# Cifrado de datos transparente de Oracle
<a name="Appendix.Oracle.Options.AdvSecurity"></a>

Amazon RDS es compatible con el cifrado de datos transparente (TDE) de Oracle, una característica de la opción Oracle Advanced Security disponible en Oracle Enterprise Edition. Esta característica cifra automáticamente los datos antes de que se escriban en el sistema de almacenamiento y los descifra automáticamente cuando se leen. Esta opción solo se admite el modelo “traiga su propia licencia” (BYOL).

El TDE es útil en situaciones en las que es necesario cifrar información confidencial por si un tercero obtiene los archivos de datos y las copias de seguridad. El TDE también es útil cuando se necesita cumplir con las normas relacionadas con la seguridad. 

Esta guía no tiene el propósito de ofrecerle una descripción detallada del TDE en Oracle Database. Para obtener información, consulte los siguientes recursos de Oracle Database:
+ [Introducción al cifrado de datos transparente](https://docs.oracle.com/en/database/oracle/oracle-database/19/asoag/introduction-to-transparent-data-encryption.html#GUID-62AA9447-FDCD-4A4C-B563-32DE04D55952) en la documentación de Oracle Database
+ [Oracle advanced security](https://www.oracle.com/security/database-security/) en la documentación de Oracle Database
+ [Oracle advanced security Transparent Data Encryption best practices](https://www.oracle.com/br/a/tech/docs/technical-resources/twp-transparent-data-encryption-bestpractices.pdf), que es un documento técnico de Oracle

Para obtener más información acerca del uso del TDE con RDS para Oracle, consulte los siguientes blogs:
+ [Opciones de cifrado de bases de datos Oracle en Amazon RDS](https://aws.amazon.com/blogs/apn/oracle-database-encryption-options-on-amazon-rds/)
+ [Migre una instancia de base de datos de Amazon RDS para Oracle multicuenta con TDE y reduzca el tiempo de inactividad mediante AWS DMS](https://aws.amazon.com/blogs/database/migrate-a-cross-account-tde-enabled-amazon-rds-for-oracle-db-instance-with-reduced-downtime-using-aws-dms/)

## Modos de cifrado de TDE
<a name="Appendix.Oracle.Options.AdvSecurity.Modes"></a>

El cifrado de datos transparente de Oracle admite dos modos de cifrado: el cifrado de espacios de tabla de TDE y el cifrado de columnas de TDE. El cifrado de espacios de tabla de TDE se utiliza para cifrar tablas de aplicaciones completas. El cifrado de columnas de TDE se utiliza para cifrar elementos de datos individuales que contienen información confidencial. También es posible aplicar una solución de cifrado híbrida que utilice tanto el cifrado de espacios de tabla como el cifrado de columnas de TDE. 

**nota**  
Amazon RDS administra la clave maestra de TDE y de Oracle Wallet para la instancia de base de datos. No es necesario configurar la clave de cifrado con el comando `ALTER SYSTEM set encryption key`. 

Una vez activada la opción `TDE`, puede comprobar el estado del wallet de Oracle mediante el siguiente comando: 

```
SELECT * FROM v$encryption_wallet;
```

Para crear un espacio de tabla cifrado, utilice el siguiente comando:

```
CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);
```

Para especificar el algoritmo de cifrado, utilice el comando siguiente:

```
CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);
```

Las instrucciones anteriores para cifrar un espacio de tablas son las mismas que se utilizarían en una base de datos de Oracle en las instalaciones.

## Restricciones para la opción TDE
<a name="Appendix.Oracle.Options.Timezone.Restrictions"></a>

La opción TDE es persistente y permanente. Después de asociar su instancia de base de datos con un grupo de opciones que tiene la opción TDE habilitada, no puede realizar las siguientes acciones:
+ Deshabilitar la opción `TDE` en el grupo de opciones actualmente asociado.
+ Asociar la instancia de base de datos a un grupo de opciones diferente que no incluya la opción `TDE`.
+ Compartir una instantánea de base de datos que utilice la opción `TDE`. Para obtener más información sobre el uso compartido de instantáneas de base de datos, consulte [Uso compartido de una instantánea manual de base de datos de Amazon RDS](USER_ShareSnapshot.md).

Para obtener más información sobre las opciones persistentes y permanentes, consulte [Opciones permanentes y persistentes](USER_WorkingWithOptionGroups.md#Overview.OptionGroups.Permanent).

## Determinación de si su instancia de base de datos utiliza TDE
<a name="Appendix.Oracle.Options.AdvSecurity.Querying"></a>

Puede que quiera determinar si la instancia de base de datos está asociada a un grupo de opciones que tenga la opción `TDE` habilitada. Para ver el grupo de opciones al que está asociada una instancia de base de datos, utilice la consola de RDS, el comando [describe-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html) de la AWS CLI o la operación [DescribeDBInstances](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBInstances.html) de la API.

