Oracle Cloud Infrastructure-Dokumentation

Sicheres Dateisystem erstellen

Erstellen Sie mit Security Advisor ein sicheres Dateisystem in File Storage. In diesem Zusammenhang ist ein sicheres Dateisystem ein Dateisystem, das mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist und daher die von Sicherheitszonen festgelegten Sicherheitsanforderungen erfüllt.

Neben dem Erstellen des Dateisystems erstellen Sie den Vault-Schlüssel zur Verschlüsselung des Dateisystems und weisen den Schlüssel dann dem Dateisystem zu. (Mit Security Advisor können Sie keine vorhandenen Verschlüsselungsschlüssel zuweisen. Mit einem vorhandenen Vault können Sie jedoch einen neuen Schlüssel erstellen.)

Mit Security Advisor können Sie ein Dateisystem mit einigen Einschränkungen erstellen. Mit Security Advisor können Sie kein Dateisystem mit einem neuen Mount-Ziel erstellen. Sie müssen ein vorhandenes Mountziel verwenden.

Andere Sicherheitsaspekte liegen außerhalb von Security Advisor, wie die Verwendung von Ressourcen nach ihrer Erstellung. Wir empfehlen Ihnen, mehr über die Sicherheitsfunktionen und Best Practices von File Storage zu erfahren und diese dann mit den neu erstellten Ressourcen zu implementieren. Weitere Informationen finden Sie unter File Storage sichern und Sicherheit.

Konsole verwenden

Bevor Sie ein sicheres Dateisystem erstellen, benötigen Sie die erforderlichen Berechtigungen, und ein Mountziel muss vorhanden sein.

  1. Öffnen Sie das Navigationsmenü , wählen Sie Identität und Sicherheit aus, und wählen Sie Security Advisor aus.
  2. Klicken Sie auf Sicheres Dateisystem erstellen.
  3. Bevor Sie beginnen, prüfen Sie die Voraussetzungen, und klicken Sie auf Weiter.
  4. Wählen Sie auf der Seite Vault auswählen eine der folgenden Optionen.
    • Wählen Sie Vorhandenen Vault auswählen aus, um einen Master-Verschlüsselungsschlüssel in einem vorhandenen Vault zu erstellen.
    • Wählen Sie Neuen Vault erstellen aus, um einen Master-Verschlüsselungsschlüssel in einem neuen Vault zu erstellen.
  5. Führen Sie je nach Auswahl im vorherigen Schritt eine der folgenden Aktionen aus.
    • Wenn Sie einen vorhandenen Vault verwenden möchten, wählen Sie das Compartment mit dem Vault aus, und wählen Sie dann den Vault aus.
    • Wenn Sie die Erstellung eines Vaults ausgewählt haben, wählen Sie das Compartment aus, in dem Sie den Vault erstellen möchten. Geben Sie anschließend einen Anzeigenamen ein, um den Vault zu identifizieren. Geben Sie dabei keine vertraulichen Informationen ein. Optional können Sie den Vault zu einem Virtual Private Vault machen, indem Sie das Kontrollkästchen Als Virtual Private Vault erstellen aktivieren. Weitere Informationen zu Vault-Typen finden Sie unter Konzepte zur Verwaltung von Schlüsseln und Secrets.
  6. Klicken Sie auf Weiter.
  7. Geben Sie auf der Seite Schlüssel erstellen einen Namen ein, um den Schlüssel zu identifizieren.

    Geben Sie dabei keine vertraulichen Informationen ein.

    Der Wert für Schlüsselform: Länge ist auf 256 Bit festgelegt, um die Sicherheit basierend auf der Schlüssellänge zu maximieren.

    Der Wert für Schlüsselausprägung: Algorithmus ist auf Advanced Encryption Standard (AES) gesetzt.

  8. (Optional) Wenn Sie einen vorhandenen Vault verwenden und zum Erstellen eines Schlüssels Schlüsselmaterial importieren möchten, aktivieren Sie das Kontrollkästchen Externe Schlüssel importieren.

    Beim Importieren von Schlüsselmaterial müssen Sie zunächst das Schlüsselmaterial generieren und mit dem öffentlichen Wrapping-Schlüssel eines Vaults wrappen. Diese Option ist beim Erstellen eines neuen Vault nicht verfügbar. Weitere Informationen zum Importieren von Schlüsseln finden Sie unter Schlüssel und Schlüsselversionen importieren.

  9. Um Tags auf den Schlüssel anzuwenden, klicken Sie auf Taggingoptionen anzeigen.
  10. Klicken Sie auf Weiter.
  11. Geben Sie auf der Seite Dateisystem erstellen die Attribute des Dateisystems an.

