Oracle TDE denganAWS CloudHSM: Konfigurasi Basis Data Data dan buat kunci enkripsi master - AWS CloudHSM
Memperbarui Konfigurasi Oracle DatabaseHasilkan kunci enkripsi kunci Oracle TDE

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Oracle TDE denganAWS CloudHSM: Konfigurasi Basis Data Data dan buat kunci enkripsi master

Untuk integrasi Oracle TDE dengan klaster AWS CloudHSM Anda, lihat topik berikut:

  1. Memperbarui Konfigurasi Oracle Database untuk menggunakan HSM di klaster Anda sebagai modul keamanan eksternal. Untuk informasi tentang modul keamanan eksternal, lihat Pengenalan Enkripsi Data Transparan di Panduan Keamanan Tingkat Lanjut Oracle Database.

  2. Hasilkan kunci enkripsi kunci Oracle TDE pada HSM di klaster Anda.

Memperbarui Konfigurasi Oracle Database

Untuk memperbarui konfigurasi Oracle Database untuk menggunakan HSM di klaster Anda sebagai modul keamanan eksternal, selesaikan langkah-langkah berikut. Untuk informasi tentang modul keamanan eksternal, lihat Pengenalan Data Transparan di Panduan Keamanan Tingkat Lanjut Oracle Database.

Memperbarui Konfigurasi Oracle Database

  1. Hubungkan ke instans klien Amazon EC2 Anda. Ini adalah contoh tempat Anda menginstal Oracle Database.

  2. Buat salinan cadangan dari file bernama sqlnet.ora. Untuk lokasi file ini, lihat dokumentasi Oracle.

  3. Gunakan editor teks untuk mengedit file bernama sqlnet.ora. Tambahkan baris berikut. Jika baris yang ada dalam file dimulai dengan encryption_wallet_location, ganti baris yang ada dengan yang berikut.

    encryption_wallet_location=(source=(method=hsm))

    Simpan file.

  4. Jalankan perintah berikut untuk membuat direktori tempat Oracle Database mengharapkan untuk menemukan file pustaka untuk pustaka perangkat lunak PKCS #11 AWS CloudHSM. 

    sudo mkdir -p /opt/oracle/extapi/64/hsm

  5. Jalankan perintah berikut untuk menyalin file pustaka perangkat lunak AWS CloudHSM untuk PKCS #11 ke direktori yang Anda buat di langkah sebelumnya. 

    sudo cp /opt/cloudhsm/lib/libcloudhsm_pkcs11.so /opt/oracle/extapi/64/hsm/
    catatan

    Direktori /opt/oracle/extapi/64/hsm harus berisi hanya satu file pustaka. Hapus file lain yang ada di direktori tersebut.

  6. Jalankan perintah berikut untuk mengubah kepemilikan direktori /opt/oracle dan segala sesuatu di dalamnya.

    sudo chown -R oracle:dba /opt/oracle

  7. Mulai Oracle Database.

Hasilkan kunci enkripsi kunci Oracle TDE

Untuk menghasilkan kunci utama Oracle TDE pada HSM di klaster Anda, selesaikan langkah-langkah dalam prosedur berikut.

Untuk menghasilkan kunci utama

  1. Gunakan perintah berikut untuk menjalankan Oracle SQL* Plus. Saat diminta, ketik sandi sistem yang Anda tetapkan saat Anda menginstal Oracle Database. 

    sqlplus / as sysdba
    catatan

    Untuk Client SDK 3, Anda harus mengatur variabelCLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE lingkungan setiap kali Anda menghasilkan kunci utama. Variabel ini hanya diperlukan untuk pembuatan kunci utama. Untuk informasi lebih lanjut, lihat “Masalah: Oracle menetapkan atribut PCKS #11CKA_MODIFIABLEselama pembuatan kunci utama, tapi HSM tidak mendukungnya” di Masalah yang Diketahui untuk Mengintegrasikan Aplikasi Pihak Ketiga.

  2. Jalankan pernyataan SQL yang membuat kunci enkripsi master, seperti yang ditunjukkan dalam contoh berikut. Gunakan pernyataan yang sesuai dengan versi Oracle Database. Ganti <nama pengguna CU> dengan nama pengguna dari pengguna kriptografi (CU). Ganti <kata sandi> dengan kata sandi CU.

    penting

    Jalankan perintah berikut hanya sekali. Setiap kali perintah dijalankan, itu membuat kunci enkripsi utama baru.

    • Untuk Oracle Database versi 11, jalankan pernyataan SQL berikut.

      SQL> alter system set encryption key identified by "<CU user name>:<password>";

    • Untuk Oracle Database versi 12 dan versi 19c, jalankan pernyataan SQL berikut.

      SQL> administer key management set key identified by "<CU user name>:<password>";

    Jika respons adalah System altered atau keystore altered, maka Anda berhasil dihasilkan dan mengatur kunci utama untuk Oracle TDE.

  3. (Opsional) Jalankan perintah berikut untuk memverifikasi status dompet Oracle.

    SQL> select * from v$encryption_wallet;

    Jika dompet tidak terbuka, gunakan salah satu perintah berikut untuk membukanya. Ganti <nama pengguna CU> dengan nama pengguna kriptografi (CU). Ganti <kata sandi> dengan kata sandi CU.

    • Untuk Oracle 11, jalankan perintah berikut untuk membuka dompet.

      SQL> alter system set encryption wallet open identified by "<CU user name>:<password>";

      Untuk menutup dompert secara manual, jalankan perintah berikut.

      SQL> alter system set encryption wallet close identified by "<CU user name>:<password>";

    • Untuk Oracle 12 dan Oracle 19c, jalankan perintah berikut untuk membuka dompet.

      SQL> administer key management set keystore open identified by "<CU user name>:<password>";

      Untuk menutup dompert secara manual, jalankan perintah berikut.

      SQL> administer key management set keystore close identified by "<CU user name>:<password>";