Oracle Cloud Infrastructure - Dokumentation

Secret erstellen

Erfahren Sie, wie Sie ein Secret in einem OCI-Vault erstellen. Secrets sind Zugangsdaten wie Kennwörter, Zertifikate, SSH-Schlüssel oder Authentifizierungstoken, die Sie mit OCI-Services verwenden.

    1. Wählen Sie auf der Listenseite Secrets die Option Secret erstellen aus. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter Secrets auflisten.
    2. Wählen Sie das Compartment aus, in dem Sie das Secret erstellen möchten.
    3. Geben Sie einen Namen ein, um das Secret zu kennzeichnen. Geben Sie keine vertraulichen Informationen ein.
    4. Optional können Sie eine Beschreibung eingeben, um das Secret zu identifizieren.

    5. Wählen sie den Master-Verschlüsselungsschlüssel aus, den Sie zum Verschlüsseln der Secret-Inhalte verwenden möchten, während sie in den Vault importiert werden. Wenn sich der Schlüssel in einem anderen Compartment befindet, geben Sie das Compartment des Verschlüsselungsschlüssels mit dem Selektor Verschlüsselungsschlüssel-Compartment an. Beachten Sie Folgendes:

      • Der Schlüssel muss sich im selben Vault wie das Secret befinden
      • Sie müssen einen symmetrischen Schlüssel auswählen, um das Secret zu erstellen. Asymmetrische Schlüssel werden für die Secret-Erstellung nicht unterstützt.
    6. Wählen Sie eine der folgenden Methoden aus, um ein Secret zu generieren:
      • Automatische Secret-Generierung: Generiert das Secret automatisch. Wenn diese Option aktiviert ist, müssen Sie den Secret-Content nicht angeben. Beim Erstellen einer neuen Secret-Version wird sie basierend auf dem Secret-Generierungstyp und der Generierungsvorlage automatisch generiert.
      • Manuelle Secret-Generierung: Damit können Sie den Secret-Inhalt manuell angeben.
    7. Wenn Sie Automatische Secret-Generierung ausgewählt haben, wählen Sie den Generierungstyp aus.
      • Wenn Sie Passphrase ausgewählt haben, wählen Sie den entsprechenden Generierungskontext aus, und geben Sie optional die Passphrasenlänge und das Secret-Format an.
      • Wenn Sie SSH-Schlüssel ausgewählt haben, wählen Sie den entsprechenden Generierungskontext aus, und geben Sie optional das Secret-Format an.
      • Wenn Sie Byte ausgewählt haben, wählen Sie den entsprechenden Generierungskontext aus, und geben Sie optional das Secret-Format an.
    8. Wenn Sie Manuelle Secret-Generierung ausgewählt haben, geben Sie Folgendes an:
      • Geben Sie in der Secret-Typvorlage das Format der angegebenen Secret-Inhalte an, indem Sie eine Vorlage auswählen. Sie können Secret-Content in Nur-Text angeben, wenn Sie mit der Konsole ein Vault Secret oder eine Vault Secret-Version erstellen. Secret-Content muss jedoch base64-codiert sein, bevor er an den Service gesendet wird. Die Konsole codiert automatisch Secret-Inhalte für Sie, die im Klartext angegeben sind.
      • Geben Sie unter Secret-Inhalte die Inhalte des Secrets ein. (Die maximal zulässige Größe eines Secret-Bundles beträgt 25 KB.)

    9. Optional können Sie die regionale Replikation mit dem Umschalter für dieses Feature aktivieren. Sie können das Secret in bis zu 3 Zielregionen replizieren. Geben Sie nach dem Verschieben des Umschalters die folgenden Informationen an:

      • Zielregion: Wählen Sie die Region aus, die den Ziel-Vault für das replizierte Secret enthält.
      • Ziel-Vault: Wählen Sie den Ziel-Vault für das replizierte Secret aus.
      • Schlüssel: Wählen Sie den Verschlüsselungsschlüssel aus, mit dem Sie den Secret-Inhalt im Ziel-Vault verschlüsseln möchten.

      Um das Secret in weiteren Vaults zu replizieren, wählen Sie Element hinzufügen aus, und geben Sie die Regions-, Vault- und Schlüsseldetails für den Ziel-Vault an.

    10. Geben Sie im Abschnitt Secret-Rotation die folgenden Details an:
      1. Zielsystemtyp: Wählen Sie als Zielsystemtyp "Autonomous Database" oder "Funktion" aus, und geben Sie die entsprechende Zielsystem-ID an.
      2. Zielsystem-ID: Die System-ID wird automatisch für den ausgewählten Zielsystemtyp aufgefüllt.
      3. Automatische Rotation aktivieren: Aktivieren Sie das Kontrollkästchen, um die automatische Rotation zu aktivieren.
        Hinweis

        Wenn Sie den Zielsystemtyp und die Zielsystem-ID nicht angeben, ist das Kontrollkästchen nicht für die automatische Rotation aktiviert.
      4. Rotationsintervall: Wählen Sie optional das Rotationsintervall aus, um das Secret regelmäßig zu aktualisieren.
    11. Um eine Regel zum Verwalten der Verwendung von Vault Secrets anzuwenden, wählen Sie Erweiterte Optionen und dann Weitere Regel aus. Geben Sie die folgenden Informationen auf der Registerkarte Regeln an. Sie können entweder eine Regel zur Wiederverwendung von Secret-Inhalten in den verschiedenen Versionen eines Secrets erstellen oder mit einer Regel angeben, wann die Secret-Inhalte ablaufen. Weitere Informationen zu Regeln finden Sie unter Secret-Regeln.
      • Regeltyp: Wählen Sie Secret-Wiederverwendungsregel oder eine Secret-Ablaufregel aus. Sie können jedoch nur jeweils einen der beiden Regeltypen verwenden. Wenn Sie bereits eine Regel verwenden, aber noch eine weitere hinzufügen möchten, wählen Sie Weitere Regel.

