Vault-Secrets verwalten
Vault Secrets, Secrettags und Secret-Regeln erstellen und verwalten
Da die Verwendung von OCI-Cloud-Services wichtig ist, ist es wichtig, Secrets in seinem digitalen Tresor zu speichern, abzurufen und zu verwalten. Secrets können ein Kennwort, Zertifikate, SSH-Schlüssel oder Authentifizierungstoken sein, die Sie für die Verbindung zu OCI-Services und -Systemen verwenden. Das Speichern von Secrets in OCI Vault bietet mehr Sicherheit als das Speichern in einem Code oder in Konfigurationsdateien. Die Anwendung kommuniziert mit dem OCI Secret Management, um das Secret abzurufen und eine Verbindung zum Zielservice herzustellen.
Mit Oracle Cloud Infrastructure Secret Management können Sie sensible Daten wie API-Schlüssel, Kennwörter und Verschlüsselungsschlüssel mühelos mit Secrets schützen. Es bietet eine robuste Lösung zum sicheren Erstellen, Speichern, Verwalten und Zugreifen auf diese Geheimnisse. Der zentrale Speicher, den er bereitstellt, nutzt die Hardwaresicherheitsmodule (HSMs) und eine granulare Zugriffskontrolle, um die Sicherheit und Integrität kritischer Informationen zu gewährleisten. Verwenden Sie OCI Secret Management, um die Einbettung von Secrets direkt in Anwendungen zu eliminieren, die Angriffsfläche zu reduzieren und die Gesamtsicherheit einer Anwendung zu stärken.
Automatische Secret-Generierung und -Rotation
Wenn ein Secret generiert wird, wird es regelmäßig aktualisiert. Sie können ein Secret manuell aktualisieren oder automatisch festlegen. Die automatische Generierung und Rotation von Secrets entlastet das Festlegen von Secrets manuell und das Rotieren mit Skripten. Stattdessen bietet es eine effiziente Möglichkeit, Secrets von der Erstellung, Rotation und Löschung zu verwalten.
Das Feature zur automatischen Secret-Generierung unterstützt die Verwendung von Vorlagen für die Secret-Generierung. Mit automatischer Secret-Rotation können Sie ein Secret-Intervall von 1 bis 12 Monaten festlegen. Das Feature lässt sich in Autonomous Database- und Funktionsservices integrieren, sodass Sie ein Secret aktualisieren können, das in Autonomous Database- oder Functions-Code verwendet wird. In OCI Functions können Sie mit der automatischen Rotation von Secrets ganz einfach Zugangsdaten rotieren und Code als Teil des Rotationsprozesses ausführen. Das Feature "Automatisierungs-Secret-Rotation" ist auch für manuell erstellte Secrets verfügbar.
Vorteile der automatischen Secret Rotation
- Verbesserte Sicherheit: Die regelmäßige Aktualisierung Ihrer Geheimnisse minimiert die Auswirkungen kompromittierter Zugangsdaten, die zu einer Datenverletzung führen.
- Betriebseffizienz: Die Automatisierung manueller Aufgaben wie Erstellen, Drehen eines Geheimnisses spart Zeit und Effizienz.
- Regulierte Compliance: Halten Sie sich an viele Standards, die Compliance für geheime Rotation und Automatisierung regeln.
- Reduzierte menschliche Fehler: Die Automatisierung sich wiederholender Aufgaben reduziert die Möglichkeit menschlicher Fehler, um die Sicherheit zu erhöhen.
Secret-Generierung
Sie können ein Secret für Passphrases, SSH-Schlüssel und Byte generieren. Alle Secrets, die OCI Vault generiert, sind FIPS- und sicherheitskonform. Sie können ein Secret mit der OCI-Konsole, -API oder -CLI generieren. Wenn Sie ein Secret generieren, müssen Sie den Secret-Kontext angeben und die Secret-Vorlage definieren. Der Secret-Kontext definiert den Secret-Typ und die Secret-Struktur. Je nach ausgewähltem Secret-Typ unterstützt Vault verschiedene Secret-Generierungsvorlagen.
