Documentação do Oracle Cloud Infrastructure

Criptografando um Sistema de Arquivos

Por padrão, os sistemas de arquivos do serviço File Storage usam chaves gerenciadas pela Oracle para criptografar um sistema de arquivos, o que deixa sob responsabilidade da Oracle todos os assuntos relacionados à criptografia. Opcionalmente, você pode criptografar os dados em um sistema de arquivos usando sua própria chave de criptografia do serviço Vault.

Para criptografar um sistema de arquivos com sua própria chave, verifique se os seguintes pré-requisitos foram atendidos:

  • Pelo menos um vault de chaves e uma chave no serviço Vault. Para obter mais informações, consulte Visão Geral do Serviço Vault.
    Cuidado

    Certifique-se de fazer backup de vaults e chaves. Excluir um vault e uma chave significa perder a capacidade de decriptografar qualquer recurso ou dados para os quais a chave foi usada para criptografar. Para obter mais informações, consulte Backup e Restauração de Vaults e Chaves.

  • Defina as permissões que permitem que o serviço File Storage use chaves. Por exemplo: 

    Allow service <file_storage_service_user> to use keys in compartment <compartment_name>

    O nome do usuário do serviço File Storage depende do seu realm. Para realms com números de chave de realm de 10 ou menos, o padrão do usuário do serviço File Storage é FssOc<n>Prod, em que n é o número da chave de realm. Os realms com um número de chave de realm maior que 10 têm um usuário de serviço fssocprod. Para obter mais informações sobre realms, consulte Sobre Regiões e Domínio de Disponibilidade.

    Para obter mais informações sobre permissões, consulte Políticas Comuns.

Observação

Somente chaves AES (Advanced Encryption Standard) simétricas são suportadas para criptografia de sistema de arquivos.
    1. Abra o menu de navegação e clique em Armazenamento. Em File Storage, clique em Sistemas de Arquivos.
    2. Em Escopo da lista, na lista Compartimento, escolha o compartimento que contém o sistema de arquivos que você deseja criptografar com uma chave de criptografia principal do serviço Vault.
    3. Na lista de sistemas de arquivos, clique no nome do sistema de arquivos.
    4. Na página de detalhes do sistema de arquivos, ao lado da Chave de criptografia, clique em Editar.
    5. Na caixa de diálogo Editar chave de criptografia mestra, selecione Criptografar usando chaves gerenciadas pelo cliente.
      Observação

      Se você designar uma chave do serviço Vault a um sistema de arquivos, poderá retornar posteriormente o sistema de arquivos para usar as chaves gerenciadas pela Oracle para criptografia, selecionando Criptografar usando chaves gerenciadas pela Oracle.
    6. Selecione o Compartimento do Vault, o Vault, o Compartimento da chave principal de criptografia e a Chave principal de criptografia.
    7. Clique em Salvar alterações.

  • Use o comando fs file-system update e os parâmetros necessários para criptografar o sistema de arquivos usando a chave especificada:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id <target_key_id>

    Deixe o valor --kms-key-id não especificado para usar chaves gerenciadas pela Oracle para criptografia:

    oci fs file-system update --file-system-id <file_system_OCID> --kms-key-id ""

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comando da CLI.

  • Execute a operação UpdateFileSystem para gerenciar a criptografia do sistema de arquivos.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.