ファイル・システムの暗号化の更新
Lustreファイル・システムを使用したファイル・ストレージでは、Oracle管理キーを使用してファイル・システムをデフォルトで暗号化します。これにより、暗号化関連のすべての事項がOracleに保持されます。オプションで、独自のVault暗号化キーを使用して、ファイル・システム内のデータを暗号化できます。
独自のキーでファイル・システムを暗号化するには、Vaultサービスで少なくとも1つのキー・ボールトおよびキーを確認してください。詳細は、ボールトの概要を参照してください。
注意
ボールトおよびキーは必ずバックアップしてください。そうしないと、ボールトとキーの削除によって、そのキーを使用して暗号化したすべてのリソースまたはデータを復号化できなくなります。詳細は、ボールトおよびキーのバックアップとリストアを参照してください。
ボールトおよびキーは必ずバックアップしてください。そうしないと、ボールトとキーの削除によって、そのキーを使用して暗号化したすべてのリソースまたはデータを復号化できなくなります。詳細は、ボールトおよびキーのバックアップとリストアを参照してください。
必要なIAMポリシー
独自のキーを使用して暗号化されたファイル・システムでは、Vaultに格納されているキーを読み取る機能が必要です。Lustreを使用したファイル・ストレージでは、サービス・プリンシパルを使用してVaultキーへのアクセス権を付与します。
サービスおよびユーザーにVaultキーへのアクセス権を付与するIAMポリシーを作成します:
allow service blockstorage to use keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to read keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow group <user-group> to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'詳細は、Lustreポリシーを使用したファイル・ストレージを参照してください。
- 「Lustre file systems」リスト・ページで、使用するファイル・システムを検索します。リスト・ページの検索に関するヘルプが必要な場合は、ファイル・システムのリストを参照してください。
-
ファイル・システムの「アクション」メニュー(
)から、「暗号化キーの編集」を選択します。
-
「暗号化キーの編集」パネルで、ファイル・システムの暗号化キーの管理方法を選択します。
- Oracle管理キーの使用: 暗号化に関連するすべての事項をOracleに残すには、このオプションを選択します。
- 顧客管理キーの使用: OCI Vaultに格納されている独自のキーを使用してファイル・システムを暗号化するには、このオプションを選択します。これにより、必要に応じてローテーション、無効化および削除できます。このオプションを選択したら、キーを含むボールトと、キー自体を選択します。
- 「更新」を選択します。
oci lfs lustre-file-system updateコマンドおよび--kms-key-idパラメータを使用して、ファイル・システムの暗号化方法を更新します。oci lfs lustre-file-system update --kms-key-id <encryption_key_OCID>CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。
ファイル・システムの暗号化方式を更新するには、
kmsKeyId属性を指定してUpdateLustreFileSystem操作を実行します。APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。