Enkripsi Data Transparan Oracle - Layanan Basis Data Relasional Amazon
Mode enkripsi TDEPembatasanMenentukan apakah instans DB Anda menggunakan TDEMenambahkan opsi TDEMenyalin data ke instance yang tidak menggunakan TDEPertimbangan Oracle Data Pump

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi Data Transparan Oracle

Amazon RDS mendukung Oracle Transparent Data Encryption (TDE), yakni sebuah fitur dari opsi Oracle Advanced Security yang tersedia di Oracle Enterprise Edition. Fitur ini secara otomatis mengenkripsi data sebelum ditulis ke penyimpanan dan secara otomatis mendekripsi data saat data dibaca dari penyimpanan. Opsi ini hanya didukung untuk model Bring Your Own License (BYOL).

TDE berguna dalam skenario di mana Anda perlu mengenkripsi data sensitif jika file data dan cadangan diperoleh oleh pihak ketiga. TDE juga berguna ketika Anda harus mematuhi peraturan terkait keamanan.

Penjelasan rinci tentang TDE di Oracle Database berada di luar cakupan panduan ini. Untuk selengkapnya, lihat sumber Oracle Database berikut ini:

Untuk informasi lebih lanjut tentang menggunakan TDE dengan RDS untuk Oracle, lihat blog berikut:

Mode enkripsi TDE

Oracle Transparent Data Encryption mendukung dua mode enkripsi: enkripsi ruang tabel TDE dan enkripsi kolom TDE. Enkripsi ruang tabel TDE digunakan untuk mengenkripsi seluruh tabel aplikasi. Enkripsi kolom TDE digunakan untuk mengenkripsi elemen data individu yang berisi data sensitif. Anda juga dapat menerapkan solusi enkripsi hibrida yang menggunakan enkripsi ruang tabel dan enkripsi kolom TDE.

catatan

Amazon RDS mengelola Oracle Wallet dan kunci master TDE untuk instans DB. Anda tidak perlu menyetel kunci enkripsi menggunakan perintah ALTER SYSTEM set encryption key.

Setelah Anda mengaktifkan TDE opsi, Anda dapat memeriksa status Oracle Wallet dengan menggunakan perintah berikut: 

SELECT * FROM v$encryption_wallet;

Untuk membuat ruang tabel terenkripsi, gunakan perintah berikut:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Untuk menentukan algoritma enkripsi, gunakan perintah berikut:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Pernyataan sebelumnya untuk mengenkripsi tablespace sama seperti yang akan Anda gunakan pada database Oracle lokal.

Pembatasan untuk opsi TDE

Opsi TDE bersifat permanen dan persisten. Setelah Anda mengaitkan instans DB Anda dengan grup opsi yang mengaktifkan opsi TDE, Anda tidak dapat melakukan tindakan berikut:

  • Nonaktifkan TDE opsi di grup opsi yang saat ini terkait.

  • Kaitkan instans DB Anda dengan grup opsi berbeda yang tidak menyertakan TDE opsi.

  • Bagikan snapshot DB yang menggunakan TDE opsi. Untuk informasi lebih lanjut tentang cara berbagi snapshot DB, lihat Berbagi snapshot DB.

Untuk informasi selengkapnya tentang opsi persisten dan permanen, lihatOpsi persisten dan permanen.

Menentukan apakah instans DB Anda menggunakan TDE

Anda mungkin ingin menentukan apakah instans DB Anda dikaitkan dengan grup opsi yang mengaktifkan TDE opsi. Untuk melihat grup opsi yang terkait dengan instans DB, gunakan konsol RDS, AWS CLI perintah deskripsi-db-instance, atau operasi API DescribedBInstances.

Menambahkan opsi TDE

Untuk menambahkan TDE opsi ke instans DB Anda, selesaikan langkah-langkah berikut:

  1. (Disarankan) Ambil snapshot dari instans DB Anda.