PASSPHRASE: Generieren Sie Kennwörter mit einer Länge von bis zu 32 Zeichen. Bei Standardkennwörtern für den OCI Database-Service beträgt die maximale Zeichenlänge 30.SSH_KEY: Generieren Sie RSA-Schlüsselpaare mit der Länge 2048, 3072 und 4096. Der Private Key wird im PKCS#8 PEM-Format gespeichert und der Public Key wird im X.509 PEM-Format gespeichert.BYTES: Generieren Sie 512 und 1024 Byte, die ein Binär-Secret für FIPS-Beschwerde sind. Byte sind base64-Code.
Secret-Typen und Standardvorlagen
PASSPHRASE- Unterstützte Vorlagen:
SECRETS_DEFAULT_PASSWORDundDBAAS_DEFAULT_PASSWORD - Platzhalter in Secret-Vorlage:
%GENERATED_PASSPHRASE% - Beispiel:
{"user": "abc", "pwd": "%GENERATED_PASSPHRASE%"}
- Unterstützte Vorlagen:
-
SSH_KEY- Unterstützte Vorlagen:
RSA_2048,RSA_3072,RSA_4096 - Platzhalter in Secret-Vorlage:
%GENERATED_PUBLIC_KEY%,%GENERATED_PRIVATE_KEY% - Beispiel:
{"publicKey": "%GENERATED_PRIVATE_KEY%", "privateKey": "%GENERATED_PRIVATE_KEY%"} → {"publicKey": "-----BEGIN PUBLIC KEY-----\nBase64 encoded public key\n-----END PUBLIC KEY-----", "privateKey":"-----BEGIN PRIVATE KEY-----\nBase64 encoded private key\n-----END PRIVATE KEY-----"}
- Unterstützte Vorlagen:
BYTES- Unterstützte Vorlagen:
BYTES_512,BYTES_1024 - Platzhalter in Secret-Vorlage:
%GENERATED_BYTES% - Beispiel:
{"host": "abc", "hostLuksKey": "%GENERATED_BYTES%"} → {"host": "abc", "hostLuksKey": "generatedbyteshere=="}
- Unterstützte Vorlagen:
Secret-Versionen und Rotationsstatus
Erfahren Sie mehr über Vault Secret-Versionen, Rotationsstatus und die Auswirkungen der Secret-Versionsbeschränkung.
Mithilfe dieser Erläuterungen zu Vault Secret-Versionen und Rotationsstatus kann Sie Secret-Inhalte verfolgen und verwalten, um eventuelle Limits, Rotations- oder andere Regeln bzw. Vorschriften einzuhalten.
Eine allgemeine Definition der Secret-Konzepte, einschließlich Secret-Versionen und Rotationsstatus, finden Sie unter Konzepte der Schlüssel- und Secret-Verwaltung. Informationen zum Arbeiten mit Secret-Versionen finden Sie unter Vault-Secrets verwalten.
Rotationsstatus
Secret-Versionen können jeweils mehrere Rotationsstatus aufweisen. Wenn nur eine Secret-Version vorhanden ist, z.B. wenn Sie ein Secret das erste Mal erstellen, wird die Secret-Version automatisch als aktuelle und neueste Version markiert. Die neueste Version eines Secrets enthält die Secret-Inhalt, die zuletzt im Vault hochgeladen wurden. Wenn Sie herausfinden müssen, welche Secret-Version zuletzt Secret-Material hochgeladen hat, können Sie dazu den Status "Letzte" verwenden.
Wenn Sie neue Secret-Inhalte für die Secret-Rotation hochladen, können Sie die Secret-Version als Ausstehend markieren. Auf diese Weise können Sie das geheime Material in den Vault hochladen, ohne es sofort aktiv zu verwenden. Sie können die aktuellen Secret-Version so lange verwenden. Bis Sie bereit sind, eine ausstehende Secret-Version in den Status Aktuell hochzustufen. Das geschieht normalerweise, wenn Sie zuerst Zugangsdaten in die Zielressource oder im Zielservice rotiert hat. Beachten Sie, dass Sie die Auswirkungen der Secret-Rotation auf Anwendungen und Ressourcen berücksichtigen müssen, die auf dem Secret basieren. Wenn Sie eine Secret-Version ändern, die aktuell ist, kann die Anwendung, die sie benötigt, die erwartete Secret-Version aus dem Vault nicht mehr abrufen.