## Adición de la opción TDE
<a name="Appendix.Oracle.Options.AdvSecurity.Add"></a>

Para agregar la opción `TDE` a su instancia de base de datos, siga los pasos que se describen a continuación:

1. (Recomendado) Cree una instantánea de su instancia de base de datos.

1. Realice una de las siguientes tareas siguientes:
   + Cree un nuevo grupo de opciones desde cero. Para obtener más información, consulte [Creación de un grupo de opciones](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.Create).
   + Copie un grupo de opciones existente con la AWS CLI o la API. Para obtener más información, consulte [Copia de un grupo de opciones](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.Copy).
   + Reutilice un grupo de opciones existente que no sea predeterminado. Se recomienda utilizar un grupo de opciones que no esté asociado actualmente a ninguna instancia de base de datos o instantánea.

1. Agregue la nueva opción al grupo de opciones del paso anterior.

1. Si el grupo de opciones que está actualmente asociado a la instancia de base de datos tiene opciones habilitadas, agregue estas opciones al nuevo grupo de opciones. Esta estrategia evita que se desinstalen las opciones existentes y, al mismo tiempo, se habilita la nueva opción.

1. Añada el nuevo grupo de opciones a la instancia de base de datos.

### Consola
<a name="Appendix.Oracle.Options.TDE.Console"></a>

**Añadido de la opción TDE a un grupo de opciones y asociarla a su instancia de base de datos**

1. En la consola de RDS, elija **Grupos de opciones**.

1. Elija el nombre del grupo de opciones al que desea agregar la opción.

1. Elija **Agregar opción**.

1. En **Nombre de la opción**, elija **TDE** y, a continuación, configure los ajustes de la opción. 

1. Elija **Agregar opción**.
**importante**  
Si agrega la opción **TDE** a un grupo de opciones existente que ya se ha adjuntado a una o varias instancias de base de datos, se producirá una breve interrupción mientras se reinician todas las instancias de base de datos. 

   Para obtener más información acerca de la adición de opciones, consulte [Agregar una opción a un grupo de opciones](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.AddOption).

1. Asocie el grupo de opciones a una instancia de base de datos nueva o ya existente: 
   + Si se trata de una instancia de base de datos nueva, aplique el grupo de opciones al lanzar la instancia. Para obtener más información, consulte [Creación de una instancia de base de datos de Amazon RDS](USER_CreateDBInstance.md). 
   + Para una instancia de base de datos existente, el grupo de opciones se aplica modificando la instancia y asociando el grupo de opciones nuevo. La instancia de base de datos no se reinicia como parte de esta operación. Para obtener más información, consulte [Modificación de una instancia de base de datos de Amazon RDS](Overview.DBInstance.Modifying.md). 

### AWS CLI
<a name="Appendix.Oracle.Options.TDE.CLI"></a>

En el ejemplo siguiente, se usa el comando de la AWS CLI [add-option-to-option-group](https://docs.aws.amazon.com/cli/latest/reference/rds/add-option-to-option-group.html) para añadir la opción `TDE` a un grupo de opciones llamado `myoptiongroup`. Para obtener más información, consulte [Introducción: Flink 1.13.2 ](https://docs.aws.amazon.com/managed-flink/latest/java/earlier.html#getting-started-1-13).

Para Linux, macOS o Unix:

```
aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately
```

Para Windows:

```
aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately
```

## Copia de los datos a una instancia de base de datos que no incluye la opción TDE
<a name="Appendix.Oracle.Options.AdvSecurity.Remove"></a>

No puede eliminar la opción de TDE de una instancia de base de datos ni asociarla a un grupo de opciones que no incluya la opción de TDE. Para migrar los datos a una instancia que no incluya la opción de TDE, haga lo siguiente: 

1.  Descifre los datos en la instancia de base de datos. 

1.  Copie los datos en una nueva instancia de base de datos que no esté asociada a un grupo de opciones con la opción `TDE` habilitada. 

1.  Elimine la instancia de base de datos original.

Puede usar para la instancia nueva el mismo nombre que la instancia de base de datos anterior.

## Consideraciones al usar TDE con Oracle Data Pump
<a name="Appendix.Oracle.Options.AdvSecurity.Pump"></a>

Puede utilizar Oracle Data Pump para importar o exportar archivos de volcado cifrados. Amazon RDS admite el modo de cifrado de contraseñas `(ENCRYPTION_MODE=PASSWORD)` para Oracle Data Pump. Amazon RDS no admite el modo de cifrado transparente `(ENCRYPTION_MODE=TRANSPARENT)` para Oracle Data Pump. Para obtener más información, consulte [Importación mediante Oracle Data Pump](Oracle.Procedural.Importing.DataPump.md).