Creación de comparticiones de archivos con cifrado gestionado por el cliente

Por defecto, los recursos compartidos de File Storage for VPC se cifran con el cifrado gestionado de IBM. También puede crear un cifrado de ensobrado para los compartimientos de archivos utilizando uno de los servicios de gestión de claves soportados para crear o importar sus propias claves raíz. No puede cambiar el tipo de cifrado después de crear la compartición de archivos.

Para obtener más información, consulte Protección de datos con cifrado de sobre.

El cifrado gestionado por el cliente no es compatible con la versión beta del perfil regional de uso compartido de archivos.

Antes de empezar

Para crear archivos compartidos con cifrado gestionado por el cliente, debe tener su propia clave raíz de cliente. Puede aprovisionar un servicio de gestión de claves (KMS) y crear o importar su clave raíz de cliente (CRK). Puede elegir entre " Key Protect " y " Hyper Protect Crypto Services" . A continuación, cree una autorización de servicio a servicio entre File Storage for VPC y la instancia de KMS que ha creado.

También es posible utilizar una clave raíz de cliente de otra cuenta. En IBM Cloud, el KMS puede estar ubicado en la misma o en otra cuenta que el servicio que está utilizando una clave de cifrado. Este patrón de despliegue permite a las empresas gestionar de forma centralizada las claves de cifrado de todas las cuentas corporativas. Para más información, consulte Gestión de claves de cifrado.

Configure todos los " autorizaciones de servicio a servicio "autorizaciones de servicio a servicio "autorizaciones de servicio a servicio "autorizaciones de servicio a servicio necesarios entre " File Storage for VPC " (servicio de origen) y la instancia KMS (servicio de destino) que contiene la clave raíz del cliente. Si está aprovisionando volúmenes con una CRK de otra cuenta, pida al administrador de esa cuenta que configure la autorización y comparta el CRN de la clave raíz.

Creación de recursos compartidos de archivos con cifrado gestionado por el cliente en la consola

Siga este procedimiento para especificar el cifrado gestionado por el cliente al crear un recurso compartido de archivos.

En la consola IBM Cloud, vaya al ícono de menú > de infraestructura > Almacenamiento > Recursos compartidos de almacenamiento de archivos.
Pulse Crear.

Introduzca la información que se describe en la Tabla 1.

Valores para crear un recurso compartido de archivos y un destino de montaje.
Campo	Valor
Ubicación	Elija la geografía, la región y la zona donde desea crear el archivo compartido.
Nombre	Elija un nombre significativo para su archivo compartido. El nombre de la compartición puede tener un máximo de 63 caracteres alfanuméricos en minúsculas, puede incluir el guion (-) y debe empezar por una letra minúscula. Si quieres, puedes editar el nombre más adelante.
Grupo de recursos	Especifique un grupo de recursos. Los grupos de recursos ayudan a organizar los recursos de la cuenta para facilitar su control de acceso y facturación.
Etiquetas	Las etiquetas se utilizan para organizar, realizar un seguimiento e incluso gestionar el acceso a los recursos de compartición de archivos. Puede etiquetar los recursos relacionados y visualizarlos en toda la cuenta filtrando por etiquetas desde la lista de recursos. Las etiquetas de usuario son visibles en toda la cuenta. Evite incluir datos confidenciales en el nombre de la etiqueta. Para obtener más información, consulte Cómo trabajar con etiquetas.
Etiquetas de gestión de acceso	Puede aplicar políticas de acceso flexibles en sus comparticiones de archivos con etiquetas de gestión de acceso. Para obtener más información, consulte Control del acceso a los recursos mediante etiquetas.
Perfil	Se crean nuevas comparticiones de archivos con el perfil dp2. Selecciona el tamaño y las IOPS para tu archivo compartido. Para obtener más información, consulte Perfiles de almacenamiento de archivos.
Modalidad de acceso a destino de montaje	Seleccione cómo desea gestionar el acceso a esta compartición de archivos:
	Grupo de seguridad: el acceso a la compartición de archivos se basa en reglas de grupo de seguridad. Esta opción se puede utilizar para restringir el acceso a instancias de servidor virtual específicas. También puede utilizar esta opción si desea montar la compartición de archivos en una instancia de servidor virtual en otra zona. Esta opción se recomienda ya que tiene más control sobre quién puede acceder a los datos almacenados en la compartición de archivos. Al elegir este tipo de acceso, también puede especificar los modos de cifrado de tránsito permitidos.
	Nube privada virtual: el acceso a la compartición de archivos se otorga a cualquier instancia de servidor virtual de la misma región. El montaje entre zonas y el cifrado en tránsito no están soportados.
Modalidades de cifrado de tránsito permitidas	Como propietario de la compartición, puede especificar cómo desea que los clientes de su cuenta y las cuentas autorizadas se conecten a la compartición de archivos. Puede seleccionar ninguno si no desea que utilicen el cifrado en tránsito, y gestionado por el usuario si desea que utilicen el cifrado en tránsito. Si selecciona ambos, el tipo de cifrado de tránsito del primer destino de montaje decide los tipos de cifrado de tránsito de todos los futuros destinos de montaje dentro de la cuenta.

