Documentation sur Oracle Cloud Infrastructure

Création d'un système de fichiers sécurisé

Utilisez Security Advisor pour créer un système de fichiers sécurisé dans le stockage de fichiers. Dans ce contexte, un système de fichiers sécurisé est chiffré avec une clé gérée par le client et répond donc aux exigences de sécurité minimales établies par les zones de sécurité.

En plus de créer le système de fichiers, vous créez la clé du service de chambre forte à utiliser pour chiffrer le système de fichiers, puis vous affectez la clé au système de fichiers. (Vous ne pouvez pas utiliser Security Advisor pour affecter des clés de chiffrement existantes, mais vous pouvez utiliser une chambre forte existante pour créer une nouvelle clé.)

L'utilisation de Security Advisor pour créer un système de fichiers comporte certaines limites. Vous ne pouvez pas utiliser le service de conseils sur la sécurité pour créer un système de fichiers avec une nouvelle cible de montage. Vous devez réutiliser une cible de montage existante.

D'autres considérations relatives à la sécurité existent en dehors de Security Advisor, telles que l'utilisation des ressources après leur création. Nous vous encourageons à en apprendre davantage sur les fonctions de sécurité et les meilleures pratiques du service File Storage, puis à les mettre en oeuvre avec les ressources nouvellement créées. Pour plus d'informations, voir Sécurisation du service de stockage de fichiers et À propos de la sécurité.

Utilisation de la console

Avant de créer un système de fichiers sécurisé, vous devez disposer des autorisations requises et une cible de montage doit exister.

  1. Ouvrez le menu de navigation , sélectionnez Identité et sécurité, puis Service de conseils sur la sécurité.
  2. Cliquez sur Créer un système de fichiers sécurisé.
  3. Vérifiez les préalables au démarrage, puis cliquez sur Suivant.
  4. Dans la page Sélectionner une chambre forte, sélectionnez l'une des options suivantes.
    • Pour créer une clé de chiffrement principale dans une chambre forte existante, sélectionnez Choisir une chambre forte existante.
    • Pour créer une clé de chiffrement principale dans une chambre forte, sélectionnez Créer une chambre forte.
  5. Selon votre choix à l'étape précédente, effectuez l'une des actions suivantes.
    • Si vous avez choisi d'utiliser une chambre forte existante, sélectionnez le compartiment dans lequel réside la chambre forte, puis sélectionnez la chambre forte.
    • Si vous choisissez de créer une chambre forte, sélectionnez le compartiment dans lequel vous souhaitez créer la chambre forte, puis entrez un nom d'affichage pour identifier la chambre forte. Évitez d'entrer des informations confidentielles. Si nécessaire, définissez la chambre forte en tant que chambre forte privée virtuelle en cochant la case Définir en tant que chambre forte privée virtuelle. Pour plus d'informations sur les types de chambre forte, voir Concepts relatifs à la gestion des clés et des clés secrètes.
  6. Cliquez sur Suivant.
  7. Dans la page Créer une clé, entrez un nom pour identifier la clé.

    Évitez d'entrer des informations confidentielles.

    La valeur de forme de la clé : Longueur est fixée à 256 bits pour maximiser la sécurité en fonction de la longueur de la clé.

    La valeur de Forme de la clé : Algorithme est réglée à Advanced Encryption Standard (AES).

  8. (Facultatif) Si vous utilisez une chambre forte existante et que vous voulez importer du matériel de clé pour créer une clé, sélectionnez la case Importer une clé externe.

    Vous devez d'abord générer le matériel de clé et l'encapsuler à l'aide de la clé d'encapsulation publique d'une chambre forte. Cette option n'est pas disponible lors de la création d'une chambre forte. Pour plus d'informations sur l'importation de clés, voir Importation de clés et de versions de clé.

  9. Pour appliquer des marqueurs à la clé, cliquez sur Show Tagging Options.
  10. Cliquez sur Suivant.
  11. Dans la page Créer un système de fichiers, spécifiez les attributs du système de fichiers .

    • Compartiment : Sélectionnez le compartiment dans lequel vous voulez que le système de fichiers réside. Vous devez choisir un compartiment qui contient la cible de montage existante à utiliser.

