Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Oracle Transparent Data Encryption
Amazon RDS prend en charge Oracle TDE (Transparent Data Encryption), fonction de l'option Oracle Advanced Security disponible dans Oracle Enterprise Edition. Cette fonction chiffre automatiquement les données avant qu'elles ne soient écrites dans le stockage et déchiffre automatiquement les données lorsqu'elles sont lues depuis le stockage.
Le TDE est utile dans les scénarios où vous devez chiffrer des données sensibles au cas où des fichiers de données et des sauvegardes seraient obtenus par un tiers. Le TDE est également utile lorsque vous devez vous conformer aux réglementations relatives à la sécurité.
L'TDE
option est persistante et permanente. Si vous associez votre instance de base de données RDS pour Oracle à un groupe d'options dans lequel l'TDE
option est activée, vous ne pouvez pas la désactiver. Vous pouvez modifier le groupe d'options, mais le nouveau groupe d'options doit inclure l'TDE
option. Pour plus d'informations sur les options persistantes et permanentes, consultezOptions persistantes et permanentes.
Note
Vous ne pouvez pas partager un instantané de base de données qui utilise l'option TDE. Pour plus d'informations sur le partage d'instantanés de base de données, consultez Partage d'un instantané de de base de données.
Une explication détaillée du TDE dans Oracle Database n'entre pas dans le cadre de ce guide. Pour plus d'informations, consultez les ressources de base de données Oracle suivantes :
-
Sécurisation des données stockées à l'aide du chiffrement transparent des données
dans la documentation de la base de données Oracle -
Sécurité avancée d'Oracle
dans la documentation de la base de données Oracle -
Sécurité avancée d'Oracle : meilleures pratiques en matière de chiffrement transparent des données
, document publié par Oracle
Pour plus d'informations sur l'utilisation de TDE avec RDS pour Oracle, consultez les blogs suivants :
Modes de chiffrement TDE
Oracle TDE prend en charge deux modes de chiffrement : le chiffrement d'espace de table TDE et le chiffrement de colonne TDE. Le chiffrement d'espace de table TDE permet de chiffrer des tables d'application complètes. Le chiffrement de colonne TDE permet de chiffrer les éléments de données qui contiennent des données sensibles. Vous pouvez également appliquer une solution de chiffrement hybride qui utilise les deux chiffrements TDE d'espace de table et de colonne.
Note
Amazon RDS assure la gestion du portefeuille (« wallet ») Oracle et de la clé principale TDE pour l'instance de base de données. Vous n'avez pas besoin de définir la clé de chiffrement à l'aide de la commande ALTER SYSTEM set encryption
key
.
Après avoir activé TDE
cette option, vous pouvez vérifier l'état du portefeuille Oracle à l'aide de la commande suivante :
SELECT * FROM v$encryption_wallet;
Pour créer un espace de table chiffré, utilisez la commande suivante :
CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);
Pour spécifier l'algorithme de chiffrement, utilisez la commande suivante :
CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);
Les instructions précédentes pour chiffrer un tablespace sont les mêmes que celles que vous utiliseriez sur une base de données Oracle locale.
Déterminer si votre instance de base de données utilise le TDE
Vous souhaiterez peut-être déterminer si votre instance de base de données est associée à un groupe d'options dans lequel l'TDE
option est activée. Pour afficher le groupe d'options auquel une instance de base de données est associée, utilisez la console RDS, la describe-db-instance AWS CLI
commande ou l'opération d'API DescribeDBInstances.
Ajout de l'option TDE
Le processus d'utilisation d'Oracle TDE avec Amazon RDS est le suivant :
-
Si l'instance de base de données n'est pas associée à un groupe d'options dont l'
TDE
option est activée, vous devez soit créer un groupe d'options et ajouter l'TDE
option, soit modifier le groupe d'options associé pour ajouter l'TDE
option. Pour plus d'informations sur la création ou la modification d'un groupe d'options, consultez Utilisation de groupes d'options. Pour de plus amples informations sur l'ajout d'une option à un groupe d'options, veuillez consulter Ajout d'une option à un groupe d'options. -
Associez l'instance de base de données au groupe d'options avec l'option TDE. Pour plus d'informations sur l'association d'une instance de base de données à un groupe d'options, consultez Modification d'une instance de base de données Amazon RDS.
Copier vos données vers une instance de base de données qui n'inclut pas l'option TDE
Vous ne pouvez pas supprimer l'option TDE de l'instance de base de données ou l'associer à un groupe d'options qui n'inclut pas l'option TDE. Pour migrer vos données vers une instance qui n'inclut pas l'option TDE, procédez comme suit :
-
Déchiffrez les données de votre instance de base de données.
-
Copiez les données sur une nouvelle instance de base de données qui n'est pas associée à un groupe d'options
TDE
activé. -
Supprimez votre instance de base de données d'origine.
Vous pouvez nommer la nouvelle instance avec le même nom que celui de l'instance de base de données précédente.
Utilisation de TDE avec Oracle Data Pump
Vous pouvez utiliser Oracle Data Pump pour importer ou exporter des fichiers de vidage chiffrés. Amazon RDS prend en charge le mode de chiffrement des mots de passe (ENCRYPTION_MODE=PASSWORD)
pour Oracle Data Pump. Amazon RDS ne prend pas en charge le mode de chiffrement transparent (ENCRYPTION_MODE=TRANSPARENT)
pour Oracle Data Pump. Pour de plus amples informations, veuillez consulter Importation à l'aide d'Oracle Data Pump.