      • Konfiguration:

        • Für Wiederverwendungsregel: Wählen Sie diese Option aus, um die Wiederverwendungsregel so durchzusetzen, dass sie selbst auf gelöschte Secrets-Versionen angewendet wird, oder um die Wiederverwendung von Secret-Inhalten von gelöschten Secrets-Versionen zuzulassen.
        • Für Ablaufregel: Legen Sie fest, wie häufig Secret-Inhalte ablaufen sollen und was geschehen soll, wenn das Secret oder die Secret-Version abläuft. Das Ablaufen einzelner Secret-Versionen wird durch einen Zeitraum von 1 bis 90 Tagen dargestellt, den Sie mit den Pfeilschaltflächen oder durch Eingabe einer Zahl festlegen können. Das Ablaufen des Secrets selbst wird mit einer absoluten Uhrzeit und einem absoluten Datum zwischen 1 und 365 Tagen ab der aktuellen Uhrzeit und dem aktuellen Datum dargestellt. Geben Sie dieses Datum mit der Datumsauswahl an. Sie können Ablaufwerte für die Secret-Version und das Secret entweder für eine oder beide konfigurieren. Beachten Sie, dass das Ablaufintervall der Secret-Version gelöscht werden kann. Sie müssen jedoch die gesamte Ablaufregel löschen und Sie von vorn beginnen, um eine absolute Zeit für das Ablaufen des Secrets festzulegen.
    12. Um Tags auf das Secret anzuwenden, wählen Sie optional Tags und dann Tag hinzufügen aus. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn du nicht sicher bist, ob du Tags anwenden solltest, überspringen sie diese Option, oder fragen Sie den Administrator. Sie können die Tags auch später anwenden.
    13. Wählen Sie Secret erstellen aus.

  • Mit dem Befehl oci vault secret create-base64 können Sie ein Secret in einem Vault erstellen.

    Hinweis

    Sie müssen einen symmetrischen Schlüssel angeben, um das Secret beim Import in den Vault zu verschlüsseln. Sie können Secrets nicht mit asymmetrischen Schlüsseln verschlüsseln. Außerdem muss der Schlüssel in dem von Ihnen angegebenen Vault vorhanden sein.
    oci vault secret create-base64 --compartment-id <target_compartment_id> --secret-name <secret_name> --vault-id <target_vault_id> --description <secret_description_text> --key-id <encryption_key_id> --secret-content-content <base64_encoded_secret_content> --secret-content-name <unique_content_name> --secret-content-stage <secret_version_rotation_state> [OPTIONS]

    Beispiel:

    
oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --secret-content-content bXlwYXNzd29yZA== --secret-content-name testpassword1 --secret-content-stage CURRENT

    Geben Sie dabei keine vertraulichen Informationen ein.

    Informationen zum Aktivieren der automatischen Secret-Generierung und -Rotation finden Sie im folgenden Beispiel:

    oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --enable-auto-generation true --secret-generation-context file://sample_generation_file.json --rotation-config file://sample_rotation.json

    Beispiel für Inhalt in der Datei passphrase.json:

    {
	"generation_type": "%GENERATED_PASSPHRASE%",
	"generation_template": "DBAAS_DEFAULT_PASSWORD",
	"secret_template": {
		"username": "ORACLE",
		"password": "<example_password>",
}

    Beispiel für Inhalt in der Datei sample_rotation.json:

    {
	"rotationInterval": "P30D",
	"isScheduledRotationEnabled": true,
	"target_system_details": {
		"target_system_type": "ADB",
		"adbId": "ocid1.autonomousdatabase.<unique_ID>"
	}
}

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle ist in der CLI-Befehlsreferenz enthalten.

  • Verwenden Sie die API CreateSecret mit dem Managementendpunkt, um ein Secret im Vault zu erstellen.

    Hinweis

    Der Managementendpunkt wird für Verwaltungsvorgänge verwendet, einschließlich "Erstellen", "Aktualisieren", "Liste", "Abrufen" und "Löschen". Der Managementendpunkt wird auch als Control-Plane-URL oder KMSMANAGEMENT-Endpunkt bezeichnet.

    Der kryptografische Endpunkt wird für kryptografische Vorgänge verwendet, einschließlich Verschlüsseln, Entschlüsseln, Generieren von Datenverschlüsselungsschlüsseln, Signieren und Prüfen. Der kryptografische Endpunkt wird auch als Data-Plane-URL oder KMSCRYPTO-Endpunkt bezeichnet.

    Sie finden die Management- und kryptografischen Endpunkte in den Detailmetadaten eines Vaults. Anweisungen finden Sie unter Details eines Vaults abrufen.

    Regionale Endpunkte für die APIs für Schlüsselverwaltung, Secret Management und Secret Retrieval finden Sie unter API-Referenz und -Endpunkte.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.