Oracle Transparent Data Encryption - Amazon Relational Database Service
TDEVerschlüsselungsmodiEinschränkungenFeststellen, ob Ihre DB-Instance TDEDie TDE Option wird hinzugefügtDaten in eine Instance kopieren, die sie nicht verwendet TDEÜberlegungen zu Oracle Data Pump

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Oracle Transparent Data Encryption

Amazon RDS unterstützt Oracle Transparent Data Encryption (TDE), eine Funktion der Oracle Advanced Security-Option, die in der Oracle Enterprise Edition verfügbar ist. Mit dieser Funktion werden Daten vor dem Speichern automatisch verschlüsselt und beim Abruf aus dem Speicher automatisch entschlüsselt. Diese Option wird nur für das Modell Bring Your Own License (BYOL) unterstützt.

TDEist nützlich in Szenarien, in denen Sie vertrauliche Daten verschlüsseln müssen, falls Datendateien und Backups von Dritten abgerufen werden. TDEist auch nützlich, wenn Sie sicherheitsrelevante Vorschriften einhalten müssen.

Eine ausführliche Erklärung zu TDE Oracle Database würde den Rahmen dieses Handbuchs sprengen. Informationen finden Sie in den folgenden Oracle Database-Ressourcen:

Weitere Informationen zur Verwendung von TDE with RDS für Oracle finden Sie in den folgenden Blogs:

TDEVerschlüsselungsmodi

Oracle Transparent Data Encryption unterstützt zwei Verschlüsselungsmodi: TDE Tablespace-Verschlüsselung und TDE Spaltenverschlüsselung. TDEDie Tablespace-Verschlüsselung wird verwendet, um ganze Anwendungstabellen zu verschlüsseln. TDEDie Spaltenverschlüsselung wird verwendet, um einzelne Datenelemente zu verschlüsseln, die sensible Daten enthalten. Sie können auch eine hybride Verschlüsselungslösung anwenden, die sowohl TDE Tablespace- als auch Spaltenverschlüsselung verwendet.

Anmerkung

Amazon RDS verwaltet das Oracle Wallet und den TDE Masterschlüssel für die DB-Instance. Sie müssen den Verschlüsselungsschlüssel nicht durch den Befehl festlege ALTER SYSTEM set encryption key.

Nachdem Sie die TDE Option aktiviert haben, können Sie den Status der Oracle Wallet mit dem folgenden Befehl überprüfen: 

SELECT * FROM v$encryption_wallet;

Sie können mit folgendem Befehl einen verschlüsselten Tabellenraum erzeugen:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Um den Verschlüsselungsalgorithmus anzugeben, verwenden Sie den folgenden Befehl:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Die vorherigen Anweisungen zur Verschlüsselung eines Tablespaces entsprechen denen, die Sie in einer lokalen Oracle-Datenbank verwenden würden.

Einschränkungen für die Option TDE

Die TDE Option ist permanent und dauerhaft. Nachdem Sie Ihre DB-Instance einer Optionsgruppe zugeordnet haben, für die die TDE Option aktiviert ist, können Sie die folgenden Aktionen nicht mehr ausführen:

  • Deaktivieren Sie die TDE Option in der aktuell verknüpften Optionsgruppe.

  • Ordnen Sie Ihre DB-Instance einer anderen Optionsgruppe zu, die die TDE Option nicht enthält.

  • Teilen Sie einen DB-Snapshot, der die TDE Option verwendet. Weitere Informationen zum Freigeben von DB-Snapshots finden Sie unter Freigeben eines DB Schnappschusses.

Weitere Hinweise zu persistenten und permanenten Optionen finden Sie unterPersistente und permanente Optionen.

Feststellen, ob Ihre DB-Instance TDE

Möglicherweise möchten Sie ermitteln, ob Ihre DB-Instance einer Optionsgruppe zugeordnet ist, für die die TDE Option aktiviert ist. Um die Optionsgruppe anzuzeigen, der eine DB-Instance zugeordnet ist, verwenden Sie die RDS Konsole, den describe-db-instance AWS CLI Befehl oder die API Operation escribeDBInstancesD.

Die TDE Option wird hinzugefügt

Gehen Sie wie folgt vor, um die TDE Option zu Ihrer DB-Instance hinzuzufügen:

  1. (Empfohlen) Erstellen Sie einen Snapshot Ihrer DB-Instance.

