Impossibile creare un file system con una chiave assegnata

Creazione di un file system di storage di file con una chiave assegnata di Oracle Cloud Infrastructure Vault non riuscita.

Il tentativo di creazione non riesce con la seguente eccezione:

com.oracle.bmc.model.BmcException: (401, NotAuthenticated, false) The required information to complete authentication was not provided or was incorrect.

Causa: i file system di storage di file richiedono l'autorizzazione per utilizzare le chiavi per conto dell'utente. Inoltre, è necessario autorizzare gli utenti a delegare in primo luogo l'uso delle chiavi al servizio. L'autorizzazione viene fornita al servizio e agli utenti utilizzando criteri IAM specifici.

Soluzione:

  1. Creare un criterio nella tenancy per eliminare l'uso della chiave delegata da un gruppo di utenti in un compartimento. Ad esempio:
    Allow group FileWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>' 
  2. Assegnare al gruppo l'utente che sta creando il file system.
  3. Creare un gruppo dinamico per i file system con un criterio come il seguente:

    ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
    Nota

    Se nel gruppo dinamico sono presenti più regole, assicurarsi di utilizzare l'opzione Match any rules defined below.
  4. Creare un criterio IAM che offra al gruppo dinamico di file system l'accesso in lettura ai segreti del vault:

    allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>

Per maggiori informazioni, vedere Encrypting a File System e Assigning Master Encryption Keys.