Oracle Transparent Data Encryption - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Oracle Transparent Data Encryption

Amazon RDS unterstützt Oracle Transparent Data Encryption (TDE), eine Funktion der Oracle Advanced Security-Option, die in der Oracle Enterprise Edition erhältlich ist. Mit dieser Funktion werden Daten vor dem Speichern automatisch verschlüsselt und beim Abruf aus dem Speicher automatisch entschlüsselt. Diese Option wird nur für das Modell Bring Your Own License (BYOL) unterstützt.

TDE ist in Szenarien nützlich, in denen Sie sensible Daten verschlüsseln müssen, falls Datendateien und Backups von Dritten abgerufen werden. TDE ist auch nützlich, wenn Sie sicherheitsrelevante Vorschriften einhalten müssen.

Die TDE Option ist dauerhaft und dauerhaft. Wenn Sie Ihre RDS for Oracle DB-Instance einer Optionsgruppe zuordnen, für die die TDE Option aktiviert ist, können Sie sie nicht deaktivieren. Sie können die Optionsgruppe ändern, aber die neue Optionsgruppe muss die TDE Option enthalten. Weitere Hinweise zu persistenten und permanenten Optionen finden Sie unterPersistente und permanente Optionen.

Anmerkung

Sie können keinen DB-Snapshot teilen, der die TDE-Option verwendet. Weitere Informationen zum Freigeben von DB-Snapshots finden Sie unter Freigeben eines DB Schnappschusses.

Eine ausführliche Erläuterung von TDE in Oracle Database würde den Rahmen dieses Handbuchs sprengen. Informationen finden Sie in den folgenden Oracle Database-Ressourcen:

Weitere Informationen zur Verwendung von TDE mit RDS für Oracle finden Sie in den folgenden Blogs:

TDE-Verschlüsselungsmodi

Oracle Transparent Data Encryption unterstützt zwei Verschlüsselungsmodi: die Tabellenraumverschlüsselung und die Spaltenverschlüsselung. Mit der Tabellenraumverschlüsselung der TDE-Funktion lassen sich gesamte Anwendungstabellen verschlüsseln. Die Spaltenverschlüsselung der TDE-Funktion dient hingegen der Verschlüsselung einzelner Datenelemente, die vertrauliche Daten enthalten. Sie können auch eine hybride Verschlüsselung verwenden, bei der sowohl die Tabellenraum- als auch die Spaltenverschlüsselung von TDE zum Einsatz kommt.

Anmerkung

Amazon RDS verwaltet Oracle Wallet und den TDE-Hauptschlüssel für die DB-Instance. Sie müssen den Verschlüsselungsschlüssel nicht durch den Befehl festlege ALTER SYSTEM set encryption key.

Nachdem Sie die TDE Option aktiviert haben, können Sie den Status der Oracle Wallet mit dem folgenden Befehl überprüfen:

SELECT * FROM v$encryption_wallet;

Sie können mit folgendem Befehl einen verschlüsselten Tabellenraum erzeugen:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Um den Verschlüsselungsalgorithmus anzugeben, verwenden Sie den folgenden Befehl:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Die vorherigen Anweisungen zur Verschlüsselung eines Tablespaces entsprechen denen, die Sie in einer lokalen Oracle-Datenbank verwenden würden.

Stellen Sie fest, ob Ihre DB-Instance TDE verwendet

Möglicherweise möchten Sie ermitteln, ob Ihre DB-Instance einer Optionsgruppe zugeordnet ist, für die die TDE Option aktiviert ist. Um die Optionsgruppe anzuzeigen, der eine DB-Instance zugeordnet ist, verwenden Sie die RDS-Konsole, den describe-db-instance AWS CLI Befehl oder die API-Operation DescribeDBInstances.

Hinzufügen der TDE-Option

Führen Sie die folgenden Schritte aus, um Oracle Transparent Data Encryption (TDE) mit Amazon RDS zu verwenden:

  1. Wenn die DB-Instance keiner Optionsgruppe zugeordnet ist, für die die TDE Option aktiviert ist, müssen Sie entweder eine Optionsgruppe erstellen und die Option hinzufügen oder die zugehörige TDE Optionsgruppe ändern, um die Option hinzuzufügen. TDE Weitere Informationen zum Erstellen oder Ändern einer Optionsgruppe finden Sie unter Arbeiten mit Optionsgruppen. Weitere Informationen zum Hinzufügen einer Option zu einer Optionsgruppe finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

  2. Ordnen Sie der DB-Instance eine Optionsgruppe zu, die über die Option TDE verfügt. Weitere Informationen zum Zuordnen einer DB-Instance zu einer Optionsgruppe finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Kopieren Sie Ihre Daten in eine DB-Instance, die die TDE-Option nicht enthält

Sie können die TDE-Option nicht aus der DB-Instance entfernen oder sie einer Optionsgruppe zuordnen, die die TDE-Option nicht enthält. Gehen Sie wie folgt vor, um Ihre Daten auf eine Instance zu migrieren, die die TDE-Option nicht enthält:

  1. Entschlüsseln Sie die Daten auf Ihrer DB-Instance.

  2. Kopieren Sie die Daten in eine neue DB-Instance, die keiner TDE aktivierten Optionsgruppe zugeordnet ist.

  3. Löschen Sie Ihre ursprüngliche DB-Instance.

Sie können der neuen Instanz denselben Namen geben wie der vorherigen DB-Instanz.

Verwenden von TDE mit Oracle Data Pump

Sie können Oracle Data Pump verwenden, um verschlüsselte Dump-Dateien zu importieren oder zu exportieren. Amazon RDS unterstützt den Passwortverschlüsselungsmodus (ENCRYPTION_MODE=PASSWORD) für Oracle Data Pump. Amazon RDS unterstützt keinen transparenten Verschlüsselungsmodus (ENCRYPTION_MODE=TRANSPARENT) für Oracle Data Pump. Weitere Informationen finden Sie unter Importieren mit Oracle Data Pump.