Cryptage d'un système de fichiers
Les systèmes de fichiers File Storage utilisent des clés gérées par Oracle pour crypter un système de fichiers par défaut, ce qui laisse toutes les questions liées au cryptage à Oracle. Vous pouvez éventuellement crypter les données dans un système de fichiers à l'aide de votre propre clé de cryptage Vault.
Pour crypter un système de fichiers avec votre propre clé, assurez-vous que les prérequis suivants sont respectés :
- Au moins un coffre de clés et une clé dans le service Vault. Pour plus d'informations, reportez-vous à Présentation de Vault. Attention
Assurez-vous de sauvegarder les coffres et les clés. Si un coffre et une clé sont supprimés, vous ne pouvez plus décrypter les ressources ou les données cryptées par la clé. Pour plus d'informations, reportez-vous à Sauvegarde et restauration de coffres et de clés. -
Définissez les droits d'accès permettant au service File Storage d'utiliser les clés.
Seules les clés asynchrones symétriques sont prises en charge pour le cryptage du système de fichiers.
Stratégie IAM requise
Les systèmes de fichiers cryptés à l'aide de votre propre clé nécessitent la possibilité de lire les clés stockées dans Vault. File Storage utilise des principaux de ressource pour accorder à un ensemble spécifique de systèmes de fichiers l'accès à la clé Vault. Il s'agit d'un processus en deux étapes, d'abord les systèmes de fichiers nécessitant un accès doivent être placés dans un groupe dynamique, puis le groupe dynamique est autorisé à lire les clés.
-
Créez un groupe dynamique pour les systèmes de fichiers avec une règle telle que la suivante :
ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }Remarque
Si le groupe dynamique contient plusieurs règles, veillez à utiliser l'optionMatch any rules defined below. -
Créez une stratégie IAM qui donne au groupe dynamique de systèmes de fichiers l'accès aux clés Vault :
allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>
En plus de créer des stratégies pour l'accès au principal de ressource, accordez à l'utilisateur du service File Storage l'accès permettant de lire les clés à l'aide d'une stratégie telle que la suivante :
allow service FssOc<n>Prod to use keys in compartment <key_compartment_name>Le nom de l'utilisateur du service File Storage dépend de votre domaine de sécurité . Pour les domaines avec des numéros de clé de domaine de 10 ou moins, le modèle de l'utilisateur du service File Storage est FssOc<n>Prod, où n est le numéro de clé de domaine. Les domaines avec un numéro de clé de domaine supérieur à 10 ont un utilisateur de service de fssocprod. Pour plus d'informations sur les domaines de sécurité, reportez-vous à A propos des régions et des domaines de sécurité.
- Sur la page de liste Systèmes de fichiers, sélectionnez le système de fichiers à utiliser. Si vous avez besoin d'aide pour rechercher la page de liste ou le système de fichiers, reportez-vous à Liste des systèmes de fichiers.
- Sur la page de détails, en regard de Clé de cryptage, sélectionnez Modifier.
- Dans la boîte de dialogue Modifier la clé de cryptage maître, sélectionnez Crypter à l'aide de clés gérées par le client.Remarque
Si vous affectez une clé Vault à un système de fichiers, vous pouvez revenir ultérieurement aux clés gérées par Oracle pour le cryptage en sélectionnant Crypter à l'aide des clés gérées par Oracle. - Sélectionnez le compartiment de coffre, le coffre, le compartiment de clé de cryptage maître et la clé de cryptage maître.
- Sélectionnez Enregistrer les modifications.
Utilisez la commande
fs file-system updateet les paramètres requis pour chiffrer le système de fichiers à l'aide de la clé spécifiée :oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>Laissez la valeur
--kms-key-idnon spécifiée pour utiliser les clés gérées par Oracle pour le cryptage :oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""Pour obtenir la liste complète des paramètres et des valeurs des commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'interface de ligne de commande.
Exécutez l'opération UpdateFileSystem pour gérer le chiffrement du système de fichiers.
Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.