透過的データ暗号化の使用

Oracle Globally Distributed DatabaseはTransparent Data Encryption (TDE)をサポートしていますが、TDEを有効にして分散データベース内のチャンクを正常に移動するには、すべてのシャードで、暗号化された表領域に対して同じ暗号化キーを共有して使用する必要があります。

分散データベースは、複数の独立したデータベースと1つのシャード・カタログ・データベースで構成されます。TDEが正しく機能するように、特にシャード間でデータを移動するときに一定の制限が適用されます。データが暗号化されているときにシャード間のチャンク移動が機能するように、すべてのシャードで同じ暗号化キーを使用する必要があります。

これを実現するには、次の2つの方法があります。

• シャード・カタログから暗号化キーを作成してエクスポートし、すべてのシャードに個々にキーをインポートしてアクティブ化します。

• ウォレットを共有の場所に格納し、シャード・カタログおよびすべてのシャードで同じウォレットを使用します。

次のTDE文は、シャードDDLを有効にしたシャード・カタログに対して実行されると、シャードに自動的に伝播されます。

• ADMINISTER KEY MANAGEMENT SET KEYSTORE [OPEN|CLOSE] IDENTIFIED BY password

• ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY password

• ADMINISTER KEY MANAGEMENT USE KEY IDENTIFIED BY password

• ADMINISTER KEY MANAGEMENT CREATE KEYSTORE IDENTIFIED BY password

制限事項

Oracle Globally Distributed DatabaseでのTDEの使用には、次の制限事項があります。

• GDSCTL MOVE CHUNKが機能するには、すべてのシャード・データベース・ホストが同じプラットフォーム上に存在する必要があります。

• MOVE CHUNKでは、データ転送中にパフォーマンスに影響を及ぼす可能性がある圧縮を使用できません。

• 表領域レベルでの暗号化のみがサポートされます。特定の列に対する暗号化はサポートされません。

TDEの詳細は、透過的データ暗号化の概要を参照してください