Oracle Cloud Infrastructure-Dokumentation

Secret-Zugangsdaten mit Azure Key Vault verwenden

Beschreibt die Verwendung von Vault Secret-Zugangsdaten, bei denen das Zugangsdaten-Secret (Kennwort) in Azure Key Vault gespeichert ist.

Mit Vault Secret-Zugangsdaten können Sie auf Cloud-Ressourcen zugreifen, auf andere Datenbanken mit Datenbanklinks zugreifen oder überall dort verwenden, wo Zugangsdaten für Benutzername/Kennwort erforderlich sind.

Übergeordnetes Thema: Vault-Secret-Zugangsdaten verwenden

Voraussetzungen zum Erstellen von Vault-Secret-Zugangsdaten mit Azure Key Vault

Beschreibt die erforderlichen Voraussetzungen für die Verwendung von Vault Secret-Zugangsdaten mit Azure Key Vault.

Um Vault Secret-Zugangsdaten zu erstellen, in denen das Secret in Azure Key Vault gespeichert ist, führen Sie zuerst die erforderlichen Voraussetzungen aus.

  1. Aktivieren Sie die Azure-Service-Principal-Authentifizierung, um Zugriff auf den Schlüssel (das Kennwort) im Azure Key Vault zu gewähren.

    Weitere Informationen finden Sie unter Azure-Service-Principal aktivieren.

  2. Erstellen Sie einen Azure Key Vault, und erstellen Sie ein Secret (Kennwort) im Vault.

    Weitere Informationen finden Sie unter Info zu Azure Key Vault.

  3. Richten Sie den Azure Service Principal ein, und aktivieren Sie ihn, um Zugriff auf das Secret im Azure Key Vault zu erteilen.

    Im Azure-Portal müssen Sie einem Service-Principal Lesezugriff für den Zugriff auf das Secret erteilen.

    1. Navigieren Sie im Azure-Portal zu der Ressource "Key Vault", die das erstellte Secret enthält.
    2. Wählen Sie "Zugriffs-Policys" und dann Erstellen aus.
    3. Wählen Sie unter "Berechtigungen" im Abschnitt Secret-Berechtigungen die Berechtigung Get aus.
    4. Geben Sie unter "Principal" den Namen des Service-Principals in das Suchfeld ein, und wählen Sie das entsprechende Ergebnis aus.
    5. Klicken Sie auf Weiter.
    6. Prüfen Sie unter "Prüfen und erstellen" die Änderungen der Zugriffs-Policy, und klicken Sie auf Erstellen, um die Zugriffs-Policy zu speichern.
    7. Prüfen Sie auf der Seite "Zugriffs-Policys", ob Ihre Zugriffs-Policy aufgeführt ist.

    Weitere Informationen finden Sie unter Key Vault-Zugriffs-Policy zuweisen.

Vault-Secret-Zugangsdaten mit Azure Key Vault erstellen

Beschreibt die Schritte zur Verwendung eines Azure Key Vaults mit Vault-Secret-Zugangsdaten.

Auf diese Weise können Sie ein Secret in Azure Key Vault speichern und das Secret mit den von Ihnen erstellten Zugangsdaten für den Zugriff auf Cloud-Ressourcen oder für den Zugriff auf andere Datenbanken verwenden.

So erstellen Sie Vault-Secret-Zugangsdaten, in denen das Secret in Azure Key Vault gespeichert ist:

  1. Erstellen Sie den Azure Key Vault, das Secret und die Zugriffs-Policys, damit Autonomous Database auf Secrets in einem Azure Key Vault zugreifen kann.
  2. Verwenden Sie DBMS_CLOUD.CREATE_CREDENTIAL, um Vault-Secret-Zugangsdaten zu erstellen.

    Beispiele:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name  => 'AZURE_SECRET_CRED',
    params  => JSON_OBJECT( 
      'username'          value 'azure_user',
      'secret_id'         value 'sales-secret',
      'azure_vault_name'  value 'azure_keyvault_name' ));
END;
/

    Wobei:

    • username: Der Benutzername der ursprünglichen Zugangsdaten. Es kann sich um den Benutzernamen eines beliebigen Typs von Benutzername/Kennwort-Zugangsdaten handeln.

    • secret_id: Der Secret-Name.

    • azure_vault_name: Der Name des Vaults, in dem sich das Secret befindet.

    Um Vault Secret-Zugangsdaten zu erstellen, benötigen Sie die Berechtigung EXECUTE für das Package DBMS_CLOUD.

    Weitere Informationen finden Sie unter Prozedur CREATE_CREDENTIAL.

  3. Verwenden Sie die Zugangsdaten für den Zugriff auf eine Cloud-Ressource.

    Beispiele:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
     'AZURE_SECRET_CRED', 
     'https://adb_user.blob.core.windows.net/adb/' );
Hinweis

Alle 12 Stunden wird das Secret (Kennwort) aus dem Inhalt im Azure Key Vault aktualisiert. Wenn Sie den Secret-Wert im Azure Key Vault ändern, kann es bis zu 12 Stunden dauern, bis die Autonomous Database-Instanz den neuesten Secret-Wert abruft.

Führen Sie DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL aus, um die Zugangsdaten eines Vault Secrets sofort zu aktualisieren. Diese Prozedur ruft die neueste Version des Vault Secrets aus Azure Key Vault ab. Weitere Informationen finden Sie unter Prozedur REFRESH_VAULT_CREDENTIAL.