Documentation sur Oracle Cloud Infrastructure

Mise à jour du chiffrement du système de fichiers

Les systèmes de fichiers File Storage with Lustre utilisent des clés gérées par Oracle pour chiffrer un système de fichiers par défaut, ce qui rend Oracle responsable de tout le chiffrement. Vous pouvez éventuellement chiffrer les données d'un système de fichiers à l'aide de votre propre clé de chiffrement du service de chambre forte.

Pour chiffrer un système de fichiers avec votre propre clé, assurez-vous qu'au moins une chambre forte de clés et une clé dans le service de chambre forte. Pour plus d'informations, voir Aperçu du service de chambre forte.

Attention

Assurez-vous de sauvegarder les chambres fortes et les clés. La suppression d'une chambre forte et d'une clé entraîne la perte de la capacité de déchiffrer les ressources ou les données qui ont été chiffrées avec la clé. Pour plus d'informations, voir Sauvegarde et restauration des chambres fortes et des clés.

Politique GIA requise

Les systèmes de fichiers chiffrés à l'aide de votre propre clé nécessitent la possibilité de lire les clés stockées dans le service de chambre forte. File Storage with Lustre utilise des principaux de service pour accorder l'accès à la clé du service de chambre forte.

Créez des politiques IAM qui permettent aux services et aux utilisateurs d'accéder aux clés du service de chambre forte :

allow service blockstorage to use keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to read keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow group <user-group> to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'

For more information, see File Storage with Lustre Policies.

    1. Dans la page de liste Systèmes de fichiers Lustre, recherchez le système de fichiers avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des systèmes de fichiers.
    2. Dans le menu Actions (trois points) du système de fichiers, sélectionnez Modifier la clé de chiffrement.
    3. Dans le panneau Modifier la clé de chiffrement, sélectionnez la façon dont les clés chiffrant le système de fichiers sont gérées.
      • Utiliser des clés gérées par Oracle : Sélectionnez cette option pour laisser à Oracle toutes les questions relatives au chiffrement.
      • Utiliser des clés gérées par le client : Sélectionnez cette option pour chiffrer le système de fichiers à l'aide d'une clé propre qui est stockée dans le service de chambre forte OCI. Vous pouvez ainsi effectuer une rotation, la désactiver et la supprimer au besoin. Après avoir sélectionné cette option, sélectionnez la chambre forte qui contient la clé et la clé elle-même.
    4. Sélectionnez Mettre à jour.

  • Utilisez la commande oci lfs lustre-file-system update et le paramètre --kms-key-id pour mettre à jour la méthode de chiffrement d'un système de fichiers :

    oci lfs lustre-file-system update --kms-key-id <encryption_key_OCID>

    Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération UpdateLustreFileSystem avec l'attribut kmsKeyId pour mettre à jour la méthode de chiffrement d'un système de fichiers.

    Pour plus d'informations sur l'utilisation de l'API et sur la signature des demandes, voir la documentation de l'API REST et Security Credentials. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.