メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

Oracle Transparent Data Encryption

Amazon RDS は、Oracle Enterprise Edition で使用可能な Oracle Advanced Security オプションの機能である Oracle Transparent Data Encryption (TDE) をサポートしています。 この機能は、ストレージへの書き込み前に自動的にデータを暗号化し、ストレージからのデータの読み取り時に自動的にデータを復号します。

Oracle Transparent Data Encryption は、データファイルとバックアップが第三者によって取得される場合や、セキュリティ関連の規制遵守の問題に対処する必要があるときに、機密データを暗号化する必要のあるシナリオで使用されます。

注記

TDE オプションまたは AWS CloudHSM Classic を使用できますが、両方を使用することはできません。詳細については、「AWS CloudHSM Classic を使用した Amazon RDS Oracle TDE キーの保存」を参照してください。

TDE オプションは、オプショングループから削除できない固定オプションです。そのオプショングループは、DB インスタンスと関連付けられると DB インスタンスから削除できません。Oracle TDE オプションを使用してそのインスタンスがオプショングループに関連付けられると、DB インスタンスから TDE を無効にすることはできません。

Oracle Transparent Data Encryption の詳細な説明は、このガイドでは取り上げません。Oracle Transparent Data Encryption については、「Transparent Data Encryption を使用した保存済みデータの保護」を参照してください。Oracle Advanced Security の詳細については、Oracle ドキュメントの「Oracle Advanced Security」を参照してください。AWS セキュリティの詳細については、AWS セキュリティセンターを参照してください。

TDE 暗号化モード

Oracle Transparent Data Encryption では、TDE テーブルスペース暗号化と TDE 列暗号化の 2 つの暗号化モードがサポートされます。TDE テーブルスペース暗号化は、アプリケーションテーブル全体の暗号化に使用されます。TDE 列暗号化は、機密データを含む個々のデータ要素を暗号化するために使用されます。TDE のテーブルスペース暗号化と列暗号化の両方を使用するハイブリッド暗号化ソリューションを適用することもできます。

注記

DB インスタンス用の Oracle Wallet と TDE マスターキーは Amazon RDS によって管理されます。 コマンド ALTER SYSTEM set encryption key を使用して暗号化キーを設定する必要はありません。

TDE のベストプラクティスについては、「Oracle Advanced Security Transparent Data Encryption のベストプラクティス」を参照してください。

オプションを有効にすると、次のコマンドを使用して Oracle Wallet のステータスを確認できます。

Copy
SELECT * FROM v$encryption_wallet;

暗号化されたテーブルスペースを作成するには、次のコマンドを使用します。

Copy
CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

暗号化アルゴリズム (バージョン 11.2.0.2 .v7 以降) を指定するには、次のコマンドを使用します。

Copy
CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

テーブルスペースを暗号化する以前のコマンドは、Amazon RDS ではなく Oracle のインストールで使用するコマンドと同じであり、列を暗号化する ALTER TABLE 構文も、Amazon RDS ではなく Oracle のインストールで使用するコマンドと同じである点に注意してください。

[TDE] オプションを含むオプショングループに DB インスタンスが関連付けられているかどうかを調べる必要があります。DB インスタンスが関連付けられているオプショングループを表示するには、RDS コンソール、AWS CLI コマンド describe-db-instance、または API アクション DescribeDBInstances を使用します。

いくつかのセキュリティ規格に準拠するために、Amazon RDS にはマスターキーの定期的な自動ローテーションが実装されています。

TDE オプションの追加

Amazon RDS で Oracle Transparent Data Encryption (TDE) を使用する手順は、次のとおりです。

  1. [TDE] オプションが有効になっているオプショングループに DB インスタンスが関連付けられていない場合は、オプショングループを作成して [TDE] オプションを追加するか、関連付けられているオプショングループを変更して [TDE] オプションを追加する必要があります。オプショングループの作成または変更の詳細については、「オプショングループを使用する」を参照してください。オプショングループへのオプションの追加の詳細については、「オプショングループにオプションを追加する」を参照してください。

  2. [TDE] オプションを含むオプショングループに DB インスタンスを関連付けます。オプショングループへの DB インスタンスの関連付けの詳細については、「Oracle データベースエンジンを実行する DB インスタンスの変更」を参照してください。

TDE オプションの削除

DB インスタンスで今後は TDE オプションを使用しない場合は、DB インスタンスですべてのデータを復号し、TDE が有効になったオプショングループに関連付けられていない新しい DB インスタンスにデータをコピーした後、元のインスタンスを削除する必要があります。必要に応じて、新しいインスタンスの名前が前の DB インスタンスと同じ名前になるように変更できます。

Data Pump での TDE の使用

Oracle Data Pump を使用すると、暗号化ダンプファイルをインポートまたはエクスポートできます。Amazon RDS では、Oracle Data Pump のパスワード暗号化モード (ENCRYPTION_MODE=PASSWORD) がサポートされます。 Amazon RDS では、Oracle Data Pump の透過的暗号化モード (ENCRYPTION_MODE=TRANSPARENT) がサポートされません。 Amazon RDS での Oracle Data Pump の使用の詳細については、「Oracle Data Pump」を参照してください。

関連トピック