Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Oracle Transparent Data Encryption
Amazon RDS prend en charge Oracle Transparent Data Encryption (TDE), une fonctionnalité de l'option Oracle Advanced Security disponible dans Oracle Enterprise Edition. Cette fonction chiffre automatiquement les données avant qu'elles ne soient écrites dans le stockage et déchiffre automatiquement les données lorsqu'elles sont lues depuis le stockage. Cette option n'est prise en charge que pour le modèle Bring Your Own License (BYOL).
TDEest utile dans les scénarios où vous devez chiffrer des données sensibles au cas où des fichiers de données et des sauvegardes seraient obtenus par un tiers. TDEest également utile lorsque vous devez respecter les réglementations relatives à la sécurité.
Une explication détaillée de la base de données Oracle n'entre pas TDE dans le cadre de ce guide. Pour plus d'informations, consultez les ressources de base de données Oracle suivantes :
-
Présentation du chiffrement transparent des données
dans la documentation de la base de données Oracle -
Sécurité avancée d'Oracle
dans la documentation de la base de données Oracle -
Sécurité avancée d'Oracle : meilleures pratiques en matière de chiffrement transparent des données
, document publié par Oracle
Pour plus d'informations sur l'utilisation de TDE with RDS for Oracle, consultez les blogs suivants :
TDEmodes de chiffrement
Oracle Transparent Data Encryption prend en charge deux modes de chiffrement : le chiffrement des TDE tablespaces et le chiffrement des TDE colonnes. TDEle chiffrement des tablespaces est utilisé pour chiffrer des tables d'applications entières. TDEle chiffrement par colonne est utilisé pour chiffrer des éléments de données individuels contenant des données sensibles. Vous pouvez également appliquer une solution de chiffrement hybride qui utilise à la fois le chiffrement des TDE tablespaces et des colonnes.
Note
Amazon RDS gère le portefeuille Oracle et la clé TDE principale de l'instance de base de données. Vous n'avez pas besoin de définir la clé de chiffrement à l'aide de la commande ALTER SYSTEM set encryption
key.
Après avoir activé TDE cette option, vous pouvez vérifier l'état du portefeuille Oracle à l'aide de la commande suivante :
SELECT * FROM v$encryption_wallet;
Pour créer un espace de table chiffré, utilisez la commande suivante :
CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);
Pour spécifier l'algorithme de chiffrement, utilisez la commande suivante :
CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);
Les instructions précédentes pour chiffrer un tablespace sont les mêmes que celles que vous utiliseriez sur une base de données Oracle locale.
Restrictions relatives à l'TDEoption
L'TDEoption est permanente et persistante. Une fois que vous avez associé votre instance de base de données à un groupe d'options dont l'TDEoption est activée, vous ne pouvez pas effectuer les actions suivantes :
-
Désactivez l'
TDEoption dans le groupe d'options actuellement associé. -
Associez votre instance de base de données à un autre groupe d'options qui n'inclut pas l'
TDEoption. -
Partagez un instantané de base de données qui utilise
TDEcette option. Pour plus d'informations sur le partage d'instantanés de base de données, consultez Partage d'un instantané de base de données pour Amazon RDS.
Pour plus d'informations sur les options persistantes et permanentes, consultezOptions persistantes et permanentes.
Déterminer si votre instance de base de données utilise TDE
Vous souhaiterez peut-être déterminer si votre instance de base de données est associée à un groupe d'options dans lequel l'TDEoption est activée. Pour afficher le groupe d'options auquel une instance de base de données est associée, utilisez la RDS console, la describe-db-instance AWS CLI
commande ou l'APIopération escribeDBInstancesD.
Ajouter l'TDEoption
Pour ajouter l'TDEoption à votre instance de base de données, procédez comme suit :
-
(Recommandé) Prenez un instantané de votre instance de base de données.
-
Effectuez l'une des tâches suivantes :
-
Créez un nouveau groupe d'options à partir de zéro. Pour de plus amples informations, veuillez consulter Création d'un groupe d'options.