    • Nom : Entrez un nom d'affichage pour le système de fichiers. Le service de stockage de fichiers génère un nom par défaut qui reflète l'année, le mois, le jour et l'heure courants, à l'aide du format FileSystem-YYMMDD-HHMM-SS. Facultativement, modifiez le nom par défaut. Il n'est pas nécessaire que le nom soit unique car l'identificateur Oracle Cloud (OCID) identifie le système de fichiers de manière unique. Évitez d'entrer des informations confidentielles.

    • Domaine de disponibilité : Sélectionnez le domaine de disponibilité dans la région courante où vous voulez placer le système de fichiers.

    • Chemin d'exportation : Le service de stockage de fichiers crée un chemin d'exportation par défaut à partir du nom du système de fichiers. Facultativement, remplacez le nom du chemin d'exportation par défaut par un nouveau nom de chemin, précédé d'une slash (/). Par exemple, /fss. Cette valeur indique le chemin de montage au système de fichiers (relatif à l'adresse IP ou au nom d'hôte de la cible de montage).

      Le chemin d'exportation doit commencer par une barre oblique (/) suivie d'une séquence de zéros ou de plusieurs éléments séparés par une barre oblique. Si plusieurs systèmes de fichiers sont associés à une seule cible de montage, la séquence du chemin d'exportation pour le premier système de fichiers ne peut pas contenir la séquence complète d'éléments du chemin du second fichier. Les chemins d'exportation ne peuvent pas se terminer par une barre oblique. Aucun élément de chemin d'exportation ne peut être un point (.) ou deux points consécutifs (..). Aucun chemin d'exportation ne peut dépasser 1024 octets. Enfin, aucun élément de chemin d'exportation ne peut dépasser 255 octets.

      Exemples valides :

      • /example et /path
      • /example et /example2

      Exemples non valides :

      • /example et /example/path
      • / et /example
      • /example/
      • /example/path/../example1

      Les chemins d'exportation ne peuvent pas être modifiés après la création de l'exportation. Pour utiliser un chemin d'exportation différent, vous devez créer une nouvelle exportation avec le chemin approprié. Facultativement, vous pouvez supprimer l'exportation ayant l'ancien chemin.

      Attention

      Si un système de fichiers associé à une cible de montage a la valeur '/' indiquée en tant que chemin d'exportation, vous ne pouvez pas associer un autre système de fichiers à cette cible de montage.

      Pour plus d'informations, voir Chemins dans les systèmes de fichiers.

    • Utiliser des options d'exportation sécurisées : Définissez les options d'exportation de façon à ce que les clients NFS soient tenus d'utiliser un port privilégié (1 à 1023) comme port source. Cette option améliore la sécurité, car seul un client disposant de privilèges racines peut utiliser un port source privilégié. Une fois l'exportation créée, vous pouvez modifier les options d'exportation pour ajuster la sécurité. Pour plus d'informations, voir Utilisation des options d'exportation NFS.

      Attention

      Si le paramètre Utiliser des options d'exportation sécurisées n'est pas sélectionné, les utilisateurs sans privilèges peuvent lire et modifier un fichier ou un répertoire dans le système de fichiers cible.

    • Sélectionner une cible de montage : Les systèmes de fichiers doivent être associés à une cible de montage pour être montés par une instance. Si vous n'avez pas de cible de montage dans le domaine de disponibilité sélectionné du compartiment, vous devez choisir un autre domaine de disponibilité ou créer le système de fichiers dans un compartiment et un domaine de disponibilité où vous disposez d'une cible de montage.

    • Afficher les options de marquage : Vous pouvez éventuellement appliquer des marqueurs au système de fichiers. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

  12. Cliquez sur Suivant.
  13. (Facultatif) Pour enregistrer cette configuration en tant que pile dans le gestionnaire de ressources, cliquez sur Enregistrer en tant que pile.

    Pour plus d'informations, voir Création d'une pile à partir d'une page de création de ressource.

  14. Vérifiez le sommaire des ressources créées par le service de conseils sur la sécurité, puis cliquez sur Créer un système de fichiers sécurisé.