Documentação do Oracle Cloud Infrastructure

Criptografando um Sistema de Arquivos

Os sistemas de arquivos do File Storage usam chaves gerenciadas pela Oracle para criptografar um sistema de arquivos por padrão, o que deixa sob responsabilidade da Oracle todos os assuntos relacionados à criptografia. Opcionalmente, você pode criptografar os dados em um sistema de arquivos usando sua própria chave de criptografia do serviço Vault.

Para criptografar um sistema de arquivos com sua própria chave, certifique-se de que os seguintes pré-requisitos sejam atendidos:

  • Pelo menos um vault de chaves e uma chave no serviço Vault. Para obter mais informações, consulte Visão Geral do Serviço Vault.
    Cuidado

    Certifique-se de fazer backup de vaults e chaves. Excluir um vault e uma chave significa perder a capacidade de decriptografar qualquer recurso ou dados para os quais a chave foi usada para criptografar. Para obter mais informações, consulte Backup e Restauração de Vaults e Chaves.

  • Defina as permissões que permitem que o serviço File Storage use chaves.

Observação

Somente chaves AES (Advanced Encryption Standard) simétricas são suportadas para criptografia de sistema de arquivos.

Política Obrigatória do Serviço IAM

Os sistemas de arquivos criptografados usando sua própria chave exigem a capacidade de ler chaves armazenadas no Vault. O File Storage usa controladores de recursos para conceder a um conjunto específico de sistemas de arquivos acesso à chave do Vault. Este é um processo de duas etapas, primeiro os sistemas de arquivos que precisam de acesso devem ser colocados em um grupo dinâmico e, em seguida, o grupo dinâmico recebe acesso para ler as chaves.

  1. Crie um grupo dinâmico para os sistemas de arquivos com uma regra como esta:

    ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
    Observação

    Se você tiver mais de uma regra no grupo dinâmico, certifique-se de usar a opção Match any rules defined below.

  2. Crie uma política do serviço IAM que dê ao grupo dinâmico de sistemas de arquivos acesso às chaves do Vault:

    allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>

Além de criar políticas para acesso ao controlador de recursos, conceda ao usuário do File Storage Service acesso para ler as chaves usando uma política como a seguinte:

allow service FssOc<n>Prod to use keys in compartment <key_compartment_name>

O nome do usuário do serviço File depende do seu realm. Para realms com números de chave de realm de 10 ou menos, o padrão do usuário do serviço File Storage é FssOc<n>Prod, em que n é o número de chave de realm. Os domínios com um número de chave de realm maior que 10 têm um usuário de serviço fssocprod. Para obter mais informações sobre realms, consulte Sobre regiões e domínios de disponibilidade.

    1. Na página da lista Sistemas de Arquivos, selecione o sistema de arquivos com o qual você deseja trabalhar. Se precisar de ajuda para localizar a página da lista ou o sistema de arquivos, consulte Listando Sistemas de Arquivos.
    2. Na página de detalhes, ao lado de Chave de criptografia, selecione Editar.
    3. Na caixa de diálogo Editar chave de criptografia principal, selecione Criptografar usando chaves gerenciadas pelo cliente.
      Observação

      Se você designar uma chave do serviço Vault a um sistema de arquivos, poderá retornar posteriormente o sistema de arquivos para usar as chaves gerenciadas pela Oracle para criptografia selecionando Criptografar usando as chaves gerenciadas pela Oracle.
    4. Selecione o Compartimento do Vault, o Vault, o Compartimento da chave principal de criptografia e a Chave principal de criptografia.
    5. Selecione Salvar alterações.

  • Use o comando fs file-system update e os parâmetros necessários para criptografar o sistema de arquivos usando a chave especificada:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>

    Deixe o valor --kms-key-id não especificado para usar chaves gerenciadas pela Oracle para criptografia:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""

    Para obter uma lista completa dos parâmetros e valores dos comandos da CLI, consulte a Referência de Comandos da CLI.

  • Execute a operação UpdateFileSystem para gerenciar a criptografia do sistema de arquivos.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.