RACと透過的データ暗号化

RACで透過的データ暗号化を使用する場合は、両方のノードからキーストアにアクセスできる必要があるので、通常はASM上に共有ウォレット(キーストア)を作成する。

ASMでOMFを使用している場合は、キーストアの作成時の場所指定などが省略可能。

初期化パラメータ(wallet_root)の設定

SQL> alter system set wallet_root='+DATA/DB19' scope=spfile;

一旦再起動

$ srvctl stop database -db db19;srvctl start database -db db19

初期化パラメータ(tde_configuration)の設定

SQL> alter system set tde_configuration="KEYSTORE_CONFIGURATION=FILE" scope=both;

もう一度再起動

$ srvctl stop database -db db19;srvctl start database -db db19

キーストア(自動ログインキーストア)の作成

SQL> administer key management create keystore identified by oracle;
SQL> administer key management create auto_login keystore from keystore identified by oracle;

マスター暗号化キーの設定

SQL> administer key management set key force keystore identified by oracle with backup;

テスト表に表領域を作成

SQL> create tablespace enctbs datafile '+DATA' size 100M autoextend on;

表領域をオフラインで暗号化

SQL> alter tablespace enctbs offline normal;
SQL> alter tablespace enctbs encryption offline using 'AES256' encrypt;
SQL> alter tablespace enctbs online;

コメント