Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Oracle TDE dengan AWS CloudHSM: Konfigurasikan database dan hasilkan kunci enkripsi master
Untuk mengintegrasikan Oracle TDE dengan AWS CloudHSM cluster Anda, lihat topik berikut:
-
Perbarui konfigurasi database Oracle untuk menggunakan HSM di klaster Anda sebagai modul keamanan eksternal. Untuk informasi tentang modul keamanan eksternal, lihat Pengenalan Enkripsi Data Transparan
di Panduan Keamanan Tingkat Lanjut Oracle Database. -
Hasilkan kunci enkripsi master Oracle TDE pada HSM di klaster Anda.
Perbarui konfigurasi database Oracle
Untuk memperbarui konfigurasi Oracle Database untuk menggunakan HSM di klaster Anda sebagai modul keamanan eksternal, selesaikan langkah-langkah berikut. Untuk informasi tentang modul keamanan eksternal, lihat Pengenalan Data Transparan
Memperbarui Konfigurasi Oracle Database
-
Hubungkan ke instans klien Amazon EC2 Anda. Ini adalah contoh tempat Anda menginstal Oracle Database.
-
Buat salinan cadangan dari file bernama
sqlnet.ora
. Untuk lokasi file ini, lihat dokumentasi Oracle. -
Gunakan editor teks untuk mengedit file bernama
sqlnet.ora
. Tambahkan baris berikut. Jika baris yang ada dalam file dimulai denganencryption_wallet_location
, ganti baris yang ada dengan yang berikut.encryption_wallet_location=(source=(method=hsm))
Simpan file tersebut.
-
Jalankan perintah berikut untuk membuat direktori tempat Oracle Database mengharapkan untuk menemukan file perpustakaan untuk pustaka perangkat lunak AWS CloudHSM PKCS #11.
sudo mkdir -p /opt/oracle/extapi/64/hsm
-
Jalankan perintah berikut untuk menyalin pustaka AWS CloudHSM perangkat lunak untuk file PKCS #11 ke direktori yang Anda buat pada langkah sebelumnya.
sudo cp /opt/cloudhsm/lib/libcloudhsm_pkcs11.so /opt/oracle/extapi/64/hsm/
catatan
Direktori
/opt/oracle/extapi/64/hsm
harus berisi hanya satu file pustaka. Hapus file lain yang ada di direktori tersebut. -
Jalankan perintah berikut untuk mengubah kepemilikan direktori
/opt/oracle
dan segala sesuatu di dalamnya.sudo chown -R oracle:dba /opt/oracle
-
Mulai Oracle Database.
Hasilkan kunci enkripsi master Oracle TDE
Untuk menghasilkan kunci utama Oracle TDE pada HSM di klaster Anda, selesaikan langkah-langkah dalam prosedur berikut.
Untuk menghasilkan kunci utama
-
Gunakan perintah berikut untuk membuka Oracle SQL* Plus. Saat diminta, ketik sandi sistem yang Anda tetapkan saat Anda menginstal Oracle Database.
sqlplus / as sysdba
catatan
Untuk Client SDK 3, Anda harus mengatur variabel
CLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE
lingkungan setiap kali Anda membuat kunci master. Variabel ini hanya diperlukan untuk pembuatan kunci utama. Untuk informasi lebih lanjut, lihat “Masalah: Oracle menetapkan atribut PCKS #11CKA_MODIFIABLE
selama pembuatan kunci utama, tapi HSM tidak mendukungnya” di Masalah yang Diketahui untuk Mengintegrasikan Aplikasi Pihak Ketiga. -
Jalankan pernyataan SQL yang membuat kunci enkripsi master, seperti yang ditunjukkan dalam contoh berikut. Gunakan pernyataan yang sesuai dengan versi Oracle Database. Ganti
<nama pengguna CU>
dengan nama pengguna dari pengguna kriptografi (CU). Ganti<kata sandi>
dengan kata sandi CU.penting
Jalankan perintah berikut hanya sekali. Setiap kali perintah dijalankan, itu membuat kunci enkripsi utama baru.
-
Untuk Oracle Database versi 11, jalankan pernyataan SQL berikut.
SQL>
alter system set encryption key identified by "
<CU user name>
:<password>
"; -
Untuk Oracle Database versi 12 dan versi 19c, jalankan pernyataan SQL berikut.
SQL>
administer key management set key identified by "
<CU user name>
:<password>
";
Jika respons adalah
System altered
ataukeystore altered
, maka Anda berhasil dihasilkan dan mengatur kunci utama untuk Oracle TDE. -
-
(Opsional) Jalankan perintah berikut untuk memverifikasi status dompet Oracle.
SQL>
select * from v$encryption_wallet;
Jika dompet tidak terbuka, gunakan salah satu perintah berikut untuk membukanya. Ganti
<nama pengguna CU>
dengan nama pengguna kriptografi (CU). Ganti<kata sandi>
dengan kata sandi CU.-
Untuk Oracle 11, jalankan perintah berikut untuk membuka dompet.
SQL>
alter system set encryption wallet open identified by "
<CU user name>
:<password>
";Untuk menutup dompert secara manual, jalankan perintah berikut.
SQL>
alter system set encryption wallet close identified by "
<CU user name>
:<password>
"; -
Untuk Oracle 12 dan Oracle 19c, jalankan perintah berikut untuk membuka dompet.
SQL>
administer key management set keystore open identified by "
<CU user name>
:<password>
";Untuk menutup dompert secara manual, jalankan perintah berikut.
SQL>
administer key management set keystore close identified by "
<CU user name>
:<password>
";
-