Oracle Cloud Infrastructure-Dokumentation

Secret-Zugangsdaten für Vault mit GCP Secret Manager verwenden

Beschreibt die Verwendung von Vault Secret-Zugangsdaten, bei denen das Zugangsdaten-Secret (Kennwort) als Secret im GCP Secret Manager gespeichert wird.

Mit Vault Secret-Zugangsdaten können Sie auf Cloud-Ressourcen zugreifen, auf andere Datenbanken mit Datenbanklinks zugreifen oder überall dort verwenden, wo Zugangsdaten für Benutzername/Kennwort erforderlich sind.

Übergeordnetes Thema: Vault-Secret-Zugangsdaten verwenden

Voraussetzungen zum Erstellen von Vault-Secret-Zugangsdaten mit GCP Secret Manager

Beschreibt die erforderlichen Voraussetzungen für die Verwendung von Vault Secret-Zugangsdaten mit GCP Secret Manager.

Um Vault Secret-Zugangsdaten zu erstellen, in denen das Secret im GCP Secret Manager gespeichert ist, führen Sie zuerst die erforderlichen Voraussetzungen aus.

  1. Erstellen Sie ein Secret in GCP Secret Manager.

    Weitere Informationen finden Sie unter Secret Manager und Secret mit Secret Manager erstellen und darauf zugreifen.

  2. Aktivieren Sie die Authentifizierung für das Google-Servicekonto, um Zugriff auf den GCP Secret Manager zu gewähren.

    In der Google Cloud-Konsole müssen Sie den Hauptauthentifizierungszugangsdaten Lesezugriff auf das Secret erteilen.

    1. Gehen Sie in der Google Cloud-Konsole zur Seite Secret Manager.
    2. Klicken Sie auf der Seite Secret Manager auf das Kontrollkästchen neben dem Namen des Secrets.
    3. Wenn der Bereich noch nicht geöffnet ist, klicken Sie auf Informationsbereich anzeigen, um ihn zu öffnen.
    4. Klicken Sie im Infobereich auf Principal hinzufügen.
    5. Geben Sie im Textbereich Neue Principals den hinzuzufügenden Serviceaccountnamen ein.
    6. Wählen Sie in der Dropdown-Liste Rolle auswählen die Option Secret Manager und dann Secret Manager Secret Accessor aus.

Secret-Zugangsdaten für Vault mit GCP Secret Manager erstellen

Beschreibt die Schritte zur Verwendung eines GCP Secret Manager Secrets zum Speichern von Secrets zur Verwendung mit den Zugangsdaten, mit denen Sie auf Cloud-Ressourcen zugreifen.

Auf diese Weise können Sie ein Secret im GCP Secret Manager speichern und das Secret mit den von Ihnen erstellten Zugangsdaten für den Zugriff auf Cloud-Ressourcen oder den Zugriff auf andere Datenbanken verwenden.

So erstellen Sie Zugangsdaten für das Vault Secret, in denen das Secret in GCP Secret Manager gespeichert ist:

  1. Erstellen Sie einen Secret Manager Secret Accessor, damit der Autonomous Database-Principal auf Secrets in GCP Secret Manager zugreifen kann.
  2. Aktivieren Sie die kontobasierte Authentifizierung für den Google-Service, um Zugriff auf das Secret im GCP Secret Manager zu ermöglichen.
  3. Verwenden Sie DBMS_CLOUD.CREATE_CREDENTIAL, um Zugangsdaten eines Vault-Secrets für den Zugriff auf das GCP Secret Manager Secret zu erstellen.

    Beispiele:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name      => 'GCP_SECRET_CRED',
    params               => JSON_OBJECT( 
          'username'   value 'gcp_user1',
          'secret_id'  value 'my-secret',
          'gcp_project_id' value 'my-sample-project-191923' ));
END;
/

    Wobei:

    • username: Der Benutzername der ursprünglichen Zugangsdaten. Es kann sich um den Benutzernamen eines beliebigen Typs von Benutzername/Kennwort-Zugangsdaten handeln.

    • secret_id: Der Secret-Name. Wenn Sie das Kennwort mysecret im Vault speichern, verwenden Sie den Secret-Namen als Wert des Parameters secret_id.

    • gcp_project_id: Die ID des Projekts, in dem sich das Secret befindet.

    Weitere Informationen finden Sie unter Prozedur CREATE_CREDENTIAL.

  4. Verwenden Sie die Zugangsdaten für den Zugriff auf eine Cloud-Ressource.

    Beispiele:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
           'GCP_SECRET_CRED',
           'https://bucketname.storage.googleapis.com/' );
Hinweis

Alle 12 Stunden wird das Secret (Kennwort) aus dem Inhalt im GCP Secret Manager aktualisiert. Wenn Sie den Secret-Wert im GCP Secret Manager ändern, kann es bis zu 12 Stunden dauern, bis die Autonomous Database-Instanz den neuesten Secret-Wert abruft.

Führen Sie DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL aus, um die Zugangsdaten eines Vault Secrets sofort zu aktualisieren. Diese Prozedur ruft die neueste Version des Vault Secrets vom GCP Secret Manager ab. Weitere Informationen finden Sie unter Prozedur REFRESH_VAULT_CREDENTIAL.