Vault-Secret-Zugangsdaten mit GCP Secret Manager verwenden
Beschreibt die Verwendung von Vault-Secret-Zugangsdaten, bei denen das Zugangsdaten-Secret (Kennwort) als Secret in GCP Secret Manager gespeichert wird.
Sie können Vault-Secret-Zugangsdaten verwenden, um auf Cloud-Ressourcen zuzugreifen, auf andere Datenbanken mit Datenbanklinks zuzugreifen oder überall dort zu verwenden, wo Zugangsdaten für Benutzername/Kennwort erforderlich sind.
Voraussetzungen zum Erstellen von Vault-Secret-Zugangsdaten mit GCP Secret Manager
Beschreibt die erforderlichen Voraussetzungen für die Verwendung von Vault Secret-Zugangsdaten mit GCP Secret Manager.
Um Vault-Secret-Zugangsdaten zu erstellen, bei denen das Secret in GCP Secret Manager gespeichert ist, führen Sie zuerst die erforderlichen Voraussetzungen aus.
-
Erstellen Sie ein Secret in GCP Secret Manager.
Weitere Informationen finden Sie unter Secret Manager und Secret mit Secret Manager erstellen und darauf zugreifen.
-
Aktivieren Sie die Google Service Account-Authentifizierung, um Zugriff auf GCP Secret Manager zu ermöglichen.
In der Google Cloud-Konsole müssen Sie den Hauptauthentifizierungszugangsdaten Lesezugriff auf das Secret erteilen.
-
Gehen Sie zur Seite Secret Manager in der Google Cloud-Konsole.
-
Klicken Sie auf der Seite Secret Manager auf das Kontrollkästchen neben dem Namen des Secrets.
-
Wenn der Bereich noch nicht geöffnet ist, klicken Sie auf Infobereich anzeigen, um ihn zu öffnen.
-
Klicken Sie im Informationsbereich auf Principal hinzufügen.
-
Geben Sie im Textbereich Neue Principals den hinzuzufügenden Serviceaccountnamen ein.
-
Wählen Sie in der Dropdown-Liste Rolle auswählen die Optionen Secret Manager und Secret Manager Secret Accessor aus.
Weitere Informationen finden Sie unter Google-Serviceaccount aktivieren und GCP-Serviceaccountnamen suchen und Zugriff auf Secrets verwalten.
-
Vault-Secret-Zugangsdaten mit GCP Secret Manager erstellen
Beschreibt die Schritte zur Verwendung eines GCP Secret Manager-Secrets zum Speichern von Secrets zur Verwendung mit den Zugangsdaten, mit denen Sie auf Cloud-Ressourcen zugreifen.
Auf diese Weise können Sie ein Secret in GCP Secret Manager speichern und das Secret mit den Zugangsdaten verwenden, die Sie für den Zugriff auf Cloud-Ressourcen oder für den Zugriff auf andere Datenbanken erstellen.
So erstellen Sie Vault-Secret-Zugangsdaten, in denen das Secret in GCP Secret Manager gespeichert ist:
-
Erstellen Sie einen Secret-Manager-Secret-Accessor, damit der Principal der autonomen KI-Datenbank auf Secrets in GCP Secret Manager zugreifen kann.
Weitere Informationen finden Sie unter Voraussetzungen zum Erstellen von Vault-Secret-Zugangsdaten mit GCP Secret Manager.
-
Aktivieren Sie die kontobasierte Authentifizierung des Google-Service, um Zugriff auf das Secret im GCP Secret Manager zu erteilen.
Weitere Informationen finden Sie unter Google-Serviceaccount aktivieren und GCP-Serviceaccountnamen suchen.
-
Verwenden Sie
DBMS_CLOUD.CREATE_CREDENTIAL, um Vault Secret-Zugangsdaten für den Zugriff auf das GCP Secret Manager Secret zu erstellen.Beispiel:
BEGIN DBMS_CLOUD.CREATE_CREDENTIAL( credential_name => 'GCP_SECRET_CRED', params => JSON_OBJECT( 'username' value 'gcp_user1', 'secret_id' value 'my-secret', 'gcp_project_id' value 'my-sample-project-191923' )); END; /Dabei gilt:
-
username: ist der Benutzername der ursprünglichen Zugangsdaten. Es kann sich um den Benutzernamen eines beliebigen Typs von Zugangsdaten für Benutzername/Kennwort handeln. -
secret_id: ist der Secret-Name. Wenn Sie das Kennwort mysecret im Vault speichern, verwenden Sie den Secret-Namen als Wert des Parameterssecret_id. -
gcp_project_id: ist die ID des Projekts, in dem sich das Secret befindet.
Weitere Informationen finden Sie unter Prozedur CREATE_CREDENTIAL.
-
-
Mit den Zugangsdaten können Sie auf eine Cloud-Ressource zugreifen.
Beispiel:
SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS( 'GCP_SECRET_CRED', 'https://*bucketname*.storage.googleapis.com/' );
Hinweis
Hinweis: Alle 12 Stunden wird das Secret (Kennwort) aus dem Inhalt im GCP-Secret-Manager aktualisiert. Wenn Sie den Secret-Wert im GCP Secret Manager ändern, kann es bis zu 12 Stunden dauern, bis die Instanz der autonomen KI-Datenbank den neuesten Secret-Wert abruft.
Führen Sie DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL aus, um die Zugangsdaten eines Vault Secrets sofort zu aktualisieren. Mit dieser Prozedur wird die neueste Version des Vault Secrets von GCP Secret Manager abgerufen. Weitere Informationen finden Sie unter Prozedur REFRESH_VAULT_CREDENTIAL.