Oracle Cloud Infrastructureドキュメント

セキュア・ファイル・システムの作成

セキュリティ・アドバイザを使用して、ファイル・ストレージにセキュアなファイル・システムを作成します。このコンテキストでは、セキュアなファイル・システムは、顧客管理キーで暗号化されるため、セキュリティ・ゾーンによって設定される最小セキュリティ要件を満たします。

ファイル・システムの作成に加えて、ファイル・システムの暗号化に使用するVaultキーを作成し、そのキーをファイル・システムに割り当てます。(セキュリティ・アドバイザを使用して既存の暗号化キーを割り当てることはできませんが、既存のボールトを使用して新しいキーを作成できます。)

セキュリティ・アドバイザを使用したファイル・システムの作成には、いくつかの制限があります。セキュリティ・アドバイザを使用して、新しいマウント・ターゲットを持つファイル・システムを作成することはできません。既存のマウント・ターゲットを再利用する必要があります。

セキュリティ・アドバイザの外部には、作成後のリソースの使用など、その他のセキュリティ上の考慮事項があります。File Storageのセキュリティ機能とベスト・プラクティスについてさらに学習し、新しく作成したリソースにそれらを実装することをお薦めします。詳細は、ファイル・ストレージの保護およびセキュリティについてを参照してください。

コンソールの使用

セキュア・ファイル・システムを作成する前に、必要な権限があり、マウント・ターゲットが存在している必要があります。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」「セキュリティ・アドバイザ」の順に選択します。
  2. 「セキュア・ファイル・システムの作成」をクリックします。
  3. 開始の前提条件を確認し、「次」をクリックします。
  4. 「Vaultの選択」ページで、次のいずれかのオプションを選択します。
    • 既存のボールトにマスター暗号化キーを作成するには、「既存Vaultの選択」を選択します。
    • 新しいボールトにマスター暗号化キーを作成するには、「新規Vaultの作成」を選択します。
  5. 前のステップでの選択に応じて、次のいずれかのアクションを実行します。
    • 既存のボールトの使用を選択した場合は、ボールトが存在するコンパートメントを選択し、ボールトを選択します。
    • ボールトの作成を選択した場合は、ボールトを作成するコンパートメントを選択し、ボールトを識別する表示名を入力します。機密情報を入力しないでください。オプションで、「仮想プライベート・ボールトにする」チェック・ボックスを選択して、ボールトを仮想プライベート・ボールトにします。ボールト・タイプの詳細は、キーおよびシークレット管理の概念を参照してください。
  6. 「次へ」をクリックします。
  7. 「キーの作成」ページで、キーを識別する名前を入力します。

    機密情報を入力しないでください。

    「Key Shape: Length」の値は256ビットに固定され、鍵の長さに基づいてセキュリティーが最大化されます。

    「キー・シェイプ: アルゴリズム」の値がAdvanced Encryption Standard (AES)に設定されます。

  8. (オプション)既存のボールトを使用していて、キー・マテリアルをインポートしてキーを作成する場合、「外部キーのインポート」チェック・ボックスを選択します。

    キー・マテリアルをインポートするには、最初にキー・マテリアルを生成し、ボールトの公開ラッピング・キーを使用してそれをラップする必要があります。このオプションは、新規ボールトの作成時には使用できません。キーのインポートの詳細は、キーおよびキー・バージョンのインポートを参照してください。

  9. キーにタグを適用するには、「タグ付けオプションの表示」をクリックします。
  10. 「次へ」をクリックします。
  11. 「ファイル・システムの作成」ページで、ファイル・システムの属性を指定します

    • コンパートメント:ファイル・システムを配置するコンパートメントを選択します。使用する既存のマウント・ターゲットを含むコンパートメントを選択する必要があります。

    • 名前:ファイル・システムの表示名を入力します。File Storageでは、現在の年、月、日および時間を反映するデフォルト名がFileSystem-YYMMDD-HHMM-SSという書式で生成されます。オプションで、デフォルト名を変更します。Oracle Cloud Identifier (OCID)はファイル・システムを一意に識別するため、この名前を一意にする必要はありません。機密情報を入力しないでください。

    • 可用性ドメイン:ファイル・システムを配置する現在のリージョン内の可用性ドメインを選択します。

    • エクスポート・パス:ファイル・ストレージ・サービスは、ファイル・システム名を使用してデフォルトのエクスポート・パスを作成します。オプションで、先頭にスラッシュ(/)を付けてデフォルトのエクスポート・パス名を新しいパス名に置き換えます。たとえば、/fssです。この値では、ファイル・システムへのマウント・パス(マウント・ターゲットのIPアドレスまたはホスト名に対する相対パス)を指定します。

      エクスポート・パスの先頭にはスラッシュ(/)を付ける必要があり、その後にゼロ個以上のスラッシュ区切りの要素を続けます。1つのマウント・ターゲットに関連付けられたファイル・システムが多数ある場合、最初のファイル・システムのエクスポート・パス順序に2番目のファイル・システムのエクスポート・パス順序の完全なパス要素の順序を含めることはできません。エクスポート・パスはスラッシュで終了できません。エクスポート・パス要素には、ピリオド(.)または連続した2つのピリオド(..)を指定できません。エクスポート・パスは1024バイトを超えることはできません。最後に、エクスポート・パス要素は255バイトを超えることはできません。

      有効な例:

      • /exampleおよび/path
      • /exampleおよび/example2

      無効な例:

      • /exampleおよび/example/path
      • /および/example
      • /example/
      • /example/path/../example1

      エクスポート・パスは、エクスポートの作成後は編集できません。別のエクスポート・パスを使用するには、適切なパスで新しいエクスポートを作成する必要があります。その後、オプションで、古いパスが指定されたエクスポートを削除できます。

      注意

      マウント・ターゲットに関連付けられたファイル・システムにエクスポート・パスとして「/」が指定されている場合、別のファイル・システムをそのマウント・ターゲットに関連付けることはできません。

      詳細は、ファイル・システム内のパスを参照してください。

    • セキュア・エクスポート・オプションの使用: NFSクライアントがソース・ポートとして特権ポート(1-1023)を使用することが必要となるようにエクスポート・オプションを設定する場合に選択します。root権限を持つクライアントのみが特権ソース・ポートを使用できるため、このオプションによってセキュリティが向上します。エクスポートが作成された後は、エクスポート・オプションを編集してセキュリティを調整できます。詳細は、NFSエクスポート・オプションの作業を参照してください。

      注意

      「セキュア・エクスポート・オプションの使用」設定を選択解除したままにすると、権限のないユーザーがターゲット・ファイル・システム上のファイルまたはディレクトリを読取りおよび変更できるようになります。

    • マウント・ターゲットの選択:ファイル・システムは、インスタンスによってマウントされるマウント・ターゲットに関連付ける必要があります。コンパートメントで選択した可用性ドメインにマウント・ターゲットがない場合は、別の可用性ドメインを選択するか、マウント・ターゲットがあるコンパートメントおよび可用性ドメインにファイル・システムを作成する必要があります。

    • タグ付けオプションの表示: オプションで、ファイル・システムにタグを適用します。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。

  12. 「次へ」をクリックします。
  13. (オプション)この構成をスタックとしてリソース・マネージャに保存するには、「スタックとして保存」をクリックします。

    詳細は、リソース作成ページからのスタックの作成を参照してください。

  14. セキュリティ・アドバイザが作成するリソースのサマリーを確認し、「セキュア・ファイル・システムの作成」をクリックします。