ファイル・システムの暗号化の更新
Lustreファイル・システムを使用するFile Storageでは、デフォルトでOracle管理キーを使用してファイル・システムを暗号化します。これにより、暗号化関連の処理がすべてOracleに依存します。オプションで、独自のVault暗号化鍵を使用して、ファイル・システム内のデータを暗号化できます。
独自のキーでファイル・システムを暗号化するには、Vaultサービスで少なくとも1つのキー・ボールトとキーを確認してください。詳細は、ボールトの概要を参照してください。
注意
ボールトおよびキーは必ずバックアップしてください。そうしないと、ボールトとキーの削除によって、そのキーの暗号化に使用されたリソースまたはデータを復号化する機能が失われることになります。詳細は、ボールトおよびキーのバックアップとリストアを参照してください。
ボールトおよびキーは必ずバックアップしてください。そうしないと、ボールトとキーの削除によって、そのキーの暗号化に使用されたリソースまたはデータを復号化する機能が失われることになります。詳細は、ボールトおよびキーのバックアップとリストアを参照してください。
必要なIAMポリシー
独自のキーを使用して暗号化されたファイル・システムでは、Vaultに格納されているキーを読み取る機能が必要です。Lustreを使用したファイル・ストレージでは、サービス・プリンシパルを使用してVaultキーへのアクセス権を付与します。
サービスおよびユーザーにVaultキーへのアクセス権を付与するIAMポリシーを作成します:
allow service blockstorage to use keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to read keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow group <user-group> to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'詳細は、Lustreポリシーを使用したファイル・ストレージを参照してください。
- 「Lustre file systems」リスト・ページで、操作するファイル・システムを見つけます。リスト・ページの検索に関するヘルプが必要な場合は、ファイル・システムのリストを参照してください。
- ファイル・システムのから、「暗号化キーの編集」を選択します。
-
「暗号化キーの編集」パネルで、ファイル・システムを暗号化するキーの管理方法を選択します。
- Oracle管理キーの使用: すべての暗号化関連事項をOracleに残すには、このオプションを選択します。
- 顧客管理キーの使用: このオプションを選択すると、OCI Vaultに格納されている独自のキーを使用してファイル・システムが暗号化されます。これにより、必要に応じてローテーション、無効化および削除できます。このオプションを選択したら、キーを含むボールトとキー自体を選択します。
- 「更新」を選択します。
oci lfs lustre-file-system updateコマンドおよび--kms-key-idパラメータを使用して、ファイル・システムの暗号化方式を更新します。oci lfs lustre-file-system update --kms-key-id <encryption_key_OCID>CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。
ファイル・システムの暗号化方法を更新するには、
kmsKeyId属性を指定してUpdateLustreFileSystem操作を実行します。APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明に関する項を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。