Documentazione di Oracle Cloud Infrastructure

Codifica di un file system

I file system di storage di file utilizzano le chiavi gestite da Oracle per cifrare un file system per impostazione predefinita, lasciando a Oracle tutte le questioni relative alla cifratura. Facoltativamente, è possibile cifrare i dati in un file system utilizzando la propria chiave di cifratura Vault.

Per cifrare un file system con una chiave propria, assicurarsi che vengano soddisfatti i prerequisiti riportati di seguito.

  • Almeno un vault di chiavi e una chiave nel servizio Vault. Per ulteriori informazioni, vedere Panoramica del vault.
    Attenzione

    Assicurarsi di eseguire il backup di vault e chiavi. L'eliminazione di un vault e di una chiave significa altrimenti perdere la possibilità di decifrare qualsiasi risorsa o dato utilizzato per cifrare la chiave. Per ulteriori informazioni, vedere Backup e ripristino di vault e chiavi.

  • Impostare le autorizzazioni che consentono al servizio di storage di file di utilizzare le chiavi.

Nota

Per la cifratura del file system sono supportate solo le chiavi AES (Symmetric Advanced Encryption Standard).

Criteri IAM necessari

I file system cifrati utilizzando la propria chiave richiedono la possibilità di leggere le chiavi memorizzate nel vault. Lo storage di file utilizza i principal delle risorse per concedere a un set specifico di file system l'accesso alla chiave del vault. Si tratta di un processo in due fasi, in primo luogo i file system che richiedono l'accesso devono essere inseriti in un gruppo dinamico, quindi al gruppo dinamico viene concesso l'accesso per leggere le chiavi.

  1. Creare un gruppo dinamico per i file system con una regola come la seguente:

    ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
    Nota

    Se nel gruppo dinamico sono presenti più regole, assicurarsi di utilizzare l'opzione Match any rules defined below.

  2. Creare un criterio IAM che consenta al gruppo dinamico di file system di accedere alle chiavi del vault:

    allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>

Oltre a creare criteri per l'accesso al principal delle risorse, concedere all'utente del servizio di storage di file l'accesso per leggere le chiavi utilizzando un criterio come il seguente:

allow service FssOc<n>Prod to use keys in compartment <key_compartment_name>

Il nome dell'utente del servizio di storage di file dipende dal reame in uso. Per i realm con numeri di chiave del realm inferiori o uguali a 10, il pattern per l'utente del servizio di storage di file è FssOc<n>Prod, dove n è il numero di chiave del realm. I realm con un numero di chiave realm maggiore di 10 hanno un utente del servizio fssocprod. Per ulteriori informazioni sui realm, vedere Informazioni sulle aree e sui domini di disponibilità.

    1. Nella pagina di elenco File system, selezionare il file system che si desidera utilizzare. Per informazioni su come trovare la pagina dell'elenco o il file system, vedere Listing dei file system.
    2. Nella pagina dei dettagli, accanto alla chiave di cifratura, selezionare Modifica.
    3. Nella finestra di dialogo Modifica chiave di cifratura master, selezionare Cifra mediante chiavi gestite dal cliente.
      Nota

      Se si assegna una chiave Vault a un file system, in seguito sarà possibile ripristinare l'utilizzo delle chiavi gestite da Oracle per la cifratura selezionando Cifra mediante chiavi gestite da Oracle.
    4. Selezionare il compartimento vault, il Vault, il compartimento di chiavi di cifratura master e la chiave di cifratura master.
    5. Selezionare Salva modifiche.

  • Usare il comando fs file-system update e i parametri richiesti per cifrare il file system con la chiave specificata:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>

    Lasciare il valore --kms-key-id non specificato per utilizzare le chiavi gestite da Oracle per la cifratura:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""

    Per un elenco completo dei parametri e dei valori per i comandi della CLI, vedere il manuale CLI Command Reference.

  • Eseguire l'operazione UpdateFileSystem per gestire la cifratura del file system.

    Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.