Cryptage d'un système de fichiers
Les systèmes de fichiers File Storage utilisent des clés gérées par Oracle pour crypter un système de fichiers par défaut, ce qui laisse toutes les questions liées au cryptage à Oracle. Vous pouvez éventuellement crypter les données dans un système de fichiers à l'aide de votre propre clé de cryptage Vault.
Pour crypter un système de fichiers avec votre propre clé, assurez-vous que les prérequis suivants sont respectés :
- Au moins un coffre de clés et une clé dans le service Vault. Pour plus d'informations, reportez-vous à Présentation de Vault. Attention
Assurez-vous de sauvegarder les coffres et les clés. Si un coffre et une clé sont supprimés, vous ne pouvez plus décrypter les ressources ou les données cryptées par la clé. Pour plus d'informations, reportez-vous à Sauvegarde et restauration de coffres et de clés. -
Définissez les droits d'accès permettant au service File Storage d'utiliser les clés.
Seules les clés asynchrones symétriques sont prises en charge pour le cryptage du système de fichiers.
Stratégie IAM requise
Les systèmes de fichiers cryptés à l'aide de votre propre clé nécessitent la possibilité de lire les clés stockées dans Vault. File Storage utilise des principaux de ressource pour accorder à un ensemble spécifique de systèmes de fichiers l'accès à la clé Vault. Il s'agit d'un processus en deux étapes, d'abord les systèmes de fichiers nécessitant un accès doivent être placés dans un groupe dynamique, puis le groupe dynamique est autorisé à lire les clés.
-
Créez un groupe dynamique pour les systèmes de fichiers avec une règle telle que la suivante :
ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }Remarque
Si le groupe dynamique contient plusieurs règles, veillez à utiliser l'optionMatch any rules defined below. -
Créez une stratégie IAM qui donne au groupe dynamique de systèmes de fichiers l'accès aux clés Vault :
allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>
- Ouvrez le menu de navigation et cliquez sur Stockage. Sous File Storage, cliquez sur Systèmes de fichiers.
- Sous Portée de la liste, dans la liste Comté, choisissez le compartiment qui contient le système de fichiers que vous voulez crypter à l'aide d'une clé de cryptage maître Vault.
- Dans la liste des systèmes de fichiers, cliquez sur le nom du système de fichiers.
- Sur la page de détails du système de fichiers, en regard de Clé de cryptage, cliquez sur Modifier.
- Dans la boîte de dialogue Modifier la clé de cryptage maître, sélectionnez Crypter à l'aide de clés gérées par le client.Remarque
Si vous affectez une clé Vault à un système de fichiers, vous pouvez revenir ultérieurement aux clés gérées par Oracle pour le cryptage en sélectionnant Crypter à l'aide des clés gérées par Oracle. - Sélectionnez le compartiment de coffre, le coffre, le compartiment de clé de cryptage maître et la clé de cryptage maître.
- Cliquez sur Enregistrer les modifications.
Utilisez la commande
fs file-system updateet les paramètres requis pour chiffrer le système de fichiers à l'aide de la clé spécifiée :oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>Laissez la valeur
--kms-key-idnon spécifiée pour utiliser les clés gérées par Oracle pour le cryptage :oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""Pour obtenir la liste complète des paramètres et des valeurs des commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'interface de ligne de commande.
Exécutez l'opération UpdateFileSystem pour gérer le chiffrement du système de fichiers.
Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.