Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Oracle Transparent Data Encryption
<a name="Appendix.Oracle.Options.AdvSecurity"></a>

Amazon RDS supporta Oracle Transparent Data Encryption (TDE), una caratteristica dell'opzione Oracle Advanced Security disponibile in Oracle Enterprise Edition. Tale caratteristica consente la crittografia automatica dei dati prima che vengano trascritti nello storage e la loro decriptazione automatica durante la lettura dallo storage. Questa opzione è supportata solo per il modello per uso di licenze proprie (BYOL).

TDE è utile negli scenari in cui è necessario crittografare dati sensibili se i file di dati e i backup si ottengono da una terza parte. TDE è utile anche quando è necessario rispettare le normative relative alla sicurezza. 

Una spiegazione dettagliata di TDE in Oracle Database esula dallo scopo di questa guida. Per informazioni, consulta le seguenti risorse di Oracle Database:
+ [Introduction to Transparent Data Encryption](https://docs.oracle.com/en/database/oracle/oracle-database/19/asoag/introduction-to-transparent-data-encryption.html#GUID-62AA9447-FDCD-4A4C-B563-32DE04D55952) nella documentazione di Oracle Database
+ [Oracle advanced security](https://www.oracle.com/security/database-security/) nella documentazione di Oracle Database
+ [Oracle advanced security Transparent Data Encryption best practices](https://www.oracle.com/br/a/tech/docs/technical-resources/twp-transparent-data-encryption-bestpractices.pdf) che è un whitepaper di Oracle

Per ulteriori informazioni sull’utilizzo di TDE con RDS per Oracle, consulta i seguenti blog:
+ [Oracle Database Encryption Options on Amazon RDS](https://aws.amazon.com/blogs/apn/oracle-database-encryption-options-on-amazon-rds/)
+ [Esegui la migrazione di un'istanza DB Amazon RDS for Oracle compatibile con TDE su più account con tempi di inattività ridotti utilizzando AWS DMS](https://aws.amazon.com/blogs/database/migrate-a-cross-account-tde-enabled-amazon-rds-for-oracle-db-instance-with-reduced-downtime-using-aws-dms/)

## Modalità di crittografia di TDE
<a name="Appendix.Oracle.Options.AdvSecurity.Modes"></a>

Oracle Transparent Data Encryption supporta due modalità di crittografia: la crittografia TDE degli spazi tabelle e la crittografia TDE delle colonne. La crittografia TDE degli spazi tabelle si utilizza per crittografare intere tabelle di un'applicazione. La crittografia TDE delle colonne si utilizza per crittografare singole informazioni che contengono dati sensibili. Puoi anche applicare una soluzione di crittografia ibrida che utilizza sia la codifica TDE degli spazi tabelle che quella delle colonne. 

**Nota**  
Amazon RDS gestisce Oracle Wallet e la chiave principale di TDE per l'istanza database. Non dovrai impostare la chiave crittografica con il comando `ALTER SYSTEM set encryption key`. 

Una volta abilitata l’opzione `TDE`, puoi verificare lo stato di Oracle Wallet utilizzando il comando seguente: 

```
SELECT * FROM v$encryption_wallet;
```

Per creare uno spazio tabelle crittografato, utilizza il comando seguente:

```
CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);
```

Utilizza il comando seguente per specificare l'algoritmo di crittografia:

```
CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);
```

Le istruzioni precedenti per la crittografia di un tablespace sono le stesse che utilizzeresti su un database Oracle on-premises.

## Restrizioni per l’opzione TDE
<a name="Appendix.Oracle.Options.Timezone.Restrictions"></a>

L’opzione TDE è permanente e persistente. Dopo aver associato l’istanza database a un gruppo di opzioni con l’opzione TDE abilitata, non puoi eseguire le azioni indicate di seguito:
+ Disabilita l’opzione `TDE` nel gruppo di opzioni attualmente associato.
+ Associa l’istanza database a un gruppo di opzioni diverso che non include l’opzione `TDE`.
+ Condividi uno snapshot di database che utilizza l’opzione `TDE`. Per ulteriori informazioni sulla condivisione di snapshot DB, consulta [Condivisione di uno snapshot DB per Amazon RDS](USER_ShareSnapshot.md).

Per ulteriori informazioni sulle opzioni persistenti e permanenti, consulta [Opzioni persistenti e permanenti](USER_WorkingWithOptionGroups.md#Overview.OptionGroups.Permanent).

## Determinare se l’istanza database utilizza TDE
<a name="Appendix.Oracle.Options.AdvSecurity.Querying"></a>

Potresti voler stabilire se l’istanza database è associata a un gruppo di opzioni con l’opzione `TDE` abilitata. [Per visualizzare il gruppo di opzioni a cui è associata un'istanza DB, utilizza la console RDS, il [describe-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)AWS CLI comando o l'operazione API Descrivi. DBInstances](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBInstances.html)

## Aggiunta dell’opzione TDE
<a name="Appendix.Oracle.Options.AdvSecurity.Add"></a>

Per rimuovere l’opzione `TDE` con un’istanza database, completa i passaggi seguenti.

