Documentazione dell'infrastruttura Oracle Cloud

Aggiornamento della cifratura del file system

Lo storage di file con i file system Lustre utilizza le chiavi gestite da Oracle per cifrare un file system per impostazione predefinita. In questo modo, tutte le questioni relative alla cifratura vengono lasciate a Oracle. Facoltativamente, è possibile cifrare i dati in un file system utilizzando la propria chiave di cifratura Vault.

Per cifrare un file system con la propria chiave, assicurarsi che almeno un vault di chiavi e una chiave nel servizio Vault. Per ulteriori informazioni, vedere Panoramica del vault.

Attenzione

Accertarsi di eseguire il backup dei vault e delle chiavi. L'eliminazione di un vault e di una chiave comporta la perdita della capacità di decifrare qualsiasi risorsa o dato utilizzato dalla chiave per la cifratura. Per ulteriori informazioni, vedere Backup e ripristino di vault e chiavi.

Criterio IAM necessario

I file system cifrati utilizzando la propria chiave richiedono la possibilità di leggere le chiavi memorizzate nel Vault. Lo storage di file con Lustre utilizza i principal del servizio per concedere l'accesso alla chiave del vault.

Creare criteri IAM che consentono ai servizi e agli utenti di accedere alle chiavi del vault:

allow service blockstorage to use keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to read keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow group <user-group> to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'

Per ulteriori informazioni, vedere Storage di file con criteri Lustre.

    1. Nella pagina dell'elenco File system Lustre individuare il file system da utilizzare. Per assistenza nella ricerca della pagina di elenco, vedere Elenco dei file system.
    2. Dal menu Azioni (tre punti) per il file system, selezionare Modifica chiave di cifratura.
    3. Nel pannello Modifica chiave di cifratura, selezionare la modalità di gestione delle chiavi di cifratura del file system.
      • Usa chiavi gestite da Oracle: selezionare questa opzione per lasciare a Oracle tutte le questioni relative alla cifratura.
      • Usa chiavi gestite dal cliente: selezionare questa opzione per cifrare il file system utilizzando una chiave personale memorizzata in OCI Vault. Ciò consente di ruotarla, disabilitarla ed eliminarla in base alle esigenze. Dopo aver selezionato questa opzione, selezionare il vault contenente la chiave e la chiave stessa.
    4. Selezionare Aggiorna.

  • Utilizzare il comando oci lfs lustre-file-system update e il parametro --kms-key-id per aggiornare il metodo di cifratura di un file system.

    oci lfs lustre-file-system update --kms-key-id <encryption_key_OCID>

    Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione UpdateLustreFileSystem con l'attributo kmsKeyId per aggiornare il metodo di cifratura di un file system.

    Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.