Documentación de Oracle Cloud Infrastructure

Actualización del cifrado del sistema de archivos

El almacenamiento de archivos con sistemas de archivos Lustre utiliza claves gestionadas por la aplicación Oracle para cifrar un sistema de archivos por defecto, lo que deja todos los asuntos relacionados con la codificación a Oracle. Si lo desea, puede cifrar los datos en un sistema del archivo con su propia clave del cifrado del almacén.

Para cifrar un sistema de archivos con su propia clave, asegúrese de que al menos un almacén de claves y una clave en el servicio Vault. Para obtener más información, consulte Visión general de Vault.

Atención

Asegúrese de realizar una copia de seguridad de almacenes y las claves. Suprimir un almacén y la clave significa perder la capacidad de descifrar cualquier recurso o datos que la clave haya utilizado para cifrar. Para obtener más información, consulte Copia de seguridad y restauración de almacenes y claves.

Política de IAM necesaria

Los sistemas de archivos cifrados con su propia clave requieren la capacidad de leer claves almacenadas en Vault. File Storage con Lustre utiliza principales de servicio para otorgar acceso a la clave Vault.

Cree políticas de IAM que proporcionen a los servicios y usuarios acceso a las claves de Vault:

allow service blockstorage to use keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to read keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow group <user-group> to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'

Para obtener más información, consulte Almacenamiento de archivos con políticas de Lustre.

    1. En la página de lista Sistemas de archivos Lustre, busque el sistema de archivos con el que desea trabajar. Si necesita ayuda para encontrar la página de lista, consulte Listing File Systems.
    2. En el menú Acciones (tres puntos) del sistema de archivos, seleccione Editar clave de cifrado.
    3. En el panel Editar clave de cifrado, seleccione cómo se gestionan las claves que cifran el sistema de archivos.
      • Usar claves gestionadas por Oracle: seleccione esta opción para dejar a Oracle todos los asuntos relacionados con el cifrado.
      • Usar claves gestionadas por el cliente: seleccione esta opción para cifrar el sistema de archivos mediante una clave propia almacenada en OCI Vault. Esto te permite rotarlo, desactivarlo y eliminarlo según sea necesario. Después de seleccionar esta opción, seleccione el almacén que contiene la clave y la clave en sí.
    4. Seleccione Actualizar.

  • Utilice el comando oci lfs lustre-file-system update y el parámetro --kms-key-id para actualizar el método de cifrado de un sistema de archivos:

    oci lfs lustre-file-system update --kms-key-id <encryption_key_OCID>

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Ejecute la operación UpdateLustreFileSystem con el atributo kmsKeyId para actualizar el método de cifrado de un sistema de archivos.

    Para obtener información sobre el uso de la API y las solicitudes de firma, consulte la documentación de la API de REST y las Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.