Oracle 透明資料加密 - Amazon Relational Database Service
TDE 加密模式限制判斷資料庫執行個體是否正在使用 TDE新增 TDE選項將資料複製到不使用的執行個體 TDEOracle Data Pump 考量事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Oracle 透明資料加密

Amazon RDS支援 Oracle 透明資料加密 (TDE),這是 Oracle Enterprise Edition 中提供的 Oracle 進階安全選項的功能。此功能會在資料寫入至儲存體之前自動將其加密,並在從儲存體中讀取資料時自動將其解密。此選項僅支援自帶授權 (BYOL) 模型。

TDE 在第三方取得資料檔案和備份時需要加密敏感資料的情況下非常有用。TDE 當您需要遵守安全相關法規時, 也很有用。

TDE Oracle 資料庫中有關 的詳細說明超出本指南的範圍。如需詳細資訊,請參閱下列 Oracle 資料庫資源:

如需使用 TDE搭配 RDS for Oracle 的詳細資訊,請參閱下列部落格:

TDE 加密模式

Oracle 透明資料加密支援兩種加密模式:TDE資料表空間加密和TDE資料欄加密。TDE tablespace 加密用於加密整個應用程式資料表。TDE 資料欄加密用於加密包含敏感資料的個別資料元素。您也可以套用使用TDE資料表空間和資料欄加密的混合加密解決方案。

注意

Amazon 會RDS管理資料庫執行個體的 Oracle Wallet 和TDE主金鑰。您不需要使用命令 ALTER SYSTEM set encryption key 來設定加密金鑰。

啟用 TDE選項後,您可以使用下列命令檢查 Oracle Wallet 的狀態:

SELECT * FROM v$encryption_wallet;

若要建立加密的資料表空間,請使用下列命令:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

若要指定加密演算法,請使用下列命令:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

先前用於加密資料表空間的陳述式與您在內部部署 Oracle 資料庫中使用的陳述式相同。

TDE 選項的限制

TDE 選項為永久性和持久性。將資料庫執行個體與已啟用 選項TDE的選項群組建立關聯後,您就無法執行下列動作:

  • 在目前關聯的TDE選項群組中停用 選項。

  • 將您的資料庫執行個體與不包含 選項的不同TDE選項群組建立關聯。

  • 共用使用 TDE選項的資料庫快照。如需共用資料庫快照的詳細資訊,請參閱 共用 Amazon 的資料庫快照 RDS

如需持久性和永久選項的詳細資訊,請參閱 持久性與永久性選項

判斷資料庫執行個體是否正在使用 TDE

您可能想要判斷資料庫執行個體是否與已啟用 TDE 選項的選項群組相關聯。若要檢視與資料庫執行個體相關聯的選項群組,請使用 RDS 主控台、 describe-db-instance AWS CLI 命令或API操作 D escribeDBInstances

新增 TDE選項

若要將 TDE選項新增至資料庫執行個體,請完成下列步驟:

  1. (建議) 拍攝資料庫執行個體的快照。

  2. 執行下列其中一個任務:

    • 從頭開始建立新的選項群組。如需詳細資訊,請參閱建立選項群組

    • 使用 AWS CLI 或 複製現有的選項群組API。如需詳細資訊,請參閱刪除選項群組

    • 重複使用現有的非預設選項群組。最佳實務是使用目前未與任何資料庫執行個體或快照相關聯的選項群組。

  3. 從上一個步驟將新選項新增至選項群組。

  4. 如果目前與資料庫執行個體相關聯的選項群組已啟用選項,請將這些選項新增至您的新選項群組。此策略可防止在啟用新選項時解除安裝現有選項。

  5. 將新選項群組新增至資料庫執行個體。

將 TDE選項新增至選項群組,並將其與資料庫執行個體建立關聯

  1. 在RDS主控台中,選擇選項群組。

  2. 選擇您要新增選項的選項群組名稱。

  3. 選擇 Add option (新增選項)

  4. 針對選項名稱 ,選擇 TDE,然後設定選項設定。

  5. 選擇 Add option (新增選項)

    重要

    如果您將 TDE選項新增至目前連接至一或多個資料庫執行個體的選項群組,則在所有資料庫執行個體自動重新啟動時,會發生短暫中斷。

    如需新增選項的詳細資訊,請參閱將選項新增至選項群組

  6. 將選項群組與新的或現有的資料庫執行個體建立關聯:

    • 針對新的資料庫執行個體,在啟動執行個體時套用選項群組。如需更多詳細資訊,請參閱 建立 Amazon RDS 資料庫執行個體

    • 針對現有的資料庫執行個體,可以透過修改執行個體並附加新的選項群組來套用選項群組。當您將新選項新增至現有資料庫執行個體時,資料庫執行個體會自動重新啟動時會發生短暫中斷。如需詳細資訊,請參閱修改 Amazon RDS 資料庫執行個體

在下列範例中,您可以使用 AWS CLI add-option-to-option-group 命令將 TDE選項新增至名為 的選項群組myoptiongroup。如需詳細資訊,請參閱入門:Flink 1.13.2

用於 Linux, macOS,或 Unix:

aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately

用於 Windows:

aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately

將資料複製到不包含 TDE選項的資料庫執行個體

您無法從資料庫執行個體中移除 TDE選項,或將其與不包含 選項的選項群組建立關聯TDE。若要將資料遷移至不包含 TDE選項的執行個體,請執行下列動作:

  1. 解密資料庫執行個體上的資料。

  2. 將資料複製到與TDE已啟用的選項群組沒有關聯的新資料庫執行個體。

  3. 刪除原始資料庫執行個體。

您可以為新執行個體使用與上一個資料庫執行個體相同的名稱。

TDE 搭配 Oracle Data Pump 使用 時的考量事項

您可以使用 Oracle Data Pump 來匯入或匯出加密的傾印檔案。Amazon RDS支援 Oracle Data Pump (ENCRYPTION_MODE=PASSWORD) 的密碼加密模式。Amazon RDS 不支援 Oracle Data Pump (ENCRYPTION_MODE=TRANSPARENT)的透明加密模式。如需詳細資訊,請參閱使用 Oracle Data Pump 匯入