  2. Führen Sie eine der folgenden Aufgaben aus:

    • Erstellen Sie eine völlig neue Optionsgruppe. Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.

    • Kopieren Sie eine bestehende Optionsgruppe mit dem AWS CLI oderAPI. Weitere Informationen finden Sie unter Kopieren einer Optionsgruppe.

    • Verwenden Sie eine vorhandene, nicht standardmäßige Optionsgruppe wieder. Es hat sich bewährt, eine Optionsgruppe zu verwenden, die derzeit keinen DB-Instances oder Snapshots zugeordnet ist.

  3. Fügen Sie die neue Option der Optionsgruppe aus dem vorherigen Schritt hinzu.

  4. Wenn für die Optionsgruppe, die derzeit mit Ihrer DB-Instance verknüpft ist, Optionen aktiviert sind, fügen Sie diese Optionen zu Ihrer neuen Optionsgruppe hinzu. Diese Strategie verhindert, dass die vorhandenen Optionen deinstalliert werden, während die neue Option aktiviert wird.

  5. Fügen Sie die neue Optionsgruppe zu Ihrer DB-Instance hinzu.

Um die TDE Option einer Optionsgruppe hinzuzufügen und sie Ihrer DB-Instance zuzuordnen

  1. Wählen Sie in der RDS Konsole Optionsgruppen aus.

  2. Wählen Sie den Namen der Optionsgruppe, zu der Sie die Option hinzufügen möchten.

  3. Wählen Sie Add option (Option hinzufügen).

  4. Wählen Sie unter Optionsname die Option aus TDE, und konfigurieren Sie dann die Optionseinstellungen.

  5. Wählen Sie Add option (Option hinzufügen).

    Wichtig

    Wenn Sie die TDEOption zu einer Optionsgruppe hinzufügen, die derzeit an eine oder mehrere DB-Instances angehängt ist, kommt es zu einem kurzen Ausfall, während alle DB-Instances automatisch neu gestartet werden.

    Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

  6. Ordnen Sie die Optionsgruppe einer neuen oder vorhandenen DB-Instance zu:

    • Weisen Sie bei einer neuen DB-Instance die Optionsgruppe beim Starten der Instance zu. Weitere Informationen finden Sie unter Erstellen einer Amazon RDS-DB-Instance.

    • Weisen Sie bei einer bestehenden DB-Instance die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Wenn Sie die neue Option zu einer vorhandenen DB-Instance hinzufügen, kommt es zu einem kurzen Ausfall, während Ihre DB-Instance automatisch neu gestartet wird. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Im folgenden Beispiel verwenden Sie den Befehl AWS CLI add-option-to-option-group, um die TDE Option einer Optionsgruppe mit dem Namen hinzuzufügen. myoptiongroup Weitere Informationen finden Sie unter Erste Schritte: Flink 1.13.2.

FürLinux, oder: macOS Unix

aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately

Windows:

aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately

Kopieren Sie Ihre Daten in eine DB-Instance, die die TDE Option nicht enthält

Sie können die TDE Option nicht aus einer DB-Instance entfernen oder sie einer Optionsgruppe zuordnen, die die TDE Option nicht enthält. Gehen Sie wie folgt vor, um Ihre Daten auf eine Instance zu migrieren, die die TDE Option nicht enthält:

  1. Entschlüsseln Sie die Daten auf Ihrer DB-Instance.

  2. Kopieren Sie die Daten in eine neue DB-Instance, die keiner TDE aktivierten Optionsgruppe zugeordnet ist.

  3. Löschen Sie Ihre ursprüngliche DB-Instance.

Sie können für die neue Instance denselben Namen wie für die vorherige DB-Instance verwenden.

Überlegungen bei der Verwendung TDE mit Oracle Data Pump

Sie können Oracle Data Pump verwenden, um verschlüsselte Dump-Dateien zu importieren oder zu exportieren. Amazon RDS unterstützt den Passwortverschlüsselungsmodus (ENCRYPTION_MODE=PASSWORD) für Oracle Data Pump. Amazon unterstützt RDS keinen transparenten Verschlüsselungsmodus (ENCRYPTION_MODE=TRANSPARENT) für Oracle Data Pump. Weitere Informationen finden Sie unter Importieren mit Oracle Data Pump.