  2. Lakukan salah satu tugas berikut:

    • Buat grup opsi baru dari awal. Untuk informasi selengkapnya, lihat Membuat grup opsi.

    • Salin grup opsi yang ada menggunakan API AWS CLI atau. Untuk informasi selengkapnya, lihat Menyalin grup opsi.

    • Gunakan kembali grup opsi non-default yang ada. Praktik terbaik adalah menggunakan grup opsi yang saat ini tidak terkait dengan instans atau snapshot DB apa pun.

  3. Tambahkan opsi baru ke grup opsi dari langkah sebelumnya.

  4. Jika grup opsi yang saat ini dikaitkan dengan instans DB Anda memiliki opsi yang diaktifkan, tambahkan opsi ini ke grup opsi baru Anda. Strategi ini mencegah opsi yang ada dihapus saat mengaktifkan opsi baru.

  5. Tambahkan grup opsi baru ke instans DB Anda.

Untuk menambahkan opsi TDE ke grup opsi dan mengaitkannya dengan instans DB Anda

  1. Di konsol RDS, pilih Grup opsi.

  2. Pilih nama grup opsi yang ingin Anda tambahkan opsi.

  3. Pilih Tambah opsi.

  4. Untuk nama Opsi, pilih TDE, lalu konfigurasikan pengaturan opsi.

  5. Pilih Tambah opsi.

    penting

    Jika Anda menambahkan opsi TDE ke grup opsi yang saat ini dilampirkan ke satu atau beberapa instans DB, pemadaman singkat terjadi saat semua instans DB dimulai ulang secara otomatis.

    Untuk informasi selengkapnya tentang cara menambahkan opsi, lihat Menambahkan opsi ke grup opsi.

  6. Kaitkan grup opsi dengan instans DB baru atau yang sudah ada:

    • Untuk instans DB baru, terapkan grup opsi saat Anda meluncurkan instans. Untuk informasi lebih lanjut, lihat Membuat instans DB Amazon RDS.

    • Untuk instans DB yang sudah ada, terapkan grup opsi dengan memodifikasi instans dan menambahkan grup opsi baru. Saat Anda menambahkan opsi baru ke instans DB yang ada, pemadaman singkat terjadi saat instans DB Anda dimulai ulang secara otomatis. Untuk informasi selengkapnya, lihat Memodifikasi instans DB Amazon RDS.

Dalam contoh berikut, Anda menggunakan perintah AWS CLI add-option-to-option-grup untuk menambahkan opsi ke grup TDE opsi yang disebut. myoptiongroup Untuk informasi selengkapnya, lihat Memulai: Flink 1.13.2.

Untuk Linux, macOS, atau Unix:

aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately

Untuk Windows:

aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately

Menyalin data Anda ke instans DB yang tidak menyertakan opsi TDE

Anda tidak dapat menghapus opsi TDE dari instans DB atau mengaitkannya dengan grup opsi yang tidak menyertakan opsi TDE. Untuk memigrasikan data Anda ke instance yang tidak menyertakan opsi TDE, lakukan hal berikut:

  1. Dekripsi data pada instans DB Anda.

  2. Salin data ke instans DB baru yang tidak terkait dengan grup opsi yang telah TDE diaktifkan.

  3. Hapus instans DB asli Anda.

Anda dapat menggunakan nama yang sama untuk instance baru seperti instans DB sebelumnya.

Pertimbangan saat menggunakan TDE dengan Oracle Data Pump

Anda dapat menggunakan Oracle Data Pump untuk mengimpor atau mengekspor file dump terenkripsi. Amazon RDS mendukung mode enkripsi kata sandi (ENCRYPTION_MODE=PASSWORD) untuk Oracle Data Pump. Amazon RDS tidak mendukung mode enkripsi transparan (ENCRYPTION_MODE=TRANSPARENT) untuk Oracle Data Pump. Untuk informasi selengkapnya, lihat Mengimpor menggunakan Oracle Data Pump.