Documentação do Oracle Cloud Infrastructure

Criptografando um Sistema de Arquivos

Por padrão, os sistemas de arquivos do serviço File Storage usam chaves gerenciadas pela Oracle para criptografar um sistema de arquivos, o que deixa sob responsabilidade da Oracle todos os assuntos relacionados à criptografia. Opcionalmente, você pode criptografar os dados em um sistema de arquivos usando sua própria chave de criptografia do serviço Vault.

Para criptografar um sistema de arquivos com sua própria chave, certifique-se de que os seguintes pré-requisitos sejam atendidos:

  • Pelo menos um vault de chaves e uma chave no serviço Vault. Para obter mais informações, consulte Visão Geral do Serviço Vault.
    Cuidado

    Certifique-se de fazer backup de vaults e chaves. Excluir um vault e uma chave significa perder a capacidade de decriptografar qualquer recurso ou dados para os quais a chave foi usada para criptografar. Para obter mais informações, consulte Backup e Restauração de Vaults e Chaves.

  • Defina as permissões que permitem que o serviço File Storage use chaves.

Observação

Somente chaves AES (Advanced Encryption Standard) simétricas são suportadas para criptografia de sistema de arquivos.

Política Necessária do Serviço IAM

Sistemas de arquivos criptografados usando sua própria chave exigem a capacidade de ler chaves armazenadas no serviço Vault. O serviço File Storage usa controladores de recursos para conceder a um conjunto específico de sistemas de arquivos acesso à chave do serviço Vault. Este é um processo de duas etapas, primeiro os sistemas de arquivos que precisam de acesso devem ser colocados em um grupo dinâmico e, em seguida, o grupo dinâmico recebe acesso para ler as chaves.

  1. Crie um grupo dinâmico para os sistemas de arquivos com uma regra como esta:

    ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
    Observação

    Se você tiver mais de uma regra no grupo dinâmico, certifique-se de usar a opção Match any rules defined below.

  2. Crie uma política do serviço IAM que dê ao grupo dinâmico de sistemas de arquivos acesso a chaves do serviço Vault:

    allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>
    1. Abra o menu de navegação e clique em Armazenamento. Em File Storage, clique em Sistemas de Arquivos.
    2. Em Escopo da lista, na lista Compartimento, escolha o compartimento que contém o sistema de arquivos que você deseja criptografar com uma chave de criptografia mestre do serviço Vault.
    3. Na lista de sistemas de arquivos, clique no nome do sistema de arquivos.
    4. Na página de detalhes do sistema de arquivos, ao lado de Chave de criptografia, clique em Editar.
    5. Na caixa de diálogo Editar chave de criptografia principal, selecione Criptografar usando chaves gerenciadas pelo cliente.
      Observação

      Se você designar uma chave do serviço Vault a um sistema de arquivos, poderá retornar posteriormente o sistema de arquivos para usar as chaves gerenciadas pela Oracle para criptografia selecionando Criptografar usando chaves gerenciadas pela Oracle.
    6. Selecione o Compartimento do Vault, o Vault, o Compartimento da chave principal de criptografia e a chave principal de criptografia.
    7. Clique em Salvar alterações.

  • Use o comando fs file-system update e os parâmetros necessários para criptografar o sistema de arquivos usando a chave especificada:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>

    Deixe o valor --kms-key-id não especificado para usar chaves gerenciadas pela Oracle para criptografia:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""

    For a complete list of parameters and values for CLI commands, see the CLI Command Reference.

  • Execute a operação UpdateFileSystem para gerenciar a criptografia do sistema de arquivos.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.