機械翻訳について

「GCPシークレット・マネージャ」でのVaultシークレット資格証明の使用

資格証明シークレット(パスワード)がシークレットとして「GCPシークレット・マネージャ」に格納されるボールト・シークレット資格証明の使用について説明します。

ボールト・シークレット資格証明を使用してクラウド・リソースにアクセスしたり、データベース・リンクを使用して他のデータベースにアクセスしたり、ユーザー名/パスワード・タイプの資格証明が必要な任意の場所で使用できます。

• GCPシークレット・マネージャを使用してVaultシークレット資格証明を作成するための前提条件
  ボールト・シークレット資格証明を「GCPシークレット・マネージャ」で使用するために必要な前提条件について説明します。
• GCPシークレット・マネージャを使用したVaultシークレット資格証明の作成
  「GCPシークレット・マネージャ」シークレットを使用して、クラウド・リソースへのアクセスに使用する資格証明で使用するシークレットを格納するステップについて説明します。

「GCPシークレット・マネージャ」を使用してVaultシークレット資格証明を作成する前提条件

ボールト・シークレット資格証明を「GCPシークレット・マネージャ」で使用するために必要な前提条件について説明します。

シークレットが「GCPシークレット・マネージャ」に格納されるボールト・シークレット資格証明を作成するには、最初に必要な前提条件を実行します。

1. 「GCPシークレット・マネージャ」にシークレットを作成します。

   詳細については、「秘密マネージャ」と「シークレット・マネージャを使用したシークレットの作成およびアクセス」を参照してください。

2. Googleサービス・アカウント認証を有効にして、「GCPシークレット・マネージャ」へのアクセスを提供します。

   Google Cloudコンソールで、シークレットへの読取りアクセス権をプリンシパル認証資格証明に付与する必要があります。

   1. Google Cloudコンソールの「秘密マネージャ」ページに移動します。
   2. 「秘密マネージャ」ページで、シークレットの名前の横にあるチェック・ボックスを選択します。
   3. まだ開いていない場合は、「情報パネルの表示」をクリックしてパネルを開きます。
   4. 情報パネルで、「プリンシパルの追加」をクリックします。
   5. 「新しいプリンシパル」テキスト領域で、追加するサービス・アカウント名を入力します。
   6. 「ロールの選択」ドロップダウンで、「秘密マネージャ」、「シークレット・マネージャのシークレット・アクセサ」の順に選択します。

   詳細については、「Googleサービス・アカウントの有効化とGCPサービス・アカウント名の検索」と「シークレットへのアクセスの管理」を参照してください。

「GCPシークレット・マネージャ」を使用したVaultシークレット資格証明の作成

「GCPシークレット・マネージャ」シークレットを使用して、クラウド・リソースへのアクセスに使用する資格証明で使用するシークレットを格納するステップについて説明します。

これにより、シークレットを「GCPシークレット・マネージャ」に格納し、作成した資格証明とともにシークレットを使用してクラウド・リソースにアクセスしたり、他のデータベースにアクセスできます。

シークレットがGCPシークレット・マネージャに格納されるボールト・シークレット資格証明を作成するには:

1. Autonomous Databaseプリンシパルが「GCPシークレット・マネージャ」のシークレットにアクセスできるように、シークレット・マネージャ・シークレット・アクセッサを作成します。
   詳細については、「GCPシークレット・マネージャを使用してVaultシークレット資格証明を作成するための前提条件」を参照してください。
2. Googleサービス・アカウント・ベースの認証を有効にして、「GCPシークレット・マネージャ」のシークレットへのアクセスを提供します。

   詳細については、「Googleサービス・アカウントの有効化とGCPサービス・アカウント名の検索」を参照してください。

3. DBMS_CLOUD.CREATE_CREDENTIALを使用して、ボールト・シークレット資格証明を作成し、「GCPシークレット・マネージャ」シークレットにアクセスします。

   たとえば:

   BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
       credential_name      => 'GCP_SECRET_CRED',
       params               => JSON_OBJECT( 
             'username'   value 'gcp_user1',
             'secret_id'  value 'my-secret',
             'gcp_project_id' value 'my-sample-project-191923' ));
   END;
   /

   説明:

   • username: 元の資格証明のユーザー名です。 任意のタイプのユーザー名/パスワード資格証明のユーザー名にできます。

   • secret_id: 秘密の名前。 パスワードmysecretをボールトに格納する場合は、シークレット名をsecret_idパラメータの値として使用します。

   • gcp_project_id: シークレットが存在するプロジェクトのIDです。

   詳細については、「CREATE_CREDENTIALプロシージャ」を参照してください。

4. 資格証明を使用してクラウド・リソースにアクセスします。

   たとえば:

   SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
              'GCP_SECRET_CRED',
              'https://bucketname.storage.googleapis.com/' );

ノート:

12時間ごとに、シークレット(パスワード)は「GCPシークレット・マネージャ」のコンテンツからリフレッシュされます。 「GCPシークレット・マネージャ」のシークレット値を変更すると、Autonomous Databaseインスタンスが最新のシークレット値を取得するのに最大12時間かかる場合があります。

DBMS_CLOUD.REFRESH_VAULT_CREDENTIALを実行して、ボールト・シークレット資格証明をすぐにリフレッシュします。 このプロシージャは、ボールト・シークレットの最新バージョンを「GCPシークレット・マネージャ」から取得します。 詳細については、「REFRESH_VAULT_CREDENTIALプロシージャ」を参照してください。