Oracle Transparent Data Encryption - Amazon Relational Database Service
Modalità di crittografia di TDERestrizioniDeterminare se l'istanza DB utilizza TDEAggiunta dell'opzione TDECopia dei dati su un'istanza che non utilizza TDEConsiderazioni su Oracle Data Pump

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Oracle Transparent Data Encryption

Amazon RDS supporta Oracle Transparent Data Encryption (TDE), una caratteristica dell'opzione Oracle Advanced Security disponibile in Oracle Enterprise Edition. Tale caratteristica consente la crittografia automatica dei dati prima che vengano trascritti nello storage e la loro decriptazione automatica durante la lettura dallo storage. Questa opzione è supportata solo per il modello Bring Your Own License (BYOL).

TDE è utile negli scenari in cui è necessario crittografare i dati sensibili nel caso in cui i file di dati e i backup vengano ottenuti da terze parti. TDE è utile anche quando è necessario rispettare le normative relative alla sicurezza.

Una spiegazione dettagliata su TDE in Oracle Database non rientra nell'ambito di questa guida. Per informazioni, consulta le seguenti risorse del database Oracle:

Per ulteriori informazioni sull'utilizzo di TDE con RDS per Oracle, consulta i seguenti blog:

Modalità di crittografia di TDE

Oracle Transparent Data Encryption supporta due modalità di crittografia: la crittografia TDE degli spazi tabelle e la crittografia TDE delle colonne. La crittografia TDE degli spazi tabelle si utilizza per crittografare intere tabelle di un'applicazione. La crittografia TDE delle colonne si utilizza per crittografare singole informazioni che contengono dati sensibili. Puoi anche applicare una soluzione di crittografia ibrida che utilizza sia la codifica TDE degli spazi tabelle che quella delle colonne.

Nota

Amazon RDS gestisce Oracle Wallet e la chiave principale di TDE per l'istanza database. Non dovrai impostare la chiave crittografica con il comando ALTER SYSTEM set encryption key.

Dopo aver abilitato l'TDEopzione, puoi controllare lo stato di Oracle Wallet utilizzando il seguente comando: 

SELECT * FROM v$encryption_wallet;

Per creare uno spazio tabelle crittografato, utilizza il comando seguente:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Utilizza il comando seguente per specificare l'algoritmo di crittografia:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Le istruzioni precedenti per la crittografia di un tablespace sono le stesse che si utilizzerebbero su un database Oracle locale.

Restrizioni per l'opzione TDE

L'opzione TDE è permanente e persistente. Dopo aver associato l'istanza DB a un gruppo di opzioni con l'opzione TDE abilitata, non è possibile eseguire le seguenti azioni:

  • Disabilita l'TDEopzione nel gruppo di opzioni attualmente associato.

  • Associate l'istanza DB a un gruppo di opzioni diverso che non include l'TDEopzione.

  • Condividi un'istantanea del DB che utilizza l'TDEopzione. Per ulteriori informazioni sulla condivisione di snapshot DB, consulta Condivisione di uno snapshot del database.

Per ulteriori informazioni sulle opzioni persistenti e permanenti, consultaOpzioni persistenti e permanenti.

Determinare se l'istanza DB utilizza TDE

Potresti voler determinare se la tua istanza DB è associata a un gruppo di opzioni con l'TDEopzione abilitata. Per visualizzare il gruppo di opzioni a cui è associata un'istanza DB, utilizzare la console RDS, il AWS CLI comando describe-db-instance o l'operazione API DescribedBInstances.

Aggiunta dell'opzione TDE

Per aggiungere l'TDEopzione all'istanza DB, completa i seguenti passaggi:

  1. (Consigliato) Scatta un'istantanea della tua istanza DB.

  2. Eseguite una delle seguenti attività:

    • Crea un nuovo gruppo di opzioni da zero. Per ulteriori informazioni, consulta Creazione di un gruppo di opzioni.

    • Copia un gruppo di opzioni esistente utilizzando l'API AWS CLI or. Per ulteriori informazioni, consulta Copia di un gruppo di opzioni.

    • Riutilizza un gruppo di opzioni non predefinito esistente. Una procedura ottimale consiste nell'utilizzare un gruppo di opzioni che non è attualmente associato ad alcuna istanza o istantanea del database.

  3. Aggiungi la nuova opzione al gruppo di opzioni del passaggio precedente.

  4. Se il gruppo di opzioni attualmente associato all'istanza DB ha delle opzioni abilitate, aggiungete queste opzioni al nuovo gruppo di opzioni. Questa strategia impedisce la disinstallazione delle opzioni esistenti mentre si abilita la nuova opzione.

  5. Aggiungi il nuovo gruppo di opzioni alla tua istanza DB.

Per aggiungere l'opzione TDE a un gruppo di opzioni e associarla all'istanza DB

  1. Nella console RDS, scegli Gruppi di opzioni.

  2. Scegli il nome del gruppo di opzioni a cui desideri aggiungere l'opzione.

  3. Scegliere Add option (Aggiungi opzione).

  4. Per Nome dell'opzione, scegliete TDE, quindi configurate le impostazioni dell'opzione.

  5. Scegliere Add option (Aggiungi opzione).

    Importante

    Se si aggiunge l'opzione TDE a un gruppo di opzioni attualmente collegato a una o più istanze DB, si verifica una breve interruzione mentre tutte le istanze DB vengono riavviate automaticamente.

    Per ulteriori informazioni sull'aggiunta di opzioni, consulta Aggiunta di un'opzione a un gruppo di opzioni.

  6. Associa il gruppo di opzioni a un'istanza DB nuova o esistente:

    • Per una nuova istanza database, applicare il gruppo di opzioni quando viene avviata l'istanza. Per ulteriori informazioni, consulta Creazione di un'istanza database Amazon RDS.

    • Per un'istanza database esistente, applicare il gruppo di opzioni modificando l'istanza e collegando il nuovo gruppo di opzioni. Quando aggiungi la nuova opzione a un'istanza DB esistente, si verifica una breve interruzione mentre l'istanza DB viene riavviata automaticamente. Per ulteriori informazioni, consulta Modifica di un'istanza database Amazon RDS.

Nell'esempio seguente, si utilizza il comando AWS CLI add-option-to-option-group per aggiungere l'opzione a un gruppo di opzioni chiamato. TDE myoptiongroup Per ulteriori informazioni, vedete Guida introduttiva: Flink 1.13.2.

PerLinux, o: macOS Unix

aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately

Per Windows:

aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately

Copiare i dati in un'istanza DB che non include l'opzione TDE

Non è possibile rimuovere l'opzione TDE da un'istanza DB o associarla a un gruppo di opzioni che non include l'opzione TDE. Per migrare i dati su un'istanza che non include l'opzione TDE, procedi come segue:

  1. Decrittografa i dati sulla tua istanza DB.

  2. Copia i dati in una nuova istanza DB non associata a un gruppo di opzioni abilitatoTDE.

  3. Elimina l'istanza DB originale.

È possibile utilizzare lo stesso nome per la nuova istanza database dell'istanza DB precedente.

Considerazioni sull'utilizzo di TDE con Oracle Data Pump

Puoi utilizzare Oracle Data Pump per importare o esportare file dump crittografati. Amazon RDS supporta la modalità di crittografia delle password (ENCRYPTION_MODE=PASSWORD) per Oracle Data Pump. Amazon RDS non supporta la modalità di crittografia trasparente (ENCRYPTION_MODE=TRANSPARENT) per Oracle Data Pump. Per ulteriori informazioni, consulta Importazione utilizzando Oracle Data Pump.