11 バックアップの暗号化
バックアップは、通常のSBTジョブ・テンプレートのオプションとして暗号化できます。
リカバリ・アプライアンスはブロック・レベルの操作を実行し、ブロック・ヘッダーを読み取る必要があります。ただし、バックアップを生成する場合、Oracle Database (RDBMS)はブロック・ヘッダーを含むブロックの範囲を圧縮および暗号化します。これらの暗号化キーは、保護されたデータベースでアクセスできます。
したがって、増分バックアップ・ファイルを生成するための動作が変更されました。保護されたデータベースで使用されているものと同じウォレットまたはキーストアを使用して、TDEデータ・ファイルが復号化され、各ブロックのデータ部分のみが圧縮されてから再暗号化されます。
リストアに必要な古いブロックには古いTDEキーが必要になる可能性があるため、キーをパージしないでください。外部記憶域に配置されるバックアップについて考慮することが特に重要です。
外部記憶域がない場合、新しいレベル0のバックアップは、キーに関して新しい開始を意味する場合があります。ただし、古いバックアップが期限切れになり、古いキーがウォレットからプルーニングされるまで待機します。定期的なレベル0のバックアップを自動化すると、キーの数が増えないようにすることができます。
暗号化バックアップの有効化
暗号化バックアップを有効にするRMANコマンドは、次の形式です:
CONFIGURE CHANNEL DEVICE TYPE SBT PARMS "SBT_LIBRARY=/.../rdbms/lib/libra.so,
ENV=(RA_FORMAT=true, RA_WALLET='location=file:/.../orswlt credential_alias=myra')" ;
これが設定されると、SBTジョブで通常のバックアップを実行するときに、目的の暗号化アルゴリズムを指定できます。
圧縮のデフォルトはLZO
圧縮です。RMANコマンドラインで指定する場合は、BASIC
である必要があります。
ノート:
Controlfile
は、増分データ・ファイルと同じピースに存在できません。
ただし、古いバックアップをリストアするには、新しいTDEキーが必要になります。
暗号化バックアップを開始する場合、新しいレベル0バックアップは必要ありません。また、キー更新には新しいレベル0は必要ありません。