Enkripsi Data Transparan Oracle - Layanan Basis Data Relasional Amazon
TDEmode enkripsiPembatasanMenentukan apakah instans DB Anda menggunakan TDEMenambahkan TDE opsiMenyalin data ke instance yang tidak menggunakan TDEPertimbangan Oracle Data Pump

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi Data Transparan Oracle

Amazon RDS mendukung Oracle Transparent Data Encryption (TDE), fitur dari opsi Oracle Advanced Security yang tersedia di Oracle Enterprise Edition. Fitur ini secara otomatis mengenkripsi data sebelum ditulis ke penyimpanan dan secara otomatis mendekripsi data saat data dibaca dari penyimpanan. Opsi ini hanya didukung untuk model Bring Your Own License (BYOL).

TDEberguna dalam skenario di mana Anda perlu mengenkripsi data sensitif jika file data dan cadangan diperoleh oleh pihak ketiga. TDEjuga berguna ketika Anda harus mematuhi peraturan terkait keamanan.

Penjelasan rinci tentang TDE di Oracle Database berada di luar cakupan panduan ini. Untuk selengkapnya, lihat sumber Oracle Database berikut ini:

Untuk informasi lebih lanjut tentang menggunakan TDE dengan RDS untuk Oracle, lihat blog berikut:

TDEmode enkripsi

Enkripsi Data Transparan Oracle mendukung dua mode enkripsi: enkripsi TDE tablespace dan enkripsi TDE kolom. TDEenkripsi tablespace digunakan untuk mengenkripsi seluruh tabel aplikasi. TDEenkripsi kolom digunakan untuk mengenkripsi elemen data individual yang berisi data sensitif. Anda juga dapat menerapkan solusi enkripsi hybrid yang menggunakan enkripsi TDE tablespace dan kolom.

catatan

Amazon RDS mengelola Oracle Wallet dan kunci TDE master untuk instans DB. Anda tidak perlu menyetel kunci enkripsi menggunakan perintah ALTER SYSTEM set encryption key.

Setelah Anda mengaktifkan TDE opsi, Anda dapat memeriksa status Oracle Wallet dengan menggunakan perintah berikut: 

SELECT * FROM v$encryption_wallet;

Untuk membuat ruang tabel terenkripsi, gunakan perintah berikut:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Untuk menentukan algoritma enkripsi, gunakan perintah berikut:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Pernyataan sebelumnya untuk mengenkripsi tablespace sama seperti yang akan Anda gunakan pada database Oracle lokal.

Pembatasan untuk TDE opsi

TDEOpsi ini permanen dan persisten. Setelah mengaitkan instans DB Anda dengan grup opsi yang mengaktifkan TDE opsi, Anda tidak dapat melakukan tindakan berikut:

  • Nonaktifkan TDE opsi di grup opsi yang saat ini terkait.

  • Kaitkan instans DB Anda dengan grup opsi berbeda yang tidak menyertakan TDE opsi.

  • Bagikan snapshot DB yang menggunakan TDE opsi. Untuk informasi lebih lanjut tentang cara berbagi snapshot DB, lihat Berbagi snapshot DB untuk Amazon RDS.

Untuk informasi selengkapnya tentang opsi persisten dan permanen, lihatOpsi persisten dan permanen.

Menentukan apakah instans DB Anda menggunakan TDE

Anda mungkin ingin menentukan apakah instans DB Anda dikaitkan dengan grup opsi yang mengaktifkan TDE opsi. Untuk melihat grup opsi yang terkait dengan instans DB, gunakan RDS konsol, describe-db-instance AWS CLI perintah, atau API operasi D escribeDBInstances.

Menambahkan TDE opsi

Untuk menambahkan TDE opsi ke instans DB Anda, selesaikan langkah-langkah berikut:

  1. (Disarankan) Ambil snapshot dari instans DB Anda.

