Oracle Cloud Infrastructure-Dokumentation

Dateisystemverschlüsselung wird aktualisiert

Dateisysteme von File Storage with Lustre nutzen standardmäßig die von Oracle verwalteten Schlüssel, sodass alle Verschlüsselungsaspekte Oracle überlassen bleiben. Optional können Sie die Daten in einem Dateisystem mit Ihrem eigenen Vault-Verschlüsselungsschlüssel verschlüsseln.

Um ein Dateisystem mit Ihrem eigenen Schlüssel zu verschlüsseln, stellen Sie sicher, dass mindestens ein Key Vault und Schlüssel im Vault-Service vorhanden sind. Weitere Informationen finden Sie unter Überblick über Vault.

Achten Sie darauf, Vaults und Schlüssel zu sichern.

Das Löschen eines Vaults und Schlüssels bedeutet andernfalls, dass keine Ressourcen oder Daten entschlüsselt werden, die der Schlüssel für die Verschlüsselung verwendet hat. Weitere Informationen finden Sie unter Vaults und Schlüssel sichern und wiederherstellen.

Erforderliche IAM-Policy

Dateisysteme, die mit Ihrem eigenen Schlüssel verschlüsselt sind, erfordern das Lesen von Schlüsseln, die im Vault gespeichert sind. File Storage with Lustre verwendet Service-Principals, um Zugriff auf den Vault-Schlüssel zu erteilen.

Erstellen Sie IAM-Policys, die den Services und Benutzern Zugriff auf Vault-Schlüssel erteilen:

allow service blockstorage to use keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to read keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow group <user-group> to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'

Weitere Informationen finden Sie unter File Storage with Lustre-Policys.

    1. Suchen Sie auf der Listenseite Lustre-Dateisysteme das Dateisystem, mit dem Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter Dateisysteme auflisten.
    2. Wählen Sie im Menü Aktionen (drei Punkte) für das Dateisystem die Option Verschlüsselungsschlüssel bearbeiten.
    3. Wählen Sie im Bereich Verschlüsselungsschlüssel bearbeiten aus, wie Schlüssel, die das Dateisystem verschlüsseln, verwaltet werden.
      • Von Oracle verwaltete Schlüssel verwenden: Wählen Sie diese Option aus, um alle verschlüsselungsbezogenen Aspekte Oracle zu überlassen.
      • Vom Kunden verwaltete Schlüssel verwenden: Wählen Sie diese Option aus, um das Dateisystem mit einem eigenen Schlüssel zu verschlüsseln, der in OCI Vault gespeichert ist. Auf diese Weise können Sie sie nach Bedarf drehen, deaktivieren und löschen. Nachdem Sie diese Option ausgewählt haben, wählen Sie den Vault mit dem Schlüssel und dem Schlüssel selbst aus.
    4. Wählen Sie Aktualisieren aus.

  • Verwenden Sie den Befehl oci lfs lustre-file-system update und den Parameter --kms-key-id, um die Verschlüsselungsmethode eines Dateisystems zu aktualisieren:

    oci lfs lustre-file-system update --kms-key-id <encryption_key_OCID>

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang UpdateLustreFileSystem mit dem Attribut kmsKeyId aus, um die Verschlüsselungsmethode eines Dateisystems zu aktualisieren.

    Informationen zur Verwendung der API und Zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.