# Oracle Database@AWS でのデータ保護
<a name="data-protection"></a>

データを保護するため、「AWS アカウント」認証情報を保護し、AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「**AWS CloudTrail ユーザーガイド」の「[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS のサービス内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API を使用して AWS にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これには、コンソール、API、AWS CLI、または AWS SDK を使用して Oracle Database@AWS またはその他の AWS のサービスで作業する場合が含まれます。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。



## データ暗号化
<a name="data-encryption"></a>

Exadata データベースは、Oracle Transparent Data Encryption (TDE) を使用してデータを暗号化します。データは、一時テーブルスペース、UNDO セグメント、REDO ログ、JOIN や SORT などの内部データベースオペレーション中にも保護されます。詳細については、「[Data Security](https://docs.oracle.com/en/cloud/paas/exadata-cloud/csexa/data-security.html#GUID-AD8C853F-A30C-4E50-85ED-B161058D6A93)」を参照してください。

## 転送中の暗号化
<a name="encryption-transit"></a>

Exadata データベースは、Oracle Net Services のネイティブ暗号化と整合性機能を使用して、データベースへの接続を保護します。詳細については、「[Security of data in transit](https://docs.oracle.com/en/cloud/paas/exadata-cloud/csexa/data-security.html#GUID-7BDCEED4-E0A4-48D5-972C-7D65E7D1536D)」を参照してください。

## キー管理
<a name="key-management"></a>

透過的なデータ暗号化には、マスター暗号化キーを安全に保存するためのキーストアと、キーストアを安全かつ効率的に管理し、キーメンテナンスオペレーションを実行するための管理フレームワークが含まれています。詳細については、「[To administer Vault encryption keys](https://docs.oracle.com/en-us/iaas/exadatacloud/doc/manage-databases.html#ECSCM-GUID-7F93FC04-ABE6-4D46-87E9-68EA6DC98FAE)」を参照してください。