La creación de destinos de montaje es opcional. Puede omitir este paso si no desea crear un destino de montaje ahora. De lo contrario, haga clic en Crear. Puede crear un destino de montaje por cada VPC por cada compartición de archivos.

Si ha seleccionado el grupo de seguridad como modalidad de acceso, especifique la información tal como se describe en la Tabla 2. Esta acción crea y conecta una interfaz de red virtual al destino de montaje que identifica la compartición de archivos con una dirección IP reservada y aplica las reglas del grupo de seguridad seleccionado.

Valores para crear un objetivo de montaje.
Campo	Valor
Detalles
Nombre de destino de montaje	Especifique un nombre de destino de montaje. El nombre puede tener un máximo de 63 caracteres alfanuméricos en minúsculas e incluir el guión (-), y debe empezar por una letra minúscula. Más adelante puede editar el nombre si lo desea.
Zona	La zona se hereda de la compartición de archivos (por ejemplo, Dallas 2).
VPC	Seleccione una VPC disponible. La lista sólo incluye las VPC con una subred en la zona seleccionada.
Subred	Seleccione una subred de la lista.
Dirección IP reservada	Necesario para el destino de montaje. La dirección IP no se puede cambiar después. Sin embargo, puede suprimir el destino de montaje y crear otro con una dirección IP diferente.
Método de reserva	Puede hacer que el servicio de archivos seleccione una dirección IP. La IP reservada se vuelve visible después de crear el destino de montaje. O bien, especifique su propia IP.
Liberación automática	Libera la dirección IP cuando suprime el destino de montaje. Está habilitado de forma predeterminada.
Grupos de seguridad	El grupo de seguridad para la VPC está seleccionado de forma predeterminada o se selecciona en la lista. Los grupos de seguridad que asocie a un destino de montaje deben permitir el acceso entrante para el protocolo TCP en el puerto NFS desde todos los servidores en los que desee montar el recurso compartido.
Cifrado en tránsito	Desactivado por defecto, haga clic en el conmutador para activarlo. Para obtener más información sobre esta característica, consulte Cifrado en tránsito-Protección de conexiones de montaje entre la compartición de archivos y el host.

Si ha seleccionado VPC como modalidad de acceso, proporcione un nombre para el destino de montaje y seleccione la VPC en la que se utilizará la compartición de archivos.

Actualice los campos de la sección Cifrado en reposo.
1. Seleccione el tipo de cifrado. Por defecto, todos los archivos compartidos se cifran mediante claves IBM. También puede optar por crear un cifrado de ensobrado para sus comparticiones con sus propias claves. Si desea utilizar sus propias teclas, seleccione una de las opciones " servicios de gestión de llaves: " Key Protect o " Hyper Protect Crypto Services.
2. Especifique la clave localizándola por la instancia o por su CRN.
  - Si ha elegido la localización por instancia, seleccione una instancia en el menú Instancia del servicio de cifrado. A continuación, seleccione el nombre de la clave en la lista.
  - Si ha elegido la localización por CRN, introduzca el valor del CRN. Utilice esta opción cuando desee utilizar un CRN de una clave de otra cuenta, ya que no puede ver esa clave en el selector de instancias.
Cuando se especifique toda la información necesaria, pulse Crear compartición de archivos. Vuelve a la página File Storage for VPC, donde un mensaje indica que la compartición de archivos se está suministrando. Cuando se completa la transacción, el estado de compartición cambia a Activo.

