Amazon Relational Database Service
用户指南 (API Version 2014-10-31)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

验证 HSM 连接、HSM 中的 Oracle 密钥以及 TDE 密钥

在完成所有设置步骤后,可以验证 HSM 在 TDE 密钥存储中是否正常工作。在客户端计算机上使用 SQL 实用工具 (例如 sqlplus) 连接到 Oracle 数据库实例,或者从 Amazon EC2 控制实例 (如果该实例安装了 sqlplus) 连接到 Oracle 数据库实例。有关连接到 Oracle 数据库实例的更多信息,请参阅连接到运行 Oracle 数据库引擎的数据库实例

注意

在继续之前,您必须验证为 Oracle 实例创建的选项组是否返回状态 in-sync。您可以通过将数据库实例标识符传递到 describe-db-instances 命令来进行验证。

验证 HSM 连接

您可验证 Oracle 数据库实例和 HSM 之间的连接。连接到 Oracle 数据库实例并使用以下命令:

$ select * from v$encryption_wallet;

如果 HSM 连接正常运行,则命令将返回 OPEN 状态。命令输出与以下示例类似:

WRL_TYPE -------------------- WRL_PARAMETER ------------------- STATUS ------------------ HSM OPEN 1 row selected.

验证 HSM 中的 Oracle 密钥

在 Amazon RDS 启动且 Oracle 运行后,Oracle 将在 HSM 上创建两个主密钥。执行以下步骤可验证 HSM 中是否存在主密钥。您可以从 Amazon EC2 控制实例上的提示符或从 Amazon RDS Oracle 数据库实例运行这些命令。

  1. 使用 SSH 连接到 HSM 设备。以下命令

    $ ssh manager@10.0.203.58
  2. 以 HSM 经理身份登录到 HSM

    $ hsm login
  3. 在成功登录后,Luna Shell 提示符将出现 ([hostname]lunash:>)。显示与使用 TDE 的 Oracle 数据库实例对应的 HSM 分区的内容。查找以“ORACLE.TDE.HSM”开头的两个对称密钥对象。

    lunash:>part showContents -par <hapg_label> -password <partition_password>

    以下输出是从命令返回的信息的示例:

    Partition Name: hapg_label Partition SN: 154749011 Storage (Bytes): Total=102701, Used=348, Free=102353 Number objects: 2 Object Label: ORACLE.TDE.HSM.MK.0699468E1DC88E4F27BF426176B94D4907 Object Type: Symmetric Key Object Label: ORACLE.TSE.HSM.MK.0784B1918AB6C19483189B2296FAE261C70203 Object Type: Symmetric Key Command Result : 0 (Success)

验证 TDE 密钥

验证 TDE 密钥是否正确存储在 HSM 中的最后一个步骤是创建加密的表空间。以下命令将创建一个加密的表空间并显示其已加密。

SQL> create tablespace encrypted_ts datafile size 50M encryption using 'AES128' default storage (encrypt) / SQL> select tablespace_Name, encrypted from dba_tablespaces where encrypted='YES'

以下示例输出指明已对表空间加密:

TABLESPACE_NAME ENC ------------------------------ --- ENCRYPTED_TS YES