-
Copiez un groupe d'options existant à l'aide du AWS CLI ouAPI. Pour de plus amples informations, veuillez consulter Copie d'un groupe d'options.
-
Réutilisez un groupe d'options existant autre que celui par défaut. La meilleure pratique consiste à utiliser un groupe d'options qui n'est actuellement associé à aucune instance de base de données ni à aucun instantané.
-
-
Ajoutez la nouvelle option au groupe d'options de l'étape précédente.
-
Si le groupe d'options actuellement associé à votre instance de base de données possède des options activées, ajoutez ces options à votre nouveau groupe d'options. Cette stratégie empêche la désinstallation des options existantes lors de l'activation de la nouvelle option.
-
Ajoutez le nouveau groupe d'options à votre instance de base de données.
Pour ajouter l'TDEoption à un groupe d'options et l'associer à votre instance de base de données
-
Dans la RDS console, choisissez Groupes d'options.
-
Choisissez le nom du groupe d'options auquel vous souhaitez ajouter l'option.
-
Sélectionnez Ajouter une option.
-
Dans Nom de l'option, choisissez TDE, puis configurez les paramètres de l'option.
-
Sélectionnez Ajouter une option.
Important
Si vous ajoutez l'TDEoption à un groupe d'options actuellement attaché à une ou plusieurs instances de base de données, une brève interruption se produit alors que toutes les instances de base de données sont automatiquement redémarrées.
Pour plus d'informations sur l'ajout d'options, consultez Ajout d'une option à un groupe d'options.
-
Associez le groupe d'options à une instance de base de données nouvelle ou existante :
-
Pour une nouvelle instance de base de données, appliquez le groupe d'options lorsque vous lancez l'instance. Pour plus d'informations, consultez Création d'une RDS instance de base de données Amazon.
-
Pour une instance de base de données existante, appliquez le groupe d'options en modifiant l'instance et en attachant le nouveau groupe d'options. Lorsque vous ajoutez la nouvelle option à une instance de base de données existante, une brève interruption se produit pendant le redémarrage automatique de votre instance de base de données. Pour de plus amples informations, veuillez consulter Modification d'une RDS instance de base de données Amazon.
-
Dans l'exemple suivant, vous utilisez la commande AWS CLI add-option-to-option-group pour ajouter l'TDEoption à un groupe d'options appelémyoptiongroup. Pour plus d'informations, consultez Getting started : Flink 1.13.2.
Dans Linux, macOS, ou Unix:
aws rds add-option-to-option-group \ --option-group-name "myoptiongroup" \ --options "OptionName=TDE" \ --apply-immediately
Dans Windows:
aws rds add-option-to-option-group ^ --option-group-name "myoptiongroup" ^ --options "OptionName=TDE" ^ --apply-immediately
Copier vos données vers une instance de base de données qui n'inclut pas l'TDEoption
Vous ne pouvez pas supprimer l'TDEoption d'une instance de base de données ou l'associer à un groupe d'options qui ne l'TDEinclut pas. Pour migrer vos données vers une instance qui n'inclut pas TDE cette option, procédez comme suit :
-
Déchiffrez les données de votre instance de base de données.
-
Copiez les données sur une nouvelle instance de base de données qui n'est pas associée à un groupe d'options
TDEactivé. -
Supprimez votre instance de base de données d'origine.
Vous pouvez utiliser le même nom pour la nouvelle instance que l'instance de base de données précédente.
Considérations relatives à l'utilisation TDE avec Oracle Data Pump
Vous pouvez utiliser Oracle Data Pump pour importer ou exporter des fichiers de vidage chiffrés. Amazon RDS prend en charge le mode de cryptage des mots de passe (ENCRYPTION_MODE=PASSWORD) pour Oracle Data Pump. Amazon RDS ne prend pas en charge le mode de chiffrement transparent (ENCRYPTION_MODE=TRANSPARENT) pour Oracle Data Pump. Pour de plus amples informations, veuillez consulter Importation à l'aide d'Oracle Data Pump.
