Chiffrement d'un système de fichiers
Les systèmes de fichiers du service de stockage de fichiers utilisent les clés gérées par Oracle pour chiffrer un système de fichiers par défaut, ce qui laisse à Oracle la responsabilité de tout ce qui concerne le chiffrement. Facultativement, vous pouvez chiffrer les données d'un système de fichiers à l'aide de votre propre clé de chiffrement.
Pour chiffrer un système de fichiers avec votre propre clé, assurez-vous que les conditions requises suivantes sont remplies :
- Au moins une chambre forte de clé et une clé dans le service de chambre forte. Pour plus d'informations, voir Aperçu du service de chambre forte. Attention
Veillez à sauvegarder les chambres fortes et les clés. Lorsque vous supprimez une chambre forte et une clé, vous ne pouvez plus déchiffrer les ressources ou les données qui ont été chiffrées avec la clé. Pour plus d'informations, voir Sauvegarde et restauration des chambres fortes et des clés. -
Définissez les autorisations qui permettent au service de stockage de fichiers d'utiliser des clés.
Seules les clés AES ( Advanced Encryption Standard) symétriques sont prises en charge pour le chiffrement du système de fichiers.
Politique GIA requise
Les systèmes de fichiers chiffrés à l'aide de votre propre clé nécessitent la possibilité de lire les clés stockées dans le service de chambre forte. Le service de stockage de fichiers utilise des principaux de ressource pour accorder à un jeu spécifique de systèmes de fichiers l'accès à la clé du service de chambre forte. Il s'agit d'un processus en deux étapes, d'abord les systèmes de fichiers qui ont besoin d'accès doivent être placés dans un groupe dynamique, puis le groupe dynamique est autorisé à lire les clés.
-
Créer un groupe dynamique pour les systèmes de fichiers à l'aide d'une règle telle que :
ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }Note
Si vous avez plusieurs règles dans le groupe dynamique, assurez-vous d'utiliser l'optionMatch any rules defined below. -
Créez une politique IAM qui donne au groupe dynamique de systèmes de fichiers l'accès aux clés du service de chambre forte :
allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>
En plus de créer des politiques pour l'accès au principal de ressource, accordez à l'utilisateur du service File Storage l'accès pour lire les clés à l'aide d'une politique telle que :
allow service FssOc<n>Prod to use keys in compartment <key_compartment_name>Le nom de l'utilisateur du service Stockage de fichiers dépend de votre . Pour les domaines avec des numéros de clé de domaine de 10 ou moins, le modèle pour l'utilisateur du service de stockage de fichiers est FssOc<n>Prod, où n est le numéro de clé de domaine. Les domaines dont le numéro de clé de domaine est supérieur à 10 ont un utilisateur de service fssocprod. Pour plus d'informations sur les domaines, voir À propos des régions et des domaines de disponibilité.
- Dans la page de liste Systèmes de fichiers, sélectionnez le système de fichiers avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste ou le système de fichiers, voir Liste des systèmes de fichiers.
- Dans la page de détails, à côté de Clé de chiffrement, sélectionnez Modifier.
- Dans la boîte de dialogue Modifier la clé de chiffrement principale, sélectionnez Chiffrer à l'aide des clés gérées par le client.Note
Si vous affectez une clé du service de chambre forte à un système de fichiers, vous pouvez ensuite retourner au système de fichiers à l'aide de clés gérées par Oracle pour le chiffrement en sélectionnant Chiffrer à l'aide de clés gérées par Oracle. - Sélectionnez le compartiment de la chambre forte, la chambre forte, le compartiment de la clé principale de chiffrement et la clé principale de chiffrement.
- Sélectionnez Enregistrer les modifications.
Utilisez la commande
fs file-system updateet les paramètres requis pour chiffrer le système de fichiers à l'aide de la clé spécifiée :oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>Laissez la valeur
--kms-key-idnon spécifiée pour utiliser les clés gérées par Oracle pour le chiffrement :oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""Pour la liste complète des paramètres et valeurs des commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface.
Exécutez l'opération UpdateFileSystem pour gérer le chiffrement du système de fichiers.
Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.