Echec de la création d'un système de fichiers avec une clé affectée

Impossible de créer un système de fichiers File Storage auquel une clé Oracle Cloud Infrastructure Vault est affectée.

La tentative de création échoue avec l'exception suivante :

com.oracle.bmc.model.BmcException: (401, NotAuthenticated, false) The required information to complete authentication was not provided or was incorrect.

Cause : les systèmes de fichiers File Storage nécessitent une autorisation pour utiliser des clés en votre nom. Vous devez également, dans un premier temps, autoriser les utilisateurs à déléguer l'utilisation des clés au service. L'autorisation est fournie au service et aux utilisateurs à l'aide de stratégies IAM spécifiques.

Solution :

1. Dans la location, créez une stratégie pour permettre à un groupe d'utilisateurs de déléguer l'utilisation des clés dans un compartiment. Par exemple :

   Allow group FileWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>' 

2. Affectez l'utilisateur qui crée le système de fichiers au groupe.

3. Créez un groupe dynamique pour les systèmes de fichiers avec une stratégie telle que la suivante :

   ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }

   Remarque
   
   Si le groupe dynamique contient plusieurs règles, veillez à utiliser l'option Match any rules defined below.

4. Créez une stratégie IAM qui donne au groupe dynamique de systèmes de fichiers un accès en lecture aux clés secrètes Vault :

   allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>

Pour plus d'informations, reportez-vous à Encrypting a File System et à Assigning Master Encryption Keys.