1. Passaggio consigliato: acquisisci uno snapshot dell’istanza database.

1. Esegui una di queste attività:
   + Crea un nuovo gruppo di opzioni da zero. Per ulteriori informazioni, consulta [Creazione di un gruppo di opzioni](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.Create).
   + Copia un gruppo di opzioni esistente utilizzando l'API AWS CLI or. Per ulteriori informazioni, consulta [Copia di un gruppo di opzioni](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.Copy).
   + Riutilizza un gruppo esistente di opzioni non predefinite. Una best practice consiste nell’utilizzare un gruppo di opzioni che non è attualmente associato ad alcuna snapshot o istanza database.

1. Aggiungi la nuova opzione al gruppo di opzioni del passaggio precedente.

1. Se il gruppo di opzioni attualmente associato all’istanza database ha delle opzioni abilitate, aggiungile al nuovo gruppo di opzioni. Questa strategia impedisce la disinstallazione delle opzioni esistenti mentre si abilita la nuova opzione.

1. Aggiungi il nuovo gruppo di opzioni all’istanza database.

### Console
<a name="Appendix.Oracle.Options.TDE.Console"></a>

**Per aggiungere l’opzione TDE a un gruppo di opzioni e associarla all’istanza database**

1. Nella console RDS, scegli **Gruppi di opzioni**.

1. Scegli il nome del gruppo di opzioni a cui vuoi aggiungere l’opzione.

1. Scegliere **Add option (Aggiungi opzione)**.

1. Per **Nome opzione**, scegli **TDE**, quindi configura le impostazioni dell’opzione. 

1. Scegliere **Add option (Aggiungi opzione)**.
**Importante**  
Se aggiungi l’opzione **TDE** a un gruppo di opzioni che è già associato a una o più istanze database, si verifica una breve interruzione mentre tutte le istanze database vengono riavviate automaticamente. 

   Per ulteriori informazioni sull'aggiunta di opzioni, consulta [Aggiunta di un'opzione a un gruppo di opzioni](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.AddOption).

1. Associa il gruppo di opzioni a un’istanza database nuova o esistente: 
   + Per una nuova istanza database, applicare il gruppo di opzioni quando viene avviata l'istanza. Per ulteriori informazioni, consulta [Creazione di un'istanza database Amazon RDS](USER_CreateDBInstance.md). 
   + Per un'istanza database esistente, applicare il gruppo di opzioni modificando l'istanza e collegando il nuovo gruppo di opzioni. L’istanza database non viene riavviata come parte di questa operazione. Per ulteriori informazioni, consulta [Modifica di un'istanza database Amazon RDS](Overview.DBInstance.Modifying.md). 

### AWS CLI
<a name="Appendix.Oracle.Options.TDE.CLI"></a>

Nell'esempio seguente, utilizzate il comando AWS CLI [add-option-to-option-group](https://docs.aws.amazon.com/cli/latest/reference/rds/add-option-to-option-group.html) per aggiungere l'`TDE`opzione a un gruppo di opzioni chiamato`myoptiongroup`. Per ulteriori informazioni, consulta [Nozioni di base: Flink 1.13.2](https://docs.aws.amazon.com/managed-flink/latest/java/earlier.html#getting-started-1-13).

Per Linux, macOS o Unix:

```
aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately
```

Per Windows:

```
aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately
```

## Copia i dati in un’istanza database che non include l’opzione TDE
<a name="Appendix.Oracle.Options.AdvSecurity.Remove"></a>

Non puoi rimuovere l’opzione TDE da un’istanza database né associarla a un gruppo di opzioni che non comprenda l’opzione TDE. Per migrare i dati su un’istanza che non include l’opzione TDE, procedi come segue: 

1.  Decrittografa tutti i dati sull’istanza database. 

1.  Copia i dati in una nuova istanza database non associata a un gruppo di opzioni con l’opzione `TDE` abilitata. 

1.  Elimina l’istanza database originale.

Per la nuova istanza, puoi utilizzare lo stesso nome dell’istanza database precedente.

## Considerazioni sull’utilizzo di TDE con Oracle Data Pump
<a name="Appendix.Oracle.Options.AdvSecurity.Pump"></a>

Puoi utilizzare Oracle Data Pump per importare o esportare file dump crittografati. Amazon RDS supporta la modalità di crittografia delle password `(ENCRYPTION_MODE=PASSWORD)` per Oracle Data Pump. Amazon RDS non supporta la modalità di crittografia trasparente `(ENCRYPTION_MODE=TRANSPARENT)` per Oracle Data Pump. Per ulteriori informazioni, consulta [Importazione utilizzando Oracle Data Pump](Oracle.Procedural.Importing.DataPump.md).