Documentación de Oracle Cloud Infrastructure

Cifrado de un sistema de archivos

Los sistemas de archivos de almacenamiento de archivos utilizan claves gestionadas por Oracle para cifrar un sistema de archivos por defecto, lo que deja todos los asuntos relacionados con el cifrado a Oracle. Si lo desea, puede cifrar los datos en un sistema de archivos con su propia clave de cifrado de Vault.

Para cifrar un sistema de archivos con su propia clave, asegúrese de que se cumplan los siguientes requisitos:

  • Al menos un almacén de claves y una clave en el servicio Vault. Para obtener más información, consulte Visión general de Vault.
    Atención

    Asegúrese de realizar una copia de seguridad de los almacenes y las claves. De lo contrario, suprimir un almacén y una clave significa perder la capacidad de descifrar cualquier recurso o datos que la clave haya utilizado para cifrar. Para obtener más información, consulte Copia de seguridad y restauración de almacenes y claves.

  • Defina los permisos que permiten que el servicio de almacenamiento de archivos utilice claves.

Nota

Para el cifrado del sistema de archivos, solo están soportadas las claves simétricas del estándar de cifrado avanzado (AES).

Política de IAM necesaria

Los sistemas de archivos cifrados con su propia clave requieren la capacidad de leer las claves almacenadas en Vault. File Storage utiliza principales de recursos para otorgar a un juego específico de sistemas de archivos acceso a la clave de Vault. Se trata de un proceso de dos pasos, en primer lugar, los sistemas de archivos que necesitan acceso deben colocarse en un grupo dinámico y, a continuación, se otorga acceso al grupo dinámico para leer las claves.

  1. Cree un grupo dinámico para los sistemas de archivos con una regla como la siguiente:

    ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
    Nota

    Si tiene más de una regla en el grupo dinámico, asegúrese de utilizar la opción Match any rules defined below.

  2. Cree una política de IAM que proporcione al grupo dinámico de sistemas de archivos acceso a las claves de Vault:

    allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>

Además de crear políticas para el acceso a la entidad de recurso, otorgue al usuario del servicio File Storage acceso para leer las claves mediante una política como la siguiente:

allow service FssOc<n>Prod to use keys in compartment <key_compartment_name>

El nombre del usuario del servicio File Storage depende de su dominio. Para los dominios con números de clave de dominio de 10 o menos, el patrón para el usuario del servicio File Storage es FssOc<n>Prod, donde n es el número de clave de dominio. Los dominios con un número de clave de dominio mayor que 10 tienen un usuario de servicio de fssocprod. Para obtener más información sobre los dominios, consulte About Regions and Availability Domains.

    1. En la página de lista Sistemas de archivos, seleccione el sistema de archivos con el que desea trabajar. Si necesita ayuda para encontrar la página de lista o el sistema de archivos, consulte Listing File Systems.
    2. En la página de detalles, junto a Clave de cifrado, seleccione Editar.
    3. En el cuadro de diálogo Editar clave de cifrado maestra, seleccione Cifrar mediante claves gestionadas por el cliente.
      Nota

      Si asigna una clave de almacén a un sistema de archivos, más adelante puede hacer que el sistema de archivos vuelva a usar claves gestionadas por Oracle para el cifrado seleccionando Cifrar mediante claves gestionadas por Oracle.
    4. Seleccione los valores Compartimento de almacén, Almacén, Compartimento de clave de cifrado maestra y Clave de cifrado maestra.
    5. Seleccione Guardar cambios.

  • Utilice el comando fs file-system update y los parámetros necesarios para cifrar el sistema de archivos mediante la clave especificada:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>

    Deje el valor --kms-key-id sin especificar para utilizar claves gestionadas por Oracle para el cifrado:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

  • Ejecute la operación UpdateFileSystem para gestionar el cifrado del sistema de archivos.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.