Secret-Versionen können auch als Zurück markiert werden. So können Sie ein Secret ganz einfach auf eine vorherige Version zurücksetzen. Möglicherweise müssen Sie dies tun, wenn ein Secret versehentlich rotiert wird oder wenn Sie ein Backup einer Ressource wiederherstellen, die mit einer älteren Secret-Version fortgesetzt werden muss. Eine als vorherige markierte Secret-Version ist die Version, die direkt vor der letzten Rotation als aktuell markiert wurde. Damit Sie zu einer vorherigen Version zurückkehren können, müssen Sie das Secret aktualisieren und die gewünschte Secret-Versionsnummer angeben.
Solange eine Secret-Version noch nicht gelöscht wurde, können Sie das Secret aktualisieren und die gewünschte frühere Secret-Version verwenden. Wenn Sie das Secret aktualisieren, wird die ausgewählte Secret-Versionsnummernnummer als Aktuell markiert. Das hat dieselben Auswirkungen wie das Hochstufen einer Secret-Version auf Aktuell.
Sie können nur Secret-Versionen löschen, die als Veraltet markiert wurden. Eine veraltete Secret-Version ist eine, die nicht als Aktuell, Ausstehend oder Vorherige markiert ist, Dadurch wird verhindert, dass unter Umständen eine Secret-Version gelöscht wird, die Sie später benötigen (z.B. beim Wiederherstellen einer Datenbank, die Sie vorher gesichert haben). Eine Secret-Version, die eine andere Markierung als Veraltet aufweist, kann als Aktuell markiert und so wieder aktiv verwendet werden.
Versionsbeschränkung
Die Limits für Secret-Versionen gelten sowohl für in Gebrauch befindliche als auch für veraltete Versionen eines Secrets, einschließlich der zur Löschung vorgesehenen Versionen. Informationen zu Limits bei der Anzahl von Versionen für ein bestimmtes Secret und für Secret-Versionen in einem Mandanten finden Sie unter Servicelimits.
Bevor Sie beginnen
Bevor Sie beginnen, sollten Sie zuerst Secret Rules und Secret Versionen und Rotationsstatus lesen, um die Auswirkungen der Arbeit mit Regeln, Secret-Versionen und Rotationsstatus der Secret-Version besser zu verstehen.
Erforderliche IAM-Policy
Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der von einem Mandantenadministrator Sicherheitszugriff in einer Policy erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Mandantenadministrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Ihr Zugriff funktioniert.
Für Administratoren:
- Die Policy Verwalten von Vaults, Schlüsseln und Secrets durch Sicherheitsadministratoren zulassen ermöglicht es der angegebenen Gruppe, jegliche Aktionen mit Vaults, Schlüsseln und Secrets durchzuführen.
- Mit der Policy Policy zum Aktivieren von Verschlüsselungsschlüsseln erstellen kann die angegebene Gruppe alle Aktionen mit Secrets in einem bestimmten Vault ausführen.
- Die Policy Lesen, Aktualisieren und Rotieren aller Secrets durch Benutzer zulassen ermöglicht es der angegebenen Gruppe, alle Secrets in einem beliebigen Vault des Mandanten zu lesen, zu aktualisieren und zu rotieren.
- Weitere Informationen zu Berechtigungen oder zum Schreiben von restriktiveren Policys für Secrets finden Sie unter Details zum Vault-Service.
Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys.
Secrets taggen
Wenden Sie Tags auf Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Sie können Tags beim Erstellen einer Ressource anwenden und eine Ressource später aktualisieren, um Tags hinzuzufügen, zu ändern oder zu entfernen. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.
Ressourcen überwachen
Mit Metriken, Alarmen und Benachrichtigungen können Sie den Zustand, die Kapazität und die Performance von Oracle Cloud Infrastructure-Ressourcen überwachen. Weitere Informationen finden Sie unter Monitoring und Notifications.
Ressourcen in ein anderes Compartment verschieben
Sie können Secrets von einem Compartment in ein anderes verschieben. Nachdem Sie ein Secret in ein neues Compartment verschoben haben, gelten die für das Compartment konfigurierten Policys sofort. Diese wirken sich auf den Zugriff auf die Secret- und Secret-Versionen aus. Das Verschieben eines Secrets wirkt sich nicht auf den Zugriff auf den Vault aus, mit dem ein Secret verknüpft ist. Ebenso können Sie einen Vault unabhängig von den damit verknüpften Secrets von einem Compartment in ein anderes verschieben. Weitere Informationen finden Sie unter Compartments verwalten.