Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Oracle Database Transparent Data Encryption (TDE) com o AWS CloudHSM

Modo de foco
Oracle Database Transparent Data Encryption (TDE) com o AWS CloudHSM - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Transparent Data Encryption [criptografia de dados transparente (TDE)] é usada para criptografar arquivos de banco de dados. Com o TDE, o servidor de banco de dados criptografa os dados antes de armazená-los no disco. Os dados nas colunas ou tablespaces da tabela do banco de dados são criptografados com uma chave de tabela ou chave de tablespace. Algumas versões do software de banco de dados da Oracle oferecem TDE. No Oracle TDE, essas chaves são criptografadas com a chave mestre de criptografia TDE. Você pode obter maior segurança armazenando a chave mestra de criptografia do TDE HSMs no seu AWS CloudHSM cluster.

Armazene a chave de criptografia mestre do Oracle TDE no AWS CloudHSM.

Nessa solução, você usa o Oracle Database instalado em uma EC2 instância da Amazon. O Oracle Database se integra à biblioteca de AWS CloudHSM software do PKCS #11 para armazenar a chave mestra do TDE HSMs no seu cluster.

Importante
  • Recomendamos instalar o Oracle Database em uma EC2 instância da Amazon.

Complete as seguintes etapas para realizar a integração do Oracle TDE com o AWS CloudHSM.

Etapa 1. Configurar os pré-requisitos

Para realizar a integração do Oracle TDE com AWS CloudHSM, você precisa do seguinte:

  • Um AWS CloudHSM cluster ativo com pelo menos um HSM.

  • Uma EC2 instância da Amazon executando o sistema operacional Amazon Linux com o seguinte software instalado:

    • O AWS CloudHSM cliente e as ferramentas da linha de comando.

    • A biblioteca AWS CloudHSM de software para PKCS #11.

    • Banco de dados Oracle. AWS CloudHSM oferece suporte à integração com o Oracle TDE. O Client SDK 5.6 e versões superiores oferecem suporte ao Oracle TDE para o Oracle Database 19c. O Client SDK 3 oferece suporte ao Oracle TDE para o Oracle Database versões 11g e 12c.

  • Um usuário criptográfico (UC) para possuir e gerenciar a chave de criptografia mestra do TDE HSMs no seu cluster.

Conclua as seguintes etapas para configurar todos os pré-requisitos.

Para configurar os pré-requisitos para a integração do Oracle TDE com AWS CloudHSM
  1. Siga as etapas em Conceitos básicos. Depois de fazer isso, você terá um cluster ativo com um HSM. Você também terá uma EC2 instância da Amazon executando o sistema operacional Amazon Linux. As ferramentas AWS CloudHSM do cliente e da linha de comando também serão instaladas e configuradas.

  2. (Opcional) Adicione mais HSMs ao seu cluster. Para obter mais informações, consulte Adicionar um HSM a um cluster AWS CloudHSM.

  3. Conecte-se à sua instância EC2 cliente da Amazon e faça o seguinte:

    1. Instale a biblioteca AWS CloudHSM de software para PKCS #11.

    2. Instale o Oracle Database. Para obter mais informações, consulte a documentação do Oracle Database. O Client SDK 5.6 e versões superiores oferecem suporte ao Oracle TDE para o Oracle Database 19c. O Client SDK 3 oferece suporte ao Oracle TDE para o Oracle Database versões 11g e 12c.

    3. Use a ferramenta da linha de comando cloudhsm_mgmt_util para criar um usuário de criptografia (CU) no seu cluster. Para obter mais informações sobre a criação de um CU, consulte Como gerenciar usuários do HSM com CMU e Usuários do HSM.

Etapa 3: gerar a chave de criptografia mestra do Oracle TDE

Para gerar a chave mestra do Oracle TDE HSMs no seu cluster, conclua as etapas do procedimento a seguir.

Para gerar a chave-mestra
  1. Use o comando a seguir para abrir o Oracle SQL*Plus. Quando solicitado, digite a senha do sistema que você definiu quando instalou o Oracle Database.

    sqlplus / as sysdba
    nota

    Para Client SDK 3, é necessário definir a variável de ambiente CLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE sempre que você gerar uma chave mestra. Essa variável é necessária apenas para a geração de chave mestra. Para obter mais informações, consulte "Problema: Oracle define o atributo PCKS #11 CKA_MODIFIABLE durante a geração da chave mestra, mas o HSM não oferece suporte a ele" em Problemas conhecidos para integração de aplicativos de terceiros.

  2. Execute a instrução SQL que cria a chave de criptografia mestra, conforme mostrado nos exemplos a seguir. Use a instrução que corresponda à sua versão do Oracle Database. <CU user name>Substitua pelo nome de usuário do usuário criptográfico (UC). <password>Substitua pela senha da UC.

    Importante

    Execute o seguinte comando apenas uma vez. Cada vez que o comando é executado, ele cria uma nova chave de criptografia mestra.

    • Para o Oracle Database versão 11, execute a seguinte instrução SQL.

      SQL> alter system set encryption key identified by "<CU user name>:<password>";
    • Para o Oracle Database versão 12 e versão 19c, execute a seguinte instrução SQL.

      SQL> administer key management set key identified by "<CU user name>:<password>";

    Se a resposta for System altered ou keystore altered, você gerou e definiu com êxito a chave-mestra do Oracle TDE.

  3. (Opcional) Execute o seguinte comando para verificar o status da Oracle wallet.

    SQL> select * from v$encryption_wallet;

    Se a carteira não estiver aberta, use um dos seguintes comandos para abri-lo. <CU user name>Substitua pelo nome do usuário criptográfico (UC). <password>Substitua pela senha da UC.

    • Para o Oracle 11, execute o seguinte comando para abrir a wallet.

      SQL> alter system set encryption wallet open identified by "<CU user name>:<password>";

      Para fechar manualmente a carteira, execute o seguinte comando.

      SQL> alter system set encryption wallet close identified by "<CU user name>:<password>";
    • Para o Oracle 12 e Oracle 19c, execute o seguinte comando para abrir a wallet.

      SQL> administer key management set keystore open identified by "<CU user name>:<password>";

      Para fechar manualmente a carteira, execute o seguinte comando.

      SQL> administer key management set keystore close identified by "<CU user name>:<password>";
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.