Ativando a Criptografia em Trânsito entre uma Instância e Volumes de Inicialização ou Volumes em Blocos
Depois de criar uma instância de máquina virtual (VM), você poderá ativar ou desativar a criptografia em trânsito entre a instância e seus anexos de volume de inicialização e volume em blocos paravirtualizados.
Todos os dados de volume de inicialização e volume em blocos em repouso são sempre criptografados pelo serviço Block Volume do Oracle Cloud Infrastructure usando o algoritmo AES (Advanced Encryption Standard) com criptografia de 256 bits. Para obter mais informações, consulte Criptografia de Volume em Blocos.
Consulte este problema conhecido: A criptografia em trânsito de um anexo de volume de inicialização pode ser editada quando não é compatível com a imagem.
Para obter permissões, consulte Política Obrigatória do Serviço IAM para Trabalhar com Instâncias.
Formas e Imagens Suportadas
Você pode ativar ou desativar a criptografia em trânsito das instâncias existentes que usam estas formas de VM:
- Série VM.Standard1
- Série VM.Standard.B1
- Série VM.Standard2
- Série VM.Standard3
- Série VM.Standard.E2
- VM.Standard.E3.Flex
- VM.Standard.E4.Flex
- VM.Standard.E5.Flex
- VM.Standard.E6. Flex
- VM.Standard.A1.Flex
- Série VM.DenseIO1
- Série VM.DenseIO2
- Série VM.GPU3
- Série VM.GPU.A10
- VM.Optimized3.Flex
Estas formas não podem ser editadas:
- VM.Standard.E2.1.Micro
- VM.DenseIO.E4.Flex
- Série VM.GPU2
- Instâncias de VM que são executadas em hosts de máquina virtual dedicados
As formas de bare metal a seguir suportam criptografia em trânsito por padrão para volumes em blocos e volumes de inicialização. Essa definição não é configurável e se aplica a todos os anexos de volume da instância.
- BM.Standard.E3.128
- BM.Standard.E4.128
- BM.DenseIO.E4.128
A criptografia em trânsito não está ativada para essas formas nos seguintes cenários:
- Volumes de inicialização para instâncias lançadas em 8 de junho de 2021 ou anteriores.
- Volumes anexados à instância de 8 de junho de 2021 ou anterior
Para ativar a criptografia em trânsito para os volumes nesses cenários, desanexe o volume da instância e depois o reanexe.
A criptografia em trânsito não é suportada em todas as outras formas bare metal.
A criptografia em trânsito para volumes de inicialização e volumes em blocos está disponível para imagens de plataforma. Não há suporte na maioria dos casos para instâncias iniciadas de imagens personalizadas importadas em cenários BYOI (Bring Your Own Image). Para confirmar o suporte para determinadas imagens personalizadas baseadas em Linux, entre em contato com o suporte.
- Navegue até a página da lista Instâncias do serviço Compute. Se precisar de ajuda para localizar a página de lista, consulte Listando Instâncias.
- Selecione uma instância.
- Selecione a opção que você vê:
- Selecione Ações e, em seguida, Mais ações e Editar.
- Selecione Mais ações e Editar.
- Selecione Opções avançadas.
- Navegue até Opções de inicialização, alterne a caixa de seleção Usar criptografia em trânsito para ativar ou desativar.
-
Selecione Salvar alterações.
Se a instância estiver em execução, ela será reinicializada. Confirme quando solicitado.
Use o comando instance update e os parâmetros necessários para atualizar uma instância:
oci compute instance update --from-json <file://path/to/file.json><file://path/to/file.json> é o caminho para um arquivo JSON que define os detalhes da instância. Para obter informações sobre como gerar um exemplo do arquivo JSON, consulte Opções Avançadas de JSON.
Para obter uma lista completa de flags e opções de variáveis para os comandos da CLI do Serviço de Computação, consulte a referência de linha de comando para o Serviço Compute.
Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.
Use esta operação da API para ativar ou desativar a criptografia em trânsito entre uma instância e seus anexos de volumes de inicialização paravirtualizados: