ファイル・システムの暗号化

ファイル・ストレージ・ファイル・システムでは、Oracle管理キーを使用してファイル・システムをデフォルトで暗号化します。これにより、暗号化関連の処理がすべてOracleに依存されます。オプションで、独自のVault暗号化キーを使用して、ファイル・システムのデータを暗号化できます。

独自のキーでファイル・システムを暗号化するには、次の前提条件が満たされていることを確認します。

  • ボールト・サービスに少なくとも1つのキー・ボールトとキー。詳細は、ボールトの概要を参照してください。
    注意

    ボールトおよびキーは必ずバックアップしてください。そうしないと、ボールトとキーの削除によって、そのキーが暗号化に使用されたリソースまたはデータを復号化できなくなります。詳細は、ボールトおよびキーのバックアップとリストアを参照してください。
  • ファイル・ストレージ・サービスにキーの使用を許可する権限を設定します。

ノート

ファイル・システムの暗号化では、対称Advanced Encryption Standard (AES)キーのみがサポートされています。

必要なIAMポリシー

独自のキーを使用して暗号化されたファイル・システムでは、Vaultに格納されているキーを読み取る機能が必要です。ファイル・ストレージでは、リソース・プリンシパルを使用して、特定のファイル・システムのセットにVaultキーへのアクセス権を付与します。これは2ステップのプロセスであり、まずアクセスが必要なファイル・システムを動的グループに配置し、次に動的グループにキーを読み取るアクセス権が付与されます。

  1. 次のようなルールを使用して、ファイル・システムの動的グループを作成します:

    ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
    ノート

    動的グループに複数のルールがある場合は、必ずMatch any rules defined belowオプションを使用してください。
  2. ファイル・システムの動的グループにVaultキーへのアクセス権を付与するIAMポリシーを作成します:

    allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>
    1. ナビゲーション・メニューを開き、「ストレージ」をクリックします。「ファイル・ストレージ」で、「ファイル・システム」をクリックします。
    2. 「リスト範囲」「コンパートメント」リストで、Vaultマスター暗号化キーで暗号化するファイル・システムを含むコンパートメントを選択します。
    3. ファイル・システムのリストで、ファイル・システム名をクリックします。
    4. ファイル・システムの詳細ページで、「暗号化キー」の横にある「編集」をクリックします。
    5. 「マスター暗号化キーの編集」ダイアログ・ボックスで、「顧客管理キーを使用した暗号化」を選択します。
      ノート

      Vaultキーをファイル・システムに割り当てると、「Oracle管理キーを使用した暗号化」を選択して、Oracle管理キーを使用して暗号化するようにファイル・システムを後で戻すことができます。
    6. 「Vaultコンパートメント」「Vault」「マスター暗号化キー・コンパートメント」および「マスター暗号化キー」を選択します。
    7. 「変更の保存」をクリックします
  • fs file-system updateコマンドおよび必須パラメータを使用して、指定したキーを使用してファイル・システムを暗号化します。

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>

    暗号化にOracle管理キーを使用するには、--kms-key-id値を未指定のままにします。

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""

    CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

  • UpdateFileSystem操作を実行して、ファイル・システムの暗号化を管理します。

    APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。