Oracle Transparent Data Encryption - Amazon Relational Database Service
TDE 暗号化モード制限事項DB インスタンスが TDE を使用しているかどうかの確認TDE オプションの追加TDE を使用しないインスタンスへのデータのコピーOracle Data Pump に関する考慮事項

Oracle Transparent Data Encryption

Amazon RDS は、Oracle Enterprise Edition で使用可能な Oracle Advanced Security オプションの機能である Oracle Transparent Data Encryption (TDE) をサポートしています。この機能は、ストレージへの書き込み前に自動的にデータを暗号化し、ストレージからのデータの読み取り時に自動的にデータを復号します。このオプションは、Bring Your Own License (BYOL) モデルでのみサポートされています。

TDE は、データファイルやバックアップが第三者によって取得された場合に機密データを暗号化する必要があるシナリオで便利です。TDE は、セキュリティ関連の規制に準拠する必要がある場合にも役立ちます。

Oracle Database TDE に関する詳細な説明は、このガイドでは取り上げません。詳細については、次の Oracle Database リソースを参照してください。

RDS for Oracle で TDE を使用する方法の詳細については、次のブログを参照してください。

TDE 暗号化モード

Oracle Transparent Data Encryption では、TDE テーブルスペース暗号化と TDE 列暗号化の 2 つの暗号化モードがサポートされます。TDE テーブルスペース暗号化は、アプリケーションテーブル全体の暗号化に使用されます。TDE 列暗号化は、機密データを含む個々のデータ要素を暗号化するために使用されます。TDE のテーブルスペース暗号化と列暗号化の両方を使用するハイブリッド暗号化ソリューションを適用することもできます。

注記

DB インスタンス用の Oracle Wallet と TDE マスターキーは Amazon RDS によって管理されます。コマンド ALTER SYSTEM set encryption key を使用して暗号化キーを設定する必要はありません。

TDE オプションを有効にすると、次のコマンドを使用して Oracle Wallet のステータスを確認できます。

SELECT * FROM v$encryption_wallet;

暗号化されたテーブルスペースを作成するには、次のコマンドを使用します。

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

暗号アルゴリズムを指定するには、以下のコマンドを実行します。

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

テーブルスペースを暗号化するための前述のステートメントは、オンプレミスの Oracle データベースで使用するステートメントと同じです。

TDE オプションの制限事項

オプションは永続的かつ固定的です。DB インスタンスを TDE オプションが有効になっているオプショングループに関連付けると、次のアクションを実行することはできません。

  • 現在関連付けられているオプショングループの TDE オプションを無効にします。

  • TDE オプションを含まない異なるオプショングループに DB インスタンスを関連付けます。

  • TDE オプションを使用している DB スナップショットを共有します。DB スナップショットの共有の詳細については、「Amazon RDS の DB スナップショットを共有する」を参照してください。

永続的および固定的オプションの詳細については、「永続オプションと固定オプション」を参照してください。

DB インスタンスが TDE を使用しているかどうかの確認

TDE オプションを含むオプショングループに DB インスタンスが関連付けられているかどうかを調べるたい場合があります。DB インスタンスが関連付けられているオプショングループを表示するには、RDS コンソール、AWS CLI コマンド (describe-db-instance)、または API オペレーション DescribeDBInstances を使用します。

TDE オプションの追加

TDE オプションを DB インスタンスに追加するには、次のステップを完了します。

  1. (推奨) DB インスタンスのスナップショットを取ります。

  2. 次のいずれかのタスクを行います。

    • 新しいオプショングループを初めから作成します。詳細については、「オプショングループを作成する」を参照してください。

    • AWS CLI または API を使用して既存のオプショングループをコピーします。詳細については、「オプショングループをコピーする」を参照してください。

    • デフォルト以外の既存のオプショングループを再利用します。ベストプラクティスは、DB インスタンスまたはスナップショットに現在関連付けられていないオプショングループを使用することです。

  3. 前のステップからオプショングループに新しいオプションを追加します。

  4. 現在 DB インスタンスに関連付けられているオプショングループでオプションが有効になっている場合は、これらのオプションを新しいオプショングループに追加します。この戦略は、新しいオプションを有効にしている間に既存のオプションがアンインストールされるのを防ぐことができます。

  5. DB インスタンスに新しいオプショングループを追加します。

TDE オプションをオプショングループに追加して、DB インスタンスに関連付けるには

  1. RDS コンソールで、[オプショングループ] を選択します。

  2. オプションを追加するオプショングループの名前を選択します。

  3. [オプションを追加] を選択します。

  4. [オプション名] として [TDE] を選択し、オプション設定を行います。

  5. [オプションを追加] を選択します。

    重要

    1 つ以上の DB インスタンスにアタッチされているオプショングループに TDE オプションを追加すると、すべての DB インスタンスが自動的に再起動する間に短い停止が発生します。

    オプションの追加方法の詳細については、「オプショングループにオプションを追加する」を参照してください。

  6. オプショングループを新規または既存の DB インスタンスに関連付けます。

    • 新しい DB インスタンスの場合は、インスタンスを起動するときにオプショングループを適用します。詳細については、「Amazon RDS DB インスタンスの作成」を参照してください。

    • 既存の DB インスタンスの場合は、インスタンスを修正し、新しいオプショングループを添付することで、オプショングループを適用します。既存の DB インスタンスに新しいオプションを追加すると、DB インスタンスが自動的に再起動している間に短い停止が発生します。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。

次の例では、AWS CLI add-option-to-option-group コマンドを使用して、TDE オプションを myoptiongroup という名前のオプショングループに追加します。詳細については、「開始方法: Flink 1.13.2」を参照してください。

Linux、macOS、Unix の場合:

aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately

Windows の場合:

aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately

TDE オプションを含まない DB インスタンスへのデータのコピー

DB インスタンスから TDE オプションを削除したり、TDE オプションを含まないオプショングループに関連付けることはできません。TDE オプションを含まないインスタンスにデータを移行するには、次の手順を実行します。

  1. DB インスタンス上のデータを復号します。

  2. TDE が有効になっているオプショングループに関連付けられていない新しい DB インスタンスにデータをコピーします。

  3. 元の DB インスタンスを削除します。

新しいインスタンスには、前の DB インスタンスと同じ名前を付けることができます。

Oracle Data Pump で TDE を使用する場合の考慮事項

暗号化されたダンプファイルをインポートまたはエクスポートするには、Oracle Data Pump を使用します。Amazon RDS は、Oracle Data Pump 用のパスワード暗号化モード (ENCRYPTION_MODE=PASSWORD) をサポートしています。Oracle Data Pump 用の透過的暗号化モード (ENCRYPTION_MODE=TRANSPARENT) は、Amazon RDS でサポートされていません。詳細については、「Oracle Data Pump を使用したインポート」を参照してください。