Database Cloud Serviceデータベースに作成したすべての新しい表領域は、デフォルトで暗号化されます。
Oracle Database 11gデータベースでは、データベース・デプロイメントの作成時に作成された表領域は暗号化されません。
Oracle Database 12cリリース1のデータベースでは、データベース・デプロイメントの作成時に作成された表領域は暗号化されません。 これには、ルートにある表領域(CDB$ROOT)、シード(PDB$SEED)、およびデータベース・デプロイメントの作成時に作成されるPDBが含まれます。
Oracle Database 12cリリース2のデータベースでは、データベース・デプロイメントの作成時に作成されたUSERS表領域のみが暗号化されます。 他の表領域は暗号化されません。 これには、ルートにある表領域(CDB$ROOT)、シード(PDB$SEED)、およびデータベース・デプロイメントの作成時に作成されるPDBが含まれます。
トピック
ユーザー作成された表領域は、デフォルトで暗号化されます。
デフォルトでは、SQLのCREATE TABLESPACEコマンド、またはCREATE TABLESPACEコマンドを実行する任意のツールを使用して作成される、新しい表領域はすべて、AES128暗号化アルゴリズムで暗号化されます。 デフォルトの暗号化を使用するためにUSING 'encrypt_algorithm'句を含める必要はありません。
CREATE TABLESPACEコマンドにUSING 'encrypt_algorithm' 句を含めることにより、サポートされている別のアルゴリズムを指定できます。 Oracle Database 11g とOracle Database 12cでサポートされているアルゴリズムは、AES256、AES192、AES128および3DES168です。
ソフトウェア・キーストア (Oracle Database 11gではOracleウォレットと呼ばれる)、マスター暗号化鍵、および暗号化をデフォルトで有効にするかどうかの制御を管理できます。
ソフトウェア・キーストアとマスター暗号化鍵の管理
表領域の暗号化では、2層式の鍵ベースのアーキテクチャを使用して表領域を透過的に暗号化(および復号化)します。 マスター暗号化鍵は、外部のセキュリティ・モジュール(ソフトウェア・キーストア)内で保管されます。 このマスター暗号化鍵を使用して表領域の暗号化鍵を暗号化し、これを使用して表領域でデータを暗号化および復号化します。
Database Cloud Service上にデータベース・デプロイメントが作成されると、ローカルの自動ログイン・ソフトウェア・キーストアが作成されます。 キーストアは計算ノードにローカルで、システム生成されたパスワードによって保護されます。 自動ログイン・ソフトウェア・キーストアは、アクセス時に自動的に開かれます。
dbaascliユーティリティのtde rotate masterkeyサブコマンドを使用して、マスター暗号化鍵を変更(回転)できます。 このサブコマンドの実行時には、キーストアのパスワードの入力が求められます。 データベース・デプロイメント作成プロセスで指定したパスワードを入力してください。 次に例を示します。
DBAAS>tde rotate masterkey
Executing command tde rotate masterkey
Enter keystore password:
Successfully rotated TDE masterkey
マスター暗号化鍵の変更の詳細は、リリース12.2または12.1の『Oracle Database Advanced Securityガイド』のTDEマスター暗号化鍵の管理に関する項またはリリース11.2の『Oracle Database Advanced Security管理者ガイド』のマスター暗号化鍵の設定および再設定に関する項を参照してください。
デフォルトの表領域の暗号化の制御
ENCRYPT_NEW_TABLESPACES初期化パラメータは、新しい表領域のデフォルトの暗号化を制御します。 Database Cloud Serviceデータベースで、このパラメータをCLOUD_ONLYに設定します。 詳細は、初期化パラメータの表示および変更を参照してください。
このパラメータの値は、次のとおりです。
| 値 | 説明 |
|---|---|
|
|
別のアルゴリズムが |
|
|
別のアルゴリズムが |
|
|
表領域は透過的には暗号化されず、 |