Modos de criptografia do TDE Determinar se a instância de banco de dados está usando a TDE Adicionar a opção TDE Copiar dados para uma instância que não use TDE Data Pump

Oracle Transparent Data Encryption

O Amazon RDS oferece suporte para ao Oracle Transparent Data Encryption (TDE), um recurso da opção Oracle Advanced Security disponível no Oracle Enterprise Edition. Esse recurso criptografa os dados automaticamente antes de gravá-los no armazenamento e os descriptografa automaticamente quando os são lidos.

A TDE é útil em situações nas quais é preciso criptografar dados confidenciais, caso os arquivos de dados e os backups sejam obtidos por um terceiro. Ela também é útil quando você precisa estar em conformidade com os regulamentos relacionados à segurança.

A opção TDE é persistente e permanente. Se você associar a instância de banco de dados do RDS para Oracle a um grupo de opções com a opção TDE habilitada, não será possível desativá-la. É possível alterar o grupo de opções, mas o novo grupo de opções deve incluir TDE. Para ter mais informações sobre opções persistentes e permanentes, consulte Opções persistentes e permanentes.

nota

Não é possível compartilhar um snapshot de banco de dados que use a opção TDE. Para obter mais informações sobre como compartilhar snapshot de banco de dadoss, consulte Compartilhar um snapshot do de banco de dados.

Uma explicação detalhada sobre a TDE no Oracle Database está além do escopo deste guia. Para ter informações, consulte os seguintes recursos do Oracle Database:

Securing stored data using Transparent Data Encryption na documentação do Oracle Database.
Oracle advanced security na documentação do Oracle Database.
Oracle advanced security Transparent Data Encryption best practices, que é um whitepaper da Oracle.

Para ter mais informações sobre como usar o TDE com o RDS para Oracle, consulte os seguintes blogs:

Modos de criptografia do TDE

O Oracle Transparent Data Encryption oferece suporte para dois modos de criptografia: a criptografia de espaço de tabela do TDE e a criptografia de coluna do TDE. A criptografia de espaço de tabela do TDE é usada para criptografar todas as tabelas de aplicativos. A criptografia de coluna do TDE é usada para criptografar elementos de dados individuais que contêm dados confidenciais. Você também pode aplicar uma solução de criptografia híbrida que use tanto a criptografia de espaço de tabela quanto a criptografia de coluna do TDE.

nota

O Amazon RDS gerencia a chave mestra do Oracle Wallet e do TDE para a instância de banco de dados. Você não precisa definir a chave de criptografia usando o comando ALTER SYSTEM set encryption key.

Depois de habilitar a opção TDE, será possível conferir o status do Oracle Wallet usando o seguinte comando:


SELECT * FROM v$encryption_wallet;

Para criar um espaço de tabela criptografado, use o seguinte comando:


CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Para especificar o algoritmo de criptografia, use o seguinte comando:


CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

As declarações anteriores para criptografar um espaço de tabela são as mesmas que você usaria em um banco de dados Oracle on-premises.

Determinar se a instância de banco de dados está usando a TDE

Convém determinar se a instância de banco de dados está associada a um grupo de opções que tenha a opção TDE habilitada. Para visualizar o grupo de opções ao qual uma instância de banco de dados está associada, use o console do RDS, o comando describe-db-instance da AWS CLI ou a operação DescribeDBInstances da API.

Adicionar a opção TDE

O processo para usar o Oracle Transparent Data Encryption (TDE) com o Amazon RDS é o seguinte:

Se a instância de banco de dados não estiver associada a um grupo de opções que tenha a opção TDE habilitada, será necessário criar um grupo de opções e adicionar a opção TDE ou modificar o grupo de opções associado para adicionar a opção TDE. Para obter informações sobre como criar ou modificar um grupo de opções, consulte Trabalhar com grupos de opções. Para obter informações sobre como adicionar uma opção a um grupo de opções, consulte Adicionar uma opção a um grupo de opções.
Associe a instância de banco de dados ao grupo de opções com a opção TDE. Para obter informações sobre como associar uma instância de banco de dados a um grupo de opções, consulte Modificar uma instância de banco de dados do Amazon RDS.

Copiar os dados para uma instância de banco de dados que não inclua a opção TDE

Não é possível remover a opção TDE da instância de banco de dados nem associá-la a um grupo de opções sem a opção TDE. Para migrar os dados para uma instância que não inclua a opção TDE, faça o seguinte:

Descriptografe os dados na instância de banco de dados.
Copie os dados para uma nova instância de banco de dados que não esteja associada a um grupo de opções com a opção TDE habilitada.
Exclua a instância de banco de dados original.

Você pode nomear a nova instância para que ela tenha o mesmo nome que a instância de banco de dados anterior.

Usar o TDE com o Oracle Data Pump

É possível usar o Oracle Data Pump para importar ou exportar arquivos de despejo criptografados. O Amazon RDS é compatível com modo de criptografia de senha (ENCRYPTION_MODE=PASSWORD) para o Oracle Data Pump. O Amazon RDS não é compatível com o modo de criptografia transparente (ENCRYPTION_MODE=TRANSPARENT) para o Oracle Data Pump. Para ter mais informações, consulte Importar usando o Oracle Data Pump.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Atualização automática do arquivo de fuso horário

UTL_MAIL