Falha ao Criar um Sistema de Arquivos com uma Chave Designada

Falha na criação de um sistema de arquivos do serviço File Storage com uma chave designada do Oracle Cloud Infrastructure Vault.

A tentativa de criação falha com a seguinte exceção:

com.oracle.bmc.model.BmcException: (401, NotAuthenticated, false) The required information to complete authentication was not provided or was incorrect.

Causa: Os sistemas de arquivos do serviço File Storage exigem autorização para usar chaves em seu nome. Além disso, você também deve autorizar os usuários a delegarem o uso de chave ao serviço primeiro. A autorização é fornecida ao serviço e aos usuários usando políticas específicas do serviço IAM.

Solução:

1. Crie uma política na tenancy para permitir o uso de uma chave delegada do grupo de usuários em um compartimento. Por exemplo:

   Allow group FileWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>' 

2. Designe o usuário que está criando o sistema de arquivos ao grupo.

3. Crie um grupo dinâmico para sistemas de arquivos com uma política como a seguinte:

   ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }

   Observação
   
   Se você tiver mais de uma regra no grupo dinâmico, certifique-se de usar a opção Match any rules defined below.

4. Crie uma política do serviço IAM que dê ao grupo dinâmico de sistemas de arquivos acesso de leitura a segredos do Vault:

   allow dynamic-group <dynamic_group_name> to use keys in compartment <key_compartment_name>

Para obter mais informações, consulte Criptografando um Sistema de Arquivos e Designando Chaves de Criptografia Principais.