l’associer à votre instance de base de données**
1. Dans la console RDS, choisissez **Groupes d’options**.
1. Choisissez le nom du groupe d’options auquel vous souhaitez ajouter l’option.
1. Sélectionnez **Ajouter une option**.
1. Dans **Nom de l’option**, choisissez **TDE**, puis configurez les paramètres de l’option.
1. Sélectionnez **Ajouter une option**.
**Important**
Si vous ajoutez l’option **TDE** à un groupe d’options qui est actuellement attaché à une ou plusieurs instances de base de données, une brève interruption de service a lieu pendant le redémarrage automatique de toutes les instances de base de données.
Pour plus d’informations sur l’ajout d’options, consultez [Ajout d’une option à un groupe d’options](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.AddOption).
1. Associez le groupe d’options à une instance de base de données nouvelle ou existante :
+ Pour une nouvelle instance de base de données, appliquez le groupe d’options lorsque vous lancez l’instance. Pour plus d’informations, consultez [Création d'une instance de base de données Amazon RDS](USER_CreateDBInstance.md).
+ Pour une instance de base de données existante, appliquez le groupe d’options en modifiant l’instance et en attachant le nouveau groupe d’options. L’instance de base de données ne redémarre pas dans le cadre de cette opération. Pour de plus amples informations, veuillez consulter [Modification d'une instance de base de données Amazon RDS](Overview.DBInstance.Modifying.md).
### AWS CLI
Dans l'exemple suivant, vous utilisez la commande AWS CLI [add-option-to-option-group](https://docs.aws.amazon.com/cli/latest/reference/rds/add-option-to-option-group.html) pour ajouter l'`TDE`option à un groupe d'options appelé`myoptiongroup`. Pour plus d’informations, consultez [Getting started: Flink 1.13.2](https://docs.aws.amazon.com/managed-flink/latest/java/earlier.html#getting-started-1-13).
Pour Linux, macOS ou Unix :
```
aws rds add-option-to-option-group \
--option-group-name "myoptiongroup" \
--options "OptionName=TDE" \
--apply-immediately
```
Pour Windows :
```
aws rds add-option-to-option-group ^
--option-group-name "myoptiongroup" ^
--options "OptionName=TDE" ^
--apply-immediately
```
## Copie de vos données vers une instance de base de données qui n’inclut pas l’option TDE
Vous ne pouvez pas supprimer l’option TDE d’une instance de base de données ou l’associer à un groupe d’options qui n’inclut pas l’option TDE. Pour migrer vos données vers une instance qui n’inclut pas l’option TDE, procédez comme suit :
1. Déchiffrez les données sur l’instance de base de données.
1. Copiez les données dans une nouvelle instance de base de données qui n’est pas associée à un groupe d’options avec `TDE` activée.
1. Supprimez votre instance de base de données d’origine.
Vous pouvez utiliser le même nom pour la nouvelle instance que pour l’instance de base de données précédente.
## Considérations relatives à l’utilisation de TDE avec Oracle Data Pump
Vous pouvez utiliser Oracle Data Pump pour importer ou exporter des fichiers de vidage chiffrés. Amazon RDS prend en charge le mode `(ENCRYPTION_MODE=PASSWORD)` pour Oracle Data Pump. Amazon RDS ne prend pas en charge le mode de chiffrement transparent `(ENCRYPTION_MODE=TRANSPARENT)` pour Oracle Data Pump. Pour de plus amples informations, veuillez consulter [Importation à l'aide d'Oracle Data Pump](Oracle.Procedural.Importing.DataPump.md).