Vault-Secret-Zugangsdaten mit GCP Secret Manager verwenden

Beschreibt die Verwendung von Vault-Secret-Zugangsdaten, bei denen das Zugangsdaten-Secret (Kennwort) als Secret in GCP Secret Manager gespeichert wird.

Sie können Vault-Secret-Zugangsdaten verwenden, um auf Cloud-Ressourcen zuzugreifen, auf andere Datenbanken mit Datenbanklinks zuzugreifen oder überall dort zu verwenden, wo Zugangsdaten für Benutzername/Kennwort erforderlich sind.

Voraussetzungen zum Erstellen von Vault-Secret-Zugangsdaten mit GCP Secret Manager

Beschreibt die erforderlichen Voraussetzungen für die Verwendung von Vault Secret-Zugangsdaten mit GCP Secret Manager.

Um Vault-Secret-Zugangsdaten zu erstellen, bei denen das Secret in GCP Secret Manager gespeichert ist, führen Sie zuerst die erforderlichen Voraussetzungen aus.

  1. Erstellen Sie ein Secret in GCP Secret Manager.

    Weitere Informationen finden Sie unter Secret Manager und Secret mit Secret Manager erstellen und darauf zugreifen.

  2. Aktivieren Sie die Google Service Account-Authentifizierung, um Zugriff auf GCP Secret Manager zu ermöglichen.

    In der Google Cloud-Konsole müssen Sie den Hauptauthentifizierungszugangsdaten Lesezugriff auf das Secret erteilen.

    1. Gehen Sie zur Seite Secret Manager in der Google Cloud-Konsole.
    2. Klicken Sie auf der Seite Secret Manager auf das Kontrollkästchen neben dem Namen des Secrets.
    3. Wenn der Bereich noch nicht geöffnet ist, klicken Sie auf Infobereich anzeigen, um ihn zu öffnen.
    4. Klicken Sie im Infobereich auf Principal hinzufügen.
    5. Geben Sie im Textbereich Neue Principals den hinzuzufügenden Serviceaccountnamen ein.
    6. Wählen Sie in der Dropdown-Liste Rolle auswählen die Optionen Secret Manager, Secret Manager Secret Accessor aus.

Vault-Secret-Zugangsdaten mit GCP Secret Manager erstellen

Beschreibt die Schritte zur Verwendung eines GCP Secret Manager-Secrets zum Speichern von Secrets zur Verwendung mit den Zugangsdaten, mit denen Sie auf Cloud-Ressourcen zugreifen.

Auf diese Weise können Sie ein Secret in GCP Secret Manager speichern und das Secret mit den Zugangsdaten verwenden, die Sie für den Zugriff auf Cloud-Ressourcen oder für den Zugriff auf andere Datenbanken erstellen.

So erstellen Sie Vault-Secret-Zugangsdaten, in denen das Secret in GCP Secret Manager gespeichert ist:

  1. Erstellen Sie einen Secret-Manager-Secret-Accessor, damit Ihr Autonomous Database-Principal auf Secrets in GCP Secret Manager zugreifen kann.
  2. Aktivieren Sie die kontobasierte Authentifizierung des Google-Service, um Zugriff auf das Secret im GCP Secret Manager zu erteilen.
  3. Verwenden Sie DBMS_CLOUD.CREATE_CREDENTIAL, um Vault-Secret-Zugangsdaten für den Zugriff auf das GCP Secret Manager Secret zu erstellen.

    Beispiel:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
        credential_name      => 'GCP_SECRET_CRED',
        params               => JSON_OBJECT( 
              'username'   value 'gcp_user1',
              'secret_id'  value 'my-secret',
              'gcp_project_id' value 'my-sample-project-191923' ));
    END;
    /

    Dabei gilt:

    • username: ist der Benutzername der ursprünglichen Zugangsdaten. Es kann sich um den Benutzernamen eines beliebigen Typs von Zugangsdaten für Benutzername/Kennwort handeln.

    • secret_id: ist der Secret-Name. Wenn Sie das Kennwort mysecret im Vault speichern, verwenden Sie den Secret-Namen als Wert des Parameters secret_id.

    • gcp_project_id: ist die ID des Projekts, in dem sich das Secret befindet.

    Weitere Informationen finden Sie unter Prozedur CREATE_CREDENTIAL.

  4. Mit den Zugangsdaten können Sie auf eine Cloud-Ressource zugreifen.

    Beispiel:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
               'GCP_SECRET_CRED',
               'https://bucketname.storage.googleapis.com/' );
Hinweis

Alle 12 Stunden wird das Secret (Kennwort) aus dem Inhalt im GCP-Secret Manager aktualisiert. Wenn Sie den Secret-Wert im GCP Secret Manager ändern, kann es bis zu 12 Stunden dauern, bis die Autonomous Database-Instanz den neuesten Secret-Wert abruft.

Führen Sie DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL aus, um die Zugangsdaten eines Vault Secrets sofort zu aktualisieren. Mit dieser Prozedur wird die neueste Version des Vault Secrets von GCP Secret Manager abgerufen. Weitere Informationen finden Sie unter Prozedur REFRESH_VAULT_CREDENTIAL.