Amazon Relational Database Service
Guide de l'utilisateur

Oracle Transparent Data Encryption

Amazon RDS prend en charge Oracle TDE (Transparent Data Encryption), fonction de l'option Oracle Advanced Security disponible dans Oracle Enterprise Edition. Cette fonction chiffre automatiquement les données avant qu'elles ne soient écrites dans le stockage et déchiffre automatiquement les données lorsqu'elles sont lues depuis le stockage.

L'option Oracle TDE est utilisée dans les scénarios où vous avez besoin de chiffrer les données sensibles au cas où les sauvegardes et les fichiers de données seraient obtenus par un tiers ou lorsque vous avez besoin de traiter les questions de conformité réglementaire relatives à la sécurité.

L'option TDE est une option permanente qui ne peut pas être supprimée d'un groupe d'options. Vous ne pouvez pas désactiver TDE à partir d'une instance de base de données une fois que cette instance est associée à un groupe d'options avec l'option Oracle TDE. Vous pouvez modifier le groupe d'options d'une instance de base de données qui utilise l'option TDE, mais le groupe d'options associé à l'instance de base de données doit inclure l'option TDE. Vous pouvez également modifier un groupe d'options qui inclut l'option TDE en ajoutant ou en supprimant d'autres options.

Une explication détaillée sur Oracle TDE est au-delà du propos de ce guide. Pour plus d'informations sur l'utilisation d'Oracle TDE, consultez Sécurisation des données stockées à l'aide de TDE. Pour plus d'informations sur Oracle Advanced Security, consultez Sécurité avancée Oracle dans la documentation Oracle. Pour plus d'informations sur la sécurité AWS, consultez le Centre de sécurité AWS.

Note

Vous ne pouvez pas partager un instantané de bases de données qui utilise cette option. Pour plus d'informations sur le partage d'instantanés de base de données, consultez Partage d'un instantané de de base de données.

Modes de chiffrement TDE

Oracle TDE prend en charge deux modes de chiffrement : le chiffrement d'espace de table TDE et le chiffrement de colonne TDE. Le chiffrement d'espace de table TDE permet de chiffrer des tables d'application complètes. Le chiffrement de colonne TDE permet de chiffrer les éléments de données qui contiennent des données sensibles. Vous pouvez également appliquer une solution de chiffrement hybride qui utilise les deux chiffrements TDE d'espace de table et de colonne.

Note

Amazon RDS assure la gestion du portefeuille (« wallet ») Oracle et de la clé principale TDE pour l'instance de base de données. Vous n'avez pas besoin de définir la clé de chiffrement à l'aide de la commande ALTER SYSTEM set encryption key.

Pour plus d'informations sur les bonnes pratiques TDE, consultez Bonnes pratiques d'Oracle Advanced Security TDE (Transparent Data Encryption).

Une fois que l'option est activée, vous pouvez vérifier l'état du portefeuille Oracle en utilisant la commande suivante :

SELECT * FROM v$encryption_wallet;

Pour créer un espace de table chiffré, utilisez la commande suivante :

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Pour spécifier l'algorithme de chiffrement, utilisez la commande suivante :

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Notez que les commandes précédentes pour chiffrer un tablespace sont les mêmes que celles que vous utiliseriez avec une installation Oracle autre que sur Amazon RDS, et que la syntaxe ALTER TABLE pour chiffrer une colonne est également la même que celle que vous utiliseriez pour une installation Oracle autre que sur Amazon RDS.

Vous devez déterminer si votre instance de base de données est associée à un groupe d'options ayant l'option TDE. Pour afficher le groupe d'options auquel une instance de base de données est associée, vous pouvez utiliser la console RDS, la commande describe-db-instance de l'AWS CLI ou l'opération d'API DescribeDBInstances.

Pour se conformer à plusieurs normes de sécurité, Amazon RDS travaille à implémenter une rotation automatique régulière de la clé principale.

Ajout de l'option TDE

Le processus d'utilisation d'Oracle TDE avec Amazon RDS est le suivant :

  1. Si l'instance de base de données n'est pas associée à un groupe d'options pour lequel l'option TDE est activée, vous devez soit créer un groupe d'options et ajouter l'option TDE soit modifier le groupe d'options associé pour ajouter l'option TDE. Pour plus d'informations sur la création ou la modification d'un groupe d'options, consultez Utilisation de groupes d'options. Pour plus d'informations sur l'ajout d'une option à un groupe d'options, consultez Ajout d'une option à un groupe d'options.

  2. Associez l'instance de base de données au groupe d'options avec l'option TDE. Pour plus d'informations sur l'association d'une instance de base de données à un groupe d'options, consultez Modification d'une instance de base de données exécutant le moteur de base de données Oracle.

Suppression de l'option TDE

Si vous ne souhaitez plus utiliser l'option TDE avec une instance de base de données, vous devez déchiffrer toutes vos données sur l'instance de base de données, copier les données sur une nouvelle instance de base de données qui n'est pas associée à un groupe d'options pour lequel TDE est activé, puis supprimer l'instance d'origine. Vous pouvez renommer la nouvelle instance avec le même nom que celui de l'instance de base de données précédente, si vous le souhaitez.

Utilisation de TDE avec Data Pump

Vous pouvez utiliser Oracle Data Pump pour importer ou exporter des fichiers de vidage chiffrés. Amazon RDS prend en charge le mode de chiffrement de mot de passe (ENCRYPTION_MODE=PASSWORD) pour Oracle Data Pump. Amazon RDS ne prend pas en charge le mode de chiffrement transparent (ENCRYPTION_MODE=TRANSPARENT) pour Oracle Data Pump. Pour plus d'informations sur l'utilisation d'Oracle Data Pump avec Amazon RDS, consultez Importation à l'aide d'Oracle Data Pump.

Rubriques connexes