Documentation Oracle Cloud Infrastructure

Création d'un système de fichiers sécurisé

Utilisez Security Advisor pour créer un système de fichiers sécurisé dans File Storage. Dans ce contexte, un système de fichiers sécurisé est un système de fichiers qui est crypté à l'aide d'une clé gérée par le client et qui répond donc aux exigences de sécurité minimales établies par les zones de sécurité.

En plus de créer le système de fichiers, vous créez la clé Vault à utiliser pour crypter le système, puis vous affectez la clé au système. (Vous ne pouvez pas utiliser Security Advisor pour affecter des clés de cryptage existantes, mais vous pouvez utiliser un coffre existant pour créer une clé.)

L'utilisation de la fonction de conseil de sécurité pour créer un système de fichiers est soumise à quelques restrictions. Vous ne pouvez pas utiliser Security Advisor pour créer un système de fichiers avec une nouvelle cible de montage. Vous devez réutiliser une cible de montage existante.

D'autres éléments sont à prendre en compte en matière de sécurité, tels que l'utilisation des ressources après leur création. Nous vous recommandons d'en savoir plus sur les fonctionnalités de sécurité et les meilleures pratiques de File Storage, puis de les implémenter avec les ressources nouvellement créées. Pour plus d'informations, reportez-vous à Sécurisation de File Storage et à A propos de la sécurité.

Utilisation de la console

Avant de créer un système de fichiers sécurisé, vous devez disposer des autorisations requises et d'une cible de montage.

  1. Ouvrez le menu de navigation , sélectionnez Identité et sécurité, puis Conseiller en sécurité.
  2. Cliquez sur Créer un système de fichiers sécurisé.
  3. Passez en revue les prérequis de démarrage, puis cliquez sur Suivant.
  4. Sur la page Sélectionner un coffre, sélectionnez l'une des options suivantes.
    • Pour créer une clé de cryptage maître dans un coffre existant, sélectionnez Sélectionner un coffre existant.
    • Pour créer une clé de cryptage maître dans un nouveau coffre, sélectionnez Créer un coffre.
  5. En fonction de votre choix à l'étape précédente, effectuez l'une des actions suivantes.
    • Si vous choisissez d'utiliser un coffre existant, sélectionnez le compartiment dans lequel réside le coffre, puis sélectionnez le coffre.
    • Si vous choisissez de créer un coffre, sélectionnez le compartiment dans lequel créer le coffre, puis saisissez un nom d'affichage pour identifier le coffre. Evitez de saisir des informations confidentielles. Si vous voulez créer un coffre privé virtuel, cochez la case Définir comme coffre privé virtuel. Pour plus d'informations sur les types de coffre, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes.
  6. Cliquez sur Suivant.
  7. Sur la page Créer une clé, entrez un nom pour identifier la clé.

    Evitez de saisir des informations confidentielles.

    La valeur de Forme de clé : longueur est fixée à 256 bits pour optimiser la sécurité en fonction de la longueur de la clé.

    La valeur de Forme de clé : Algorithme est définie sur AES (Advanced Encryption Standard).

  8. (Facultatif) Si vous utilisez un coffre existant et que vous voulez importer des informations de clé pour créer une clé, cochez la case Importer la clé externe.

    Pour importer des informations de clé, vous devez d'abord générer les informations de clé en question, puis les encapsuler à l'aide de la clé d'encapsulation publique d'un coffre. Cette option n'est pas disponible lorsque vous créez un coffre. Pour plus d'informations sur l'import de clés, reportez-vous à Import de clés et de versions de clé.

  9. Pour appliquer des balises à la clé, cliquez sur Afficher les options de balisage.
  10. Cliquez sur Suivant.
  11. Sur la page Créer un système de fichiers, indiquez les attributs du système de fichiers .

    • Compartiment : sélectionnez le compartiment dans lequel stocker le système de fichiers. Vous devez choisir un compartiment contenant la cible de montage existante à utiliser.