Si creó su instancia Key Protect o Hyper Protect Crypto Services utilizando un endpoint privado, las claves raíz que se crearon utilizando esa instancia no se muestran en la consola. Debe utilizar la CLI o la API para acceder a esas claves raíz y utilizarlas.

Creación de comparticiones de archivos con cifrado gestionado por el cliente desde la CLI

Para poder utilizar la CLI, debe instalar la CLI de IBM Cloud y el plugin de la CLI de VPC. Para obtener más información, consulte los Requisitos previos de la CLI.

Recopile la información que necesita para suministrar una compartición, como un nombre exclusivo, una ubicación, la capacidad y las características de rendimiento que debe tener la compartición de archivos. Si está creando un destino de montaje con una interfaz de red virtual, utilice los mandatos de CLI adecuados para listar las subredes disponibles, las direcciones IP reservadas en una subred y los grupos de seguridad. Para obtener más información, consulte Recopilación de información desde la CLI.

Para el cifrado, recupere el ID del servicio de gestión de claves y el CRN de la clave raíz en ese servicio.

Liste las instancias de KMS disponibles con el mandato ibmcloud resource service-instances.

$ ibmcloud resource service-instances
Retrieving instances with type service_instance in all resource groups in all locations under account Test Account as test.user@ibm.com...
OK
Name             Location   State    Type               Resource Group ID
KeyProtect-ki    us-south   active   service_instance   db8e8d865a83e0aae03f25a492c5b39e
schematics       us-south   active   service_instance   db8e8d865a83e0aae03f25a492c5b39e

Utilice el mandato ibmcloud resource service-instance para obtener el ID de instancia. El ID es la última serie del CRN después del número de cuenta.

$ ibmcloud resource service-instance KeyProtect-ki -location us-south --id
Retrieving service instance KeyProtect-ki in all resource groups under account Test Account as test.user@ibm.com...
crn:v1:bluemix:public:kms:us-south:a/a1234567:: 22e573bd-c02c-4d7f-81e2-2aa867da176d

Utilice el ID del mandato ibmcloud kp keys para recuperar la información de clave.

$ ibmcloud kp keys -c --instance-id 22e573bd-c02c-4d7f-81e2-2aa867da176d
Targeting endpoint: https://qa.us-south.kms.test.cloud.ibm.com
Retrieving keys...
OK
Key ID                                 Key Name      CRN   
2fb8d675-bde3-4780-b127-3d0b413631c1   my-file-key   crn:v1:bluemix:public:kms:us-south:a/a1234567:22e573bd-c02c-4d7f-81e2-2aa867da176d:key:2fb8d675-bde3-4780-b127-3d0b413631c1

Si tiene previsto utilizar la clave de cifrado de otra cuenta, deberá realizar los pasos anteriores en la otra cuenta. No puedes listar los recursos de otra cuenta aunque estés autorizado a utilizarlos.

Especifique el mandato ibmcloud is share-create con la opción --encryption-key para crear una compartición de archivos con cifrado gestionado por el cliente. La opción encryption_key debe ir seguida de un CRN válido para la clave raíz en el servicio de gestión de claves. Si también desea habilitar el cifrado en tránsito, especifíquelo en el JSON de destino de montaje. Los grupos de seguridad que asocie a un destino de montaje deben permitir el acceso entrante para el protocolo TCP en el puerto NFS desde todos los servidores en los que desee montar el recurso compartido.

El ejemplo siguiente crea una compartición de archivos con cifrado gestionado por el cliente, modalidad de acceso de grupo de seguridad y un destino de montaje con una interfaz de red virtual. El cifrado en tránsito no está habilitado.

$ ibmcloud is share-create --name my-encrypted-file-share --zone us-south-2 --profile dp2 --size 500 --iops 2000  --user-tags env:dev --encryption_key crn:v1:bluemix:public:kms:us-south:a/a1234567:key:2fb8d675-bde3-4780-b127-3d0b413631c1 --mount-targets '[{"name":"my-new-mount-target","virtual_network_interface": {"name":"my-vni-2","subnet": {"id":"r006-298acd6c-e71e-4204-a04f-fe4a4dd89805"},"security_groups":[{"id":"r006-7f369ca2-ca49-4053-b007-5cab79b9873b"}]}}]'
Creating file share my-encrypted-file-share under account Test Account as user test.user@ibm.com...