    • Compartment: Wählen Sie das Compartment aus, in dem das Dateisystem gespeichert werden soll. Sie müssen ein Compartment mit dem vorhandenen Mount-Ziel auswählen, das Sie verwenden möchten.

    • Name: Geben Sie einen Anzeigenamen für das Dateisystem ein. File Storage generiert einen Standardnamen, der das aktuelle Jahr, den aktuellen Monat, den aktuellen Tag und die aktuelle Uhrzeit im Format FileSystem-YYMMDD-HHMM-SS widerspiegelt. Ändern Sie optional den Standardnamen. Der Name muss nicht eindeutig sein, weil eine Oracle Cloud-ID (OCID) das Dateisystem eindeutig identifiziert. Geben Sie dabei keine vertraulichen Informationen ein.

    • Availability-Domain: Wählen Sie die Availability-Domain in der aktuellen Region aus, in der Sie das Dateisystem speichern möchten.

    • Exportpfad: Der File Storage-Service erstellt einen Standardexportpfad mit dem Namen des Dateisystems. Ersetzen Sie optional den Standardexportpfadnamen durch einen neuen Pfadnamen, dem ein Schrägstrich (/) vorangestellt wird. Beispiel: /fss. Dieser Wert gibt den Mountpfad zum Dateisystem an (relativ zur IP-Adresse oder zum Hostnamen des Mountziels).

      Der Exportpfad muss mit einem Schrägstrich (/) beginnen, gefolgt von einer Sequenz aus null oder mehr durch Schrägstrich getrennten Elementen. Wenn viele Dateisysteme mit einem einzelnen Mount-Ziel verknüpft sind, kann die Exportpfadsequenz für das erste Dateisystem nicht die komplette Pfadelementsequenz des Exportpfads des zweiten Dateisystems enthalten. Der Exportpfad darf nicht mit einem Schrägstrich enden. Kein Element des Exportpfads darf ein Punkt (.) oder zwei Punkte in Folge (..) sein. Exportpfade dürfen 1024 Byte nicht überschreiten. Zudem darf kein Element des Exportpfads 255 Byte überschreiten.

      Gültige Beispiele:

      • /example und /path
      • /example und /example2

      Ungültige Beispiele:

      • /example und /example/path
      • / und /example
      • /example/
      • /example/path/../example1

      Exportpfade können nicht bearbeitet werden, nachdem der Export erstellt wurde. Um einen anderen Exportpfad zu verwenden, müssen Sie einen neuen Export mit dem entsprechenden Pfad erstellen. Optional können Sie dann den Export mit dem alten Pfad löschen.

      Achtung

      Wenn für ein mit einem Mount-Ziel verknüpftes Dateisystem "/" als Exportpfad angegeben ist, können Sie diesem Mount-Ziel kein anderes Dateisystem zuordnen.

      Weitere Informationen finden Sie unter Pfade in Dateisystemen.

    • Sichere Exportoptionen verwenden: Wählen Sie diese Option aus, um die Exportoptionen so festzulegen, dass NFS-Clients einen privilegierten Port (1-1023) als Quellport verwenden müssen. Diese Option verbessert die Sicherheit, da nur Clients mit Root-Berechtigungen einen privilegierten Quellport verwenden können. Nach dem Erstellen des Exports können Sie die Exportoptionen bearbeiten, um die Sicherheit anzupassen. Weitere Informationen finden Sie unter Mit NFS-Exportoptionen arbeiten.

      Achtung

      Wenn die Einstellung Sichere Exportoptionen verwenden nicht aktiviert ist, können nicht berechtigte Benutzer alle Dateien oder Verzeichnisse im Zieldateisystem lesen und ändern.

    • Mountziel auswählen: Dateisysteme müssen mit einem Mountziel verknüpft sein, damit sie von einer Instanz gemountet werden können. Wenn Sie kein Mountziel in der ausgewählten Availability-Domain im Compartment haben, müssen Sie eine andere Availability-Domain auswählen oder das Dateisystem in einem Compartment und einer Availability-Domain erstellen, in der Sie über ein Mountziel verfügen.

    • Taggingoptionen anzeigen: Wenden Sie optional Tags auf das Dateisystem an. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag zuzuweisen, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

  12. Klicken Sie auf Weiter.
  13. (Optional) Um diese Konfiguration als Stack in Resource Manager zu speichern, klicken Sie auf Als Stack speichern.

    Weitere Informationen finden Sie unter Creating a Stack from a Resource Creation Page.

  14. Prüfen Sie die Zusammenfassung der von Security Advisor erstellten Ressourcen, und klicken Sie auf Secure File System erstellen.