Oracle Transparent Data Encryption - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Oracle Transparent Data Encryption

Amazon RDS prend en charge Oracle TDE (Transparent Data Encryption), fonction de l'option Oracle Advanced Security disponible dans Oracle Enterprise Edition. Cette fonction chiffre automatiquement les données avant qu'elles ne soient écrites dans le stockage et déchiffre automatiquement les données lorsqu'elles sont lues depuis le stockage.

Le TDE est utile dans les scénarios où vous devez chiffrer des données sensibles au cas où des fichiers de données et des sauvegardes seraient obtenus par un tiers. Le TDE est également utile lorsque vous devez vous conformer aux réglementations relatives à la sécurité.

L'TDEoption est persistante et permanente. Si vous associez votre instance de base de données RDS pour Oracle à un groupe d'options dans lequel l'TDEoption est activée, vous ne pouvez pas la désactiver. Vous pouvez modifier le groupe d'options, mais le nouveau groupe d'options doit inclure l'TDEoption. Pour plus d'informations sur les options persistantes et permanentes, consultezOptions persistantes et permanentes.

Note

Vous ne pouvez pas partager un instantané de base de données qui utilise l'option TDE. Pour plus d'informations sur le partage d'instantanés de base de données, consultez Partage d'un instantané de de base de données.

Une explication détaillée du TDE dans Oracle Database n'entre pas dans le cadre de ce guide. Pour plus d'informations, consultez les ressources de base de données Oracle suivantes :

Pour plus d'informations sur l'utilisation de TDE avec RDS pour Oracle, consultez les blogs suivants :

Modes de chiffrement TDE

Oracle TDE prend en charge deux modes de chiffrement : le chiffrement d'espace de table TDE et le chiffrement de colonne TDE. Le chiffrement d'espace de table TDE permet de chiffrer des tables d'application complètes. Le chiffrement de colonne TDE permet de chiffrer les éléments de données qui contiennent des données sensibles. Vous pouvez également appliquer une solution de chiffrement hybride qui utilise les deux chiffrements TDE d'espace de table et de colonne.

Note

Amazon RDS assure la gestion du portefeuille (« wallet ») Oracle et de la clé principale TDE pour l'instance de base de données. Vous n'avez pas besoin de définir la clé de chiffrement à l'aide de la commande ALTER SYSTEM set encryption key.

Après avoir activé TDE cette option, vous pouvez vérifier l'état du portefeuille Oracle à l'aide de la commande suivante :

SELECT * FROM v$encryption_wallet;

Pour créer un espace de table chiffré, utilisez la commande suivante :

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Pour spécifier l'algorithme de chiffrement, utilisez la commande suivante :

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Les instructions précédentes pour chiffrer un tablespace sont les mêmes que celles que vous utiliseriez sur une base de données Oracle locale.

Déterminer si votre instance de base de données utilise le TDE

Vous souhaiterez peut-être déterminer si votre instance de base de données est associée à un groupe d'options dans lequel l'TDEoption est activée. Pour afficher le groupe d'options auquel une instance de base de données est associée, utilisez la console RDS, la describe-db-instance AWS CLI commande ou l'opération d'API DescribeDBInstances.

Ajout de l'option TDE

Le processus d'utilisation d'Oracle TDE avec Amazon RDS est le suivant :

  1. Si l'instance de base de données n'est pas associée à un groupe d'options dont l'TDEoption est activée, vous devez soit créer un groupe d'options et ajouter l'TDEoption, soit modifier le groupe d'options associé pour ajouter l'TDEoption. Pour plus d'informations sur la création ou la modification d'un groupe d'options, consultez Utilisation de groupes d'options. Pour de plus amples informations sur l'ajout d'une option à un groupe d'options, veuillez consulter Ajout d'une option à un groupe d'options.

  2. Associez l'instance de base de données au groupe d'options avec l'option TDE. Pour plus d'informations sur l'association d'une instance de base de données à un groupe d'options, consultez Modification d'une instance de base de données Amazon RDS.

Copier vos données vers une instance de base de données qui n'inclut pas l'option TDE

Vous ne pouvez pas supprimer l'option TDE de l'instance de base de données ou l'associer à un groupe d'options qui n'inclut pas l'option TDE. Pour migrer vos données vers une instance qui n'inclut pas l'option TDE, procédez comme suit :

  1. Déchiffrez les données de votre instance de base de données.

  2. Copiez les données sur une nouvelle instance de base de données qui n'est pas associée à un groupe d'options TDE activé.

  3. Supprimez votre instance de base de données d'origine.

Vous pouvez nommer la nouvelle instance avec le même nom que celui de l'instance de base de données précédente.

Utilisation de TDE avec Oracle Data Pump

Vous pouvez utiliser Oracle Data Pump pour importer ou exporter des fichiers de vidage chiffrés. Amazon RDS prend en charge le mode de chiffrement des mots de passe (ENCRYPTION_MODE=PASSWORD) pour Oracle Data Pump. Amazon RDS ne prend pas en charge le mode de chiffrement transparent (ENCRYPTION_MODE=TRANSPARENT) pour Oracle Data Pump. Pour de plus amples informations, veuillez consulter Importation à l'aide d'Oracle Data Pump.