ID                           r006-d44298fe-aced-4f55-a690-8a3830e9fd90   
Name                         my-encrypted-file-share   
CRN                          crn:v1:bluemix:public:is:us-south-2:a/a1234567::share:r006-d44298fe-aced-4f55-a690-8a3830e9fd90   
Lifecycle state              pending   
Access control mode          security_group  
Accessor binding role        none  
Zone                         us-south-2   
Profile                      dp2   
Size(GB)                     500   
IOPS                         2000   
User Tags                    env:dev   
Encryption                   user_managed   
Mount Targets                ID                                          Name      
                            r006-00432317-436e-4940-ab7d-8b26c186b00f   my-new-mount-target      

Resource group               ID                                 Name      
                            db8e8d865a83e0aae03f25a492c5b39e   Default      

Created                      2023-10-19T21:16:27+00:00   
Encryption key               crn:v1:bluemix:public:kms:us-south:a/a1234567:key:2fb8d675-bde3-4780-b127-3d0b413631c1   
Replication role             none   
Replication status           none   
Replication status reasons   Status code   Status message      
                            -             -      
Snapshot count               10
Snapshot size                10
Source snapshot              -

$ ibmcloud is share-mount-targets my-encrypted-file-share
Listing share mount target of my-encrypted-file-share in all resource groups and region us-south under account Test Account as user test.user@ibm.com...
ID                                          Name                  VPC      Lifecycle state   Transit Encryption   
r006-00432317-436e-4940-ab7d-8b26c186b00f   my-new-mount-target   my-vpc   stable            none

$ ibmcloud is share-create --name my-encrypted-eit-file-share --zone us-south-2 --profile dp2 --size 500 --iops 2000  --user-tags env:dev --encryption_key crn:v1:bluemix:public::kms:us-south:a/a1234567:key:2fb8d675-bde3-4780-b127-3d0b413631c1 --mount-targets '[{"name":"my-new-mount-target","transit_encryption": "user_managed","virtual_network_interface": {"name":"my-vni-3","subnet": {"id":"r006-298acd6c-e71e-4204-a04f-fe4a4dd89805"},"security_groups":[{"id":"r006-7f369ca2-ca49-4053-b007-5cab79b9873b"}]}}]'
Creating file share my-encrypted-eit-file-share under account Test Account as user test.user@ibm.com...

ID                           r006-f6bf049e-f46c-4160-b548-4a36d27256ac   
Name                         my-encrypted-eit-file-share   
CRN                          crn:v1:bluemix:public::is:us-south-2:a/a1234567::share:r006-f6bf049e-f46c-4160-b548-4a36d27256ac   
Lifecycle state              pending   
Access control mode          security_group   
Accessor binding role        none
Zone                         us-south-2   
Profile                      dp2   
Size(GB)                     500   
IOPS                         2000   
User Tags                    env:dev   
Encryption                   user_managed   
Mount Targets                ID                                          Name      
                             r006-e6bd52b8-c656-4ba6-8749-1bb41bfa2c3c   my-new-mount-target      

Resource group               ID                                 Name      
                             db8e8d865a83e0aae03f25a492c5b39e   Default      

Created                      2023-10-20T03:05:38+00:00   
Encryption key               crn:v1:bluemix:public:kms:us-south:a/a1234567-c02c-4d7f-81e2-2aa867da176d:key:2fb8d675-bde3-4780-b127-3d0b413631c1   
Replication role             none   
Replication status           none   
Replication status reasons   Status code   Status message      
                             -             -      

Snapshot count               0
Snapshot size                0       
Source snapshot              -

$ ibmcloud is share-mount-targets my-encrypted-eit-file-share
Listing share mount target of my-encrypted-eit-file-share in all resource groups and region us-south under account Test Account as user test.user@ibm.com...
ID                                          Name                  VPC      Lifecycle state   Transit Encryption   
r006-e6bd52b8-c656-4ba6-8749-1bb41bfa2c3c   my-new-mount-target   my-vpc   stable            user_managed

Para obtener más información sobre las opciones de mandato, consulte ibmcloud is share-create.

