Documentação do Oracle Cloud Infrastructure

Atualizando a Criptografia do Sistema de Arquivos

O Armazenamento de Arquivos com sistemas Lustre usa chaves gerenciadas pela Oracle para criptografar um sistema de arquivos por padrão, o que deixa todos os assuntos relacionados à criptografia para a Oracle. Como opção, você pode criptografar os dados em um sistema com sua própria chave do Vault.

Para criptografar um sistema de arquivos com sua própria chave, certifique-se de que pelo menos um cofre de chaves e uma chave estejam no serviço Vault. Para obter mais informações, consulte Visão Geral do Serviço Vault.

Cuidado

Não se esqueça de fazer backup de vaults e chaves. Excluir um vault e a chave significa perder a capacidade de decriptografar qualquer recurso ou dados que a chave foi usada para criptografar. Para obter mais informações, consulte Backup e Restauração de Vaults e Chaves.

Política de IAM Obrigatória

Os sistemas de arquivos criptografados usando sua própria chave exigem a capacidade de ler as chaves armazenadas no Vault. O File Storage com Lustre usa controladores de serviço para conceder acesso à chave do Vault.

Crie políticas do serviço IAM que concedam aos serviços e usuários acesso às chaves do serviço Vault:

allow service blockstorage to use keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to read keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow group <user-group> to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'

Para obter mais informações, consulte File Storage com Políticas do Lustre.

    1. Na página de lista Sistemas de arquivos Lustre, localize o sistema de arquivos com o qual deseja trabalhar. Se precisar de ajuda para localizar a página da lista, consulte Listando Sistemas de Arquivos.
    2. No menu Ações (três pontos) do sistema de arquivos, selecione Editar chave de criptografia.
    3. No painel Editar chave de criptografia, selecione como as chaves que criptografam o sistema de arquivos são gerenciadas.
      • Usar chaves gerenciadas pela Oracle: Selecione esta opção para deixar todos os assuntos relacionados à criptografia para a Oracle.
      • Usar chaves gerenciadas pelo cliente: Selecione esta opção para criptografar o sistema de arquivos usando uma chave própria armazenada no OCI Vault. Isso permite rotacioná-lo, desativá-lo e excluí-lo conforme necessário. Depois de selecionar essa opção, selecione o vault que contém a chave e a própria chave.
    4. Selecione Atualizar.

  • Use o comando oci lfs lustre-file-system update e o parâmetro --kms-key-id para atualizar o método de criptografia de um sistema de arquivos:

    oci lfs lustre-file-system update --kms-key-id <encryption_key_OCID>

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Execute a operação UpdateLustreFileSystem com o atributo kmsKeyId para atualizar o método de criptografia de um sistema de arquivos.

    Para obter informações sobre o uso da API e as solicitações de assinatura, consulte Documentação da API REST e Credenciais da Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.