Oracle Transparent Data Encryption - Amazon Relational Database Service
TDE 暗号化モードTDE オプションの追加TDE オプションの削除Data Pump

Oracle Transparent Data Encryption

Amazon RDS は、Oracle Enterprise Edition で使用可能な Oracle Advanced Security オプションの機能である Oracle Transparent Data Encryption (TDE) をサポートしています。この機能は、ストレージへの書き込み前に自動的にデータを暗号化し、ストレージからのデータの読み取り時に自動的にデータを復号します。

Oracle Transparent Data Encryption は、データファイルとバックアップが第三者によって取得される場合や、セキュリティ関連の規制遵守の問題に対処する必要があるときに、機密データを暗号化する必要のあるシナリオで使用されます。

TDE オプションは、オプショングループから削除できない固定オプションです。Oracle TDE オプションを使用してオプショングループに DB インスタンスを関連付けた後では、この DB インスタンスの TDE を無効にすることはできません。TDE オプションを使用している DB インスタンスのオプショングループは変更できますが、DB インスタンスに関連付けられたオプショングループには TDE オプションが含まれている必要があります。他のオプションを追加または削除することで、TDE オプションが含まれているオプショングループを変更することもできます。

Oracle Transparent Data Encryption の詳細な説明は、このガイドでは取り上げません。Oracle Transparent Data Encryption については、「Transparent Data Encryption を使用した保存済みデータの保護」を参照してください。Oracle Advanced Security の詳細については、Oracle ドキュメントの「Oracle Advanced Security」を参照してください。AWS セキュリティの詳細については、AWS セキュリティセンターを参照してください。

注記

このオプションを使用している DB スナップショットを共有することはできません。DB スナップショットの共有の詳細については、「DB スナップショットの共有」を参照してください。

TDE 暗号化モード

Oracle Transparent Data Encryption では、TDE テーブルスペース暗号化と TDE 列暗号化の 2 つの暗号化モードがサポートされます。TDE テーブルスペース暗号化は、アプリケーションテーブル全体の暗号化に使用されます。TDE 列暗号化は、機密データを含む個々のデータ要素を暗号化するために使用されます。TDE のテーブルスペース暗号化と列暗号化の両方を使用するハイブリッド暗号化ソリューションを適用することもできます。

注記

DB インスタンス用の Oracle Wallet と TDE マスターキーは Amazon RDS によって管理されます。コマンド ALTER SYSTEM set encryption key を使用して暗号化キーを設定する必要はありません。

TDE のベストプラクティスについては、「Oracle Advanced Security Transparent Data Encryption のベストプラクティス」を参照してください。

オプションを有効にすると、次のコマンドを使用して Oracle Wallet のステータスを確認できます。

SELECT * FROM v$encryption_wallet;

暗号化されたテーブルスペースを作成するには、次のコマンドを使用します。

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

暗号アルゴリズムを指定するには、以下のコマンドを実行します。

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

テーブルスペースを暗号化する以前のコマンドは、Amazon RDS ではなく Oracle のインストールで使用するコマンドと同じであり、列を暗号化する ALTER TABLE 構文も、Amazon RDS ではなく Oracle のインストールで使用するコマンドと同じである点に注意してください。

[TDE] オプションを含むオプショングループに DB インスタンスが関連付けられているかどうかを調べる必要があります。DB インスタンスが関連付けられているオプショングループを表示するには、RDS コンソール、AWS CLI コマンド (describe-db-instance)、または API オペレーション DescribeDBInstances を使用します。

いくつかのセキュリティ規格に準拠するために、Amazon RDS にはマスターキーの定期的な自動ローテーションが実装されています。

TDE オプションの追加

Amazon RDS で Oracle Transparent Data Encryption (TDE) を使用する手順は、次のとおりです。

  1. [TDE] オプションが有効になっているオプショングループに DB インスタンスが関連付けられていない場合は、オプショングループを作成して [TDE] オプションを追加するか、関連付けられているオプショングループを変更して [TDE] オプションを追加する必要があります。オプショングループの作成または変更の詳細については、「オプショングループを使用する」を参照してください。オプショングループへのオプションの追加の詳細については、「オプショングループにオプションを追加する」を参照してください。

  2. [TDE] オプションを含むオプショングループに DB インスタンスを関連付けます。オプショングループへの DB インスタンスの関連付けの詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。

TDE オプションの削除

DB インスタンスを含めた [TDE] オプションを削除するには、次のステップを実行します。

  1. DB インスタンス上のすべてのデータを復号します。

  2. TDE が有効になっているオプショングループに関連付けられていない新しい DB インスタンスにデータをコピーします。

  3. 元のインスタンスを削除します。

新しいインスタンスには、前の DB インスタンスと同じ名前を付けることができます。

Oracle Data Pump での TDE の使用

暗号化されたダンプファイルをインポートまたはエクスポートするには、Oracle Data Pump を使用します。Amazon RDS は、Oracle Data Pump 用のパスワード暗号化モード (ENCRYPTION_MODE=PASSWORD) をサポートしています。Oracle Data Pump 用の透過的暗号化モード (ENCRYPTION_MODE=TRANSPARENT) は、Amazon RDS でサポートされていません。Amazon RDS での Oracle Data Pump の使用の詳細については、「Oracle Data Pump を使用したインポート」を参照してください。