Creación de comparticiones de archivos con cifrado gestionado por el cliente con la API

Puede crear comparticiones de archivos con cifrado gestionado por el cliente invocando el API de Virtual Private Cloud (VPC).

Realice una solicitud POST /shares y especifique el parámetro encryption_key para identificar la clave raíz de cliente (CRK). Se muestra en el ejemplo como crn:[...key:...].

Debe proporcionar el parámetro generation y especificar generation=2. Para obtener más información, consulte Generación en la Referencia de API de Virtual Private Cloud.

El siguiente ejemplo crea un recurso compartido de archivos zonal con un destino de montaje y especifica el CRN de la clave raíz para el cifrado gestionado por el cliente.

curl -X POST \
"$vpc_api_endpoint/v1/shares?version=2024-11-05&generation=2" -H "Authorization: $iam_token" \
-d '{
     "name": "my-encrypted-share",
     "mount_targets": [
         {
           "name": "docs-mount-1",
           "virtual_network_interface": {
             "name": "my-virtual-network-interface-1",
             "allow_ip_spoofing": false,
             "auto_delete": true,
             "enable_infrastructure_nat": true,
             "primary_ip": {"auto_delete": true},
             "subnet": {"id": "0727-267015ac-7b12-4f62-bda9-52fcb9483fc4"},
             "ips": [],
             "security_groups": [{"id": "r006-bf9475c2-6846-4c39-b392-587643b2e2f8"}],
             "protocol_state_filtering_mode": "auto"
          },
          "transit_encryption": "none"
         }
       ],
     "profile": {"name": "dp2"},
     "size": 100,
     "zone": {"name": "us-south-2"},
     "iops": 3000,
     "allowed_transit_encryption_modes": ["none","user_managed"],
     "encryption_key": {"crn": "crn:v1:bluemix:public:kms:us-south:a/a1234567-c02c-4d7f-81e2-2aa867da176d:key:2fb8d675-bde3-4780-b127-3d0b413631c1"},
     "resource_group": {"id": "db00a952a88945a987b7be1980fdae8e"},
     "access_control_mode": "security_group"
   }'

También puede especificar el CRN de una clave raíz de una cuenta diferente en la llamada POST /shares. Si quieres hacerlo, ponte en contacto con el administrador de la otra cuenta para asegurarte de que existen las autorizaciones de servicio a servicio y para obtener el CRN de la clave de cifrado.

Creación de recursos compartidos de archivos con cifrado gestionado por el cliente con Terraform

Para crear una compartición de archivos, utilice el recurso ibm_is_share. El siguiente ejemplo crea un recurso compartido de archivos zonal con una capacidad de 800 GiB y el perfil de rendimiento dp2. La compartición de archivos se cifra utilizando una clave identificada por su CRN. El ejemplo también especifica un nuevo destino de montaje con una interfaz de red virtual.

resource "ibm_is_share" "share4" {
   zone           = "us-south-2"
   size           = "800"
   name           = "my-share4"
   profile        = "dp2"
   encryption_key = "crn:v1:bluemix:public:kms:us-south:a/a1234567:key:2fb8d675-bde3-4780-b127-3d0b413631c1"
   access_control_mode = "security_group"
   mount_target {
       name = "target"
       virtual_network_interface {
       primary_ip {
               address = 10.240.64.5
               auto_delete = true
               name = "<reserved_ip_name>
       }
      resource_group = <resource_group_id>
      security_groups = [<security_group_ids>]
      }
   }
}

Para obtener más información sobre los argumentos y atributos, consulte ibm_is_share.

Próximos pasos

Utilice el programa de utilidad IBM Cloud File Share Mount Helper para montar la compartición de archivos cifrada en una instancia de Compute autorizada.
Gestione las claves raíz que protegen la compartición de archivos rotando, inhabilitando o suprimiendo claves.
Considere la posibilidad de configurar la réplica para la compartición. Para obtener más información, consulte Acerca de la réplica de comparticiones de archivos.
Obtenga información sobre Compartir y montar una compartición de archivos desde otra cuenta.