    • Nom : entrez le nom d'affichage du système de fichiers. File Storage génère un nom par défaut qui reflète l'année, le mois, le jour et l'heure en cours, à l'aide du format FileSystem-YYMMDD-HHMM-SS. Vous pouvez modifier le nom par défaut. Le nom ne doit pas être unique car un identificateur Oracle Cloud (OCID) identifie le système de fichiers de manière unique. Evitez de saisir des informations confidentielles.

    • Domaine de disponibilité : sélectionnez le domaine de disponibilité de la région en cours dans lequel placer le système de fichiers.

    • Chemin d'export : le service File Storage crée un chemin d'export par défaut à l'aide du nom du système de fichiers. Vous pouvez remplacer le nom du chemin d'export par défaut par un nouveau nom de chemin, précédé d'une barre oblique (/). Par exemple, /fss. Cette valeur indique le chemin de montage vers le système de fichiers (relatif à l'adresse IP ou au nom d'hôte de la cible de montage).

      Le chemin d'export doit commencer par une barre oblique (/) suivie d'une séquence d'éléments (de zéro à plusieurs) séparés par des barres obliques. Si de nombreux systèmes de fichiers sont associés à une même cible de montage, la séquence du chemin d'export du premier système de fichiers ne peut pas contenir la séquence complète des éléments du chemin du deuxième système de fichiers. Les chemins d'export ne peuvent pas se terminer par une barre oblique. Aucun élément de chemin d'export ne peut être constitué d'un point (.) ou de deux points à la suite (..). Aucun chemin d'export ne doit dépasser 1 024 octets. Enfin, aucun élément de chemin d'export ne doit dépasser 255 octets.

      Exemples valides :

      • /example et /path
      • /example et /example2

      Exemples non valides :

      • /example et /example/path
      • / et /example
      • /example/
      • /example/path/../example1

      Les chemins d'exportation ne peuvent pas être modifiés une fois l'exportation créée. Pour utiliser un chemin d'export différent, vous devez créer un export avec le chemin approprié. Vous avez ensuite la possibilité de supprimer l'export associé à l'ancien chemin.

      Attention

      Si '/' est défini comme chemin d'export d'un système de fichiers associé à une cible de montage, vous ne pouvez pas associer d'autres systèmes de fichiers à cette cible de montage.

      Pour plus d'informations, reportez-vous à Chemins dans les systèmes de fichiers.

    • Utiliser les options d'export sécurisé : sélectionnez cette option pour définir les options d'export de façon à exiger l'utilisation d'un port privilégié (1-1023) comme port source pour les clients NFS. Cette option renforce la sécurité car seul un client disposant des privilèges racine peut utiliser un port source privilégié. Une fois l'export créé, vous pouvez modifier les options d'export pour ajuster la sécurité. Pour plus d'informations, reportez-vous à Utilisation des options d'export NFS.

      Attention

      Si vous ne sélectionnez pas le paramètre Utiliser les options d'export sécurisé, les utilisateurs sans privilège peuvent lire et modifier tout fichier ou répertoire sur le système de fichiers cible.

    • Sélectionner une cible de montage : les systèmes de fichiers doivent être associés à une cible de montage pour être montés par une instance. Si le compartiment ne contient aucune cible de montage dans le domaine de disponibilité sélectionné, vous devez choisir un autre domaine de disponibilité ou créer le système de fichiers dans un compartiment et un domaine de disponibilité dans lequel vous disposez d'une cible de montage.

    • Afficher les options de balisage : vous pouvez éventuellement appliquer des balises au système de fichiers. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas sûr d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

  12. Cliquez sur Suivant.
  13. (Facultatif) Pour enregistrer cette configuration en tant que pile dans Resource Manager, cliquez sur Enregistrer en tant que pile.

    Pour plus d'informations, reportez-vous à Création d'une pile à partir d'une page de création de ressource.

  14. Examinez le récapitulatif des ressources créées par Security Advisor, puis cliquez sur Créer un système de fichiers sécurisé.