ファイル・システムの暗号化
ファイル・ストレージ・ファイル・システムでは、Oracle管理キーを使用してファイル・システムをデフォルトで暗号化します。これにより、暗号化関連の処理がすべてOracleに依存されます。オプションで、独自のVault暗号化キーを使用して、ファイル・システムのデータを暗号化できます。
独自のキーでファイル・システムを暗号化するには、次の前提条件が満たされていることを確認します。
- ボールト・サービスに少なくとも1つのキー・ボールトとキー。詳細は、ボールトの概要を参照してください。 注意
ボールトおよびキーは必ずバックアップしてください。そうしないと、ボールトとキーの削除によって、そのキーが暗号化に使用されたリソースまたはデータを復号化できなくなります。詳細は、ボールトおよびキーのバックアップとリストアを参照してください。 -
ファイル・ストレージ・サービスにキーの使用を許可する権限を設定します。
ファイル・システムの暗号化では、対称Advanced Encryption Standard (AES)キーのみがサポートされています。
必要なIAMポリシー
独自のキーを使用して暗号化されたファイル・システムでは、Vaultに格納されているキーを読み取る機能が必要です。ファイル・ストレージでは、リソース・プリンシパルを使用して、特定のファイル・システムのセットにVaultキーへのアクセス権を付与します。これは2ステップのプロセスであり、まずアクセスが必要なファイル・システムを動的グループに配置し、次に動的グループにキーを読み取るアクセス権が付与されます。
-
次のようなルールを使用して、ファイル・システムの動的グループを作成します:
ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
ノート
動的グループに複数のルールがある場合は、必ずMatch any rules defined below
オプションを使用してください。 -
ファイル・システムの動的グループにVaultキーへのアクセス権を付与するIAMポリシーを作成します:
allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>
- ナビゲーション・メニューを開き、「ストレージ」をクリックします。「ファイル・ストレージ」で、「ファイル・システム」をクリックします。
- 「リスト範囲」の「コンパートメント」リストで、Vaultマスター暗号化キーで暗号化するファイル・システムを含むコンパートメントを選択します。
- ファイル・システムのリストで、ファイル・システム名をクリックします。
- ファイル・システムの詳細ページで、「暗号化キー」の横にある「編集」をクリックします。
- 「マスター暗号化キーの編集」ダイアログ・ボックスで、「顧客管理キーを使用した暗号化」を選択します。ノート
Vaultキーをファイル・システムに割り当てると、「Oracle管理キーを使用した暗号化」を選択して、Oracle管理キーを使用して暗号化するようにファイル・システムを後で戻すことができます。 - 「Vaultコンパートメント」、「Vault」、「マスター暗号化キー・コンパートメント」および「マスター暗号化キー」を選択します。
- 「変更の保存」をクリックします
fs file-system update
コマンドおよび必須パラメータを使用して、指定したキーを使用してファイル・システムを暗号化します。oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>
暗号化にOracle管理キーを使用するには、
--kms-key-id
値を未指定のままにします。oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""
CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。
UpdateFileSystem操作を実行して、ファイル・システムの暗号化を管理します。
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。