  2. Lakukan salah satu tugas berikut:

    • Buat grup opsi baru dari awal. Untuk informasi selengkapnya, lihat Membuat grup opsi.

    • Salin grup opsi yang ada menggunakan AWS CLI atauAPI. Untuk informasi selengkapnya, lihat Menyalin grup opsi.

    • Gunakan kembali grup opsi non-default yang ada. Praktik terbaik adalah menggunakan grup opsi yang saat ini tidak terkait dengan instans atau snapshot DB apa pun.

  3. Tambahkan opsi baru ke grup opsi dari langkah sebelumnya.

  4. Jika grup opsi yang saat ini dikaitkan dengan instans DB Anda memiliki opsi yang diaktifkan, tambahkan opsi ini ke grup opsi baru Anda. Strategi ini mencegah opsi yang ada dihapus saat mengaktifkan opsi baru.

  5. Tambahkan grup opsi baru ke instans DB Anda.

Untuk menambahkan TDE opsi ke grup opsi dan mengaitkannya dengan instans DB Anda

  1. Di RDS konsol, pilih Grup opsi.

  2. Pilih nama grup opsi yang ingin Anda tambahkan opsi.

  3. Pilih Tambah opsi.

  4. Untuk nama Opsi, pilih TDE, lalu konfigurasikan pengaturan opsi.

  5. Pilih Tambah opsi.

    penting

    Jika Anda menambahkan TDEopsi ke grup opsi yang saat ini dilampirkan ke satu atau beberapa instans DB, pemadaman singkat terjadi sementara semua instans DB secara otomatis dimulai ulang.

    Untuk informasi selengkapnya tentang cara menambahkan opsi, lihat Menambahkan opsi ke grup opsi.

  6. Kaitkan grup opsi dengan instans DB baru atau yang sudah ada:

    • Untuk instans DB baru, terapkan grup opsi saat Anda meluncurkan instans. Untuk informasi lebih lanjut, lihat Membuat instans Amazon RDS DB.

    • Untuk instans DB yang sudah ada, terapkan grup opsi dengan memodifikasi instans dan menambahkan grup opsi baru. Saat Anda menambahkan opsi baru ke instans DB yang ada, pemadaman singkat terjadi saat instans DB Anda dimulai ulang secara otomatis. Untuk informasi selengkapnya, lihat Memodifikasi instans Amazon RDS DB.

Dalam contoh berikut, Anda menggunakan perintah AWS CLI add-option-to-option-group untuk menambahkan TDE opsi ke grup opsi yang disebutmyoptiongroup. Untuk informasi selengkapnya, lihat Memulai: Flink 1.13.2.

Untuk Linux, macOS, atau Unix:

aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately

Untuk Windows:

aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately

Menyalin data Anda ke instans DB yang tidak menyertakan opsi TDE

Anda tidak dapat menghapus TDE opsi dari instans DB atau mengaitkannya dengan grup opsi yang tidak menyertakan TDE opsi. Untuk memigrasikan data Anda ke instance yang tidak menyertakan TDE opsi, lakukan hal berikut:

  1. Dekripsi data pada instans DB Anda.

  2. Salin data ke instans DB baru yang tidak terkait dengan grup opsi yang telah TDE diaktifkan.

  3. Hapus instans DB asli Anda.

Anda dapat menggunakan nama yang sama untuk instance baru seperti instans DB sebelumnya.

Pertimbangan saat menggunakan TDE dengan Oracle Data Pump

Anda dapat menggunakan Oracle Data Pump untuk mengimpor atau mengekspor file dump terenkripsi. Amazon RDS mendukung mode enkripsi kata sandi (ENCRYPTION_MODE=PASSWORD) untuk Oracle Data Pump. Amazon RDS tidak mendukung mode enkripsi transparan (ENCRYPTION_MODE=TRANSPARENT) untuk Oracle Data Pump. Untuk informasi selengkapnya, lihat Mengimpor menggunakan Oracle Data Pump.