Oracle Cloud Infrastructure - Dokumentation

Dateisystem verschlüsseln

File Storage-Dateisysteme verwenden von Oracle verwaltete Schlüssel, um ein Dateisystem standardmäßig zu verschlüsseln, was alle Verschlüsselungsaspekte Oracle überlässt. Optional können Sie die Daten in einem Dateisystem mit Ihrem eigenen Vault-Verschlüsselungsschlüssel verschlüsseln.

Um ein Dateisystem mit Ihrem eigenen Schlüssel zu verschlüsseln, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Mindestens ein Key Vault und Schlüssel im Vault-Service. Weitere Informationen finden Sie unter Überblick über Vault.
    Achtung

    Achten Sie darauf, Backups von Vaults und Schlüsseln zu erstellen. Wenn Sie einen Vault und Schlüssel löschen, bedeutet dies andernfalls, dass keine Ressourcen oder Daten entschlüsselt werden können, die mit dem Schlüssel verschlüsselt wurden. Weitere Informationen finden Sie unter Vaults und Schlüssel sichern und wiederherstellen.

  • Legen Sie die Berechtigungen fest, mit denen der File Storage-Service Schlüssel verwenden kann.

Hinweis

Für die Verschlüsselung des Dateisystems werden nur symmetrische Advanced Encryption Standard-(AES-)Schlüssel unterstützt.

Erforderliche IAM-Policy

Dateisysteme, die mit Ihrem eigenen Schlüssel verschlüsselt werden, erfordern die Möglichkeit, im Vault gespeicherte Schlüssel zu lesen. File Storage verwendet Resource Principals, um einem bestimmten Set von Dateisystemen Zugriff auf den Vault-Schlüssel zu erteilen. Dies ist ein zweistufiger Prozess. Zuerst müssen die Dateisysteme, die Zugriff benötigen, in eine dynamische Gruppe eingefügt werden, und dann erhält die dynamische Gruppe Zugriff zum Lesen der Schlüssel.

  1. Erstellen Sie eine dynamische Gruppe für die Dateisysteme mit einer der folgenden Regeln:

    ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
    Hinweis

    Wenn die dynamische Gruppe mehrere Regeln enthält, müssen Sie die Option Match any rules defined below verwenden.

  2. Erstellen Sie eine IAM-Policy, die der dynamischen Gruppe von Dateisystemen Zugriff auf Vault-Schlüssel erteilt:

    allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>

Erteilen Sie dem File Storage-Servicebenutzer nicht nur Policys für den Resource Principal-Zugriff, sondern auch Zugriff darauf, die Schlüssel mit einer Policy wie der folgenden zu lesen:

allow service FssOc<n>Prod to use keys in compartment <key_compartment_name>

Der Name des File Storage-Servicebenutzers hängt von Ihrer Realm ab. Bei Realms mit Realm-Schlüsselnummern von 10 oder weniger lautet das Muster für den File Storage-Servicebenutzer FssOc<n>Prod, wobei n die Realm-Schlüsselnummer ist. Realms mit einer Realm-Schlüsselnummer größer als 10 haben den Servicebenutzer fssocprod. Weitere Informationen zu Realms finden Sie unter Regionen und Availability-Domains.

    1. Wählen Sie auf der Listenseite Dateisysteme das Dateisystem aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe bei der Suche nach der Listenseite oder dem Dateisystem benötigen, lesen Sie Dateisysteme auflisten.
    2. Wählen Sie auf der Detailseite neben Verschlüsselungsschlüssel die Option Bearbeiten aus.
    3. Wählen Sie im Dialogfeld Masterverschlüsselungsschlüssel bearbeiten die Option Mit vom Kunden verwalteten Schlüsseln verschlüsseln aus.
      Hinweis

      Wenn Sie einem Dateisystem einen Vault-Schlüssel zuweisen, können Sie später veranlassen, dass das Dateisystem wieder von Oracle verwaltete Schlüssel verwendet. Wählen Sie dazu Mit von Oracle verwalteten Schlüsseln verschlüsseln aus.
    4. Wählen Sie das Vault Compartment, den Vault, das Masterverschlüsselungsschlüssel-Compartment und den Masterverschlüsselungsschlüssel aus.
    5. Wählen Sie Änderungen speichern aus.

  • Verwenden Sie den Befehl fs file-system update und die erforderlichen Parameter, um das Dateisystem mit dem angegebenen Schlüssel zu verschlüsseln:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>

    Lassen Sie den Wert --kms-key-id nicht angegeben, um von Oracle verwaltete Schlüssel für die Verschlüsselung zu verwenden:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle ist in der CLI-Befehlsreferenz enthalten.

  • Führen Sie den Vorgang UpdateFileSystem aus, um die Dateisystemverschlüsselung zu verwalten.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.