Oracle Transparent Data Encryption - Amazon Relational Database Service
TDEmodalità di crittografiaRestrizioniDeterminare se l'istanza DB utilizza TDEAggiungere l'TDEopzioneCopiare i dati su un'istanza che non utilizza TDEConsiderazioni su Oracle Data Pump

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Oracle Transparent Data Encryption

Amazon RDS supporta Oracle Transparent Data Encryption (TDE), una funzionalità dell'opzione Oracle Advanced Security disponibile in Oracle Enterprise Edition. Tale caratteristica consente la crittografia automatica dei dati prima che vengano trascritti nello storage e la loro decriptazione automatica durante la lettura dallo storage. Questa opzione è supportata solo per il modello Bring Your Own License (BYOL).

TDEè utile in scenari in cui è necessario crittografare dati sensibili nel caso in cui i file di dati e i backup vengano ottenuti da terze parti. TDEè utile anche quando è necessario rispettare le normative relative alla sicurezza.

Una spiegazione dettagliata su TDE Oracle Database non rientra nell'ambito di questa guida. Per informazioni, consulta le seguenti risorse del database Oracle:

Per ulteriori informazioni sull'utilizzo di TDE with RDS for Oracle, consulta i seguenti blog:

TDEmodalità di crittografia

Oracle Transparent Data Encryption supporta due modalità di crittografia: crittografia TDE tablespace e crittografia a TDE colonne. TDEla crittografia tablespace viene utilizzata per crittografare intere tabelle di applicazioni. TDEla crittografia a colonne viene utilizzata per crittografare singoli elementi di dati che contengono dati sensibili. È inoltre possibile applicare una soluzione di crittografia ibrida che utilizza sia la crittografia dei TDE tablespace che quella delle colonne.

Nota

Amazon RDS gestisce l'Oracle Wallet e la chiave TDE master per l'istanza DB. Non dovrai impostare la chiave crittografica con il comando ALTER SYSTEM set encryption key.

Dopo aver abilitato l'TDEopzione, puoi controllare lo stato di Oracle Wallet utilizzando il seguente comando: 

SELECT * FROM v$encryption_wallet;

Per creare uno spazio tabelle crittografato, utilizza il comando seguente:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Utilizza il comando seguente per specificare l'algoritmo di crittografia:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Le istruzioni precedenti per la crittografia di un tablespace sono le stesse che si utilizzerebbero su un database Oracle locale.

Restrizioni per l'opzione TDE

L'TDEopzione è permanente e persistente. Dopo aver associato l'istanza DB a un gruppo di opzioni con l'TDEopzione abilitata, non è possibile eseguire le seguenti azioni:

  • Disabilita l'TDEopzione nel gruppo di opzioni attualmente associato.

  • Associate l'istanza DB a un gruppo di opzioni diverso che non include l'TDEopzione.

  • Condividi un'istantanea del DB che utilizza l'TDEopzione. Per ulteriori informazioni sulla condivisione di snapshot DB, consulta Condivisione di uno snapshot DB per Amazon RDS.

Per ulteriori informazioni sulle opzioni persistenti e permanenti, consultaOpzioni persistenti e permanenti.

Determinare se l'istanza DB utilizza TDE

Potresti voler determinare se la tua istanza DB è associata a un gruppo di opzioni con l'TDEopzione abilitata. Per visualizzare il gruppo di opzioni a cui è associata un'istanza DB, usa la RDS console, il describe-db-instance AWS CLI comando o l'APIoperazione escribeDBInstancesD.

Aggiungere l'TDEopzione

Per aggiungere l'TDEopzione all'istanza DB, completa i seguenti passaggi:

  1. (Consigliato) Scatta un'istantanea della tua istanza DB.

  2. Eseguite una delle seguenti attività:

    • Crea un nuovo gruppo di opzioni partendo da zero. Per ulteriori informazioni, consulta Creazione di un gruppo di opzioni.

    • Copiate un gruppo di opzioni esistente utilizzando AWS CLI oAPI. Per ulteriori informazioni, consulta Copia di un gruppo di opzioni.

    • Riutilizzate un gruppo di opzioni non predefinito esistente. Una procedura ottimale consiste nell'utilizzare un gruppo di opzioni che non è attualmente associato ad alcuna istanza o istantanea del database.

  3. Aggiungi la nuova opzione al gruppo di opzioni del passaggio precedente.

  4. Se il gruppo di opzioni attualmente associato all'istanza DB ha delle opzioni abilitate, aggiungete queste opzioni al nuovo gruppo di opzioni. Questa strategia impedisce la disinstallazione delle opzioni esistenti mentre si abilita la nuova opzione.

  5. Aggiungi il nuovo gruppo di opzioni alla tua istanza DB.

Per aggiungere l'TDEopzione a un gruppo di opzioni e associarla all'istanza DB

  1. Nella RDS console, scegli Gruppi di opzioni.

  2. Scegli il nome del gruppo di opzioni a cui desideri aggiungere l'opzione.

  3. Scegliere Add option (Aggiungi opzione).

  4. Per Nome dell'opzione TDE, scegliete e configurate le impostazioni dell'opzione.

  5. Scegliere Add option (Aggiungi opzione).

    Importante

    Se aggiungi l'TDEopzione a un gruppo di opzioni attualmente collegato a una o più istanze DB, si verifica una breve interruzione mentre tutte le istanze DB vengono riavviate automaticamente.

    Per ulteriori informazioni sull'aggiunta di opzioni, consulta Aggiunta di un'opzione a un gruppo di opzioni.

  6. Associa il gruppo di opzioni a un'istanza DB nuova o esistente:

    • Per una nuova istanza database, applicare il gruppo di opzioni quando viene avviata l'istanza. Per ulteriori informazioni, consulta Creazione di un'istanza database Amazon RDS.

    • Per un'istanza database esistente, applicare il gruppo di opzioni modificando l'istanza e collegando il nuovo gruppo di opzioni. L'istanza DB non si riavvia come parte di questa operazione. Per ulteriori informazioni, consulta Modifica di un'istanza Amazon RDS DB.

Nell'esempio seguente, si utilizza il comando AWS CLI add-option-to-option-group per aggiungere l'TDEopzione a un gruppo di opzioni chiamatomyoptiongroup. Per ulteriori informazioni, vedere Guida introduttiva: Flink 1.13.2.

In Linux, macOS, oppure Unix:

aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately

In Windows:

aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately

Copiare i dati su un'istanza DB che non include l'opzione TDE

Non è possibile rimuovere l'TDEopzione da un'istanza DB o associarla a un gruppo di opzioni che non include l'TDEopzione. Per migrare i dati su un'istanza che non include l'TDEopzione, procedi come segue:

  1. Decrittografa i dati sulla tua istanza DB.

  2. Copia i dati in una nuova istanza DB non associata a un gruppo di opzioni abilitatoTDE.

  3. Eliminare l'istanza DB originale.

È possibile utilizzare lo stesso nome per la nuova istanza database dell'istanza DB precedente.

Considerazioni sull'utilizzo TDE con Oracle Data Pump

Puoi utilizzare Oracle Data Pump per importare o esportare file dump crittografati. Amazon RDS supporta la modalità di crittografia delle password (ENCRYPTION_MODE=PASSWORD) per Oracle Data Pump. Amazon RDS non supporta la modalità di crittografia trasparente (ENCRYPTION_MODE=TRANSPARENT) per Oracle Data Pump. Per ulteriori informazioni, consulta Importazione utilizzando Oracle Data Pump.