Oracle Cloud Infrastructure-Dokumentation

Secret-Zugangsdaten mit Oracle Cloud Infrastructure Vault verwenden

Beschreibt die Verwendung von Vault Secret-Zugangsdaten, bei denen das Secret (Kennwort) als Secret in Oracle Cloud Infrastructure Vault gespeichert wird.

Mit Vault Secret-Zugangsdaten können Sie auf Cloud-Ressourcen zugreifen, auf andere Datenbanken mit Datenbanklinks zugreifen oder überall dort verwenden, wo Zugangsdaten für Benutzername/Kennwort erforderlich sind.

Übergeordnetes Thema: Vault-Secret-Zugangsdaten verwenden

Voraussetzungen zum Erstellen von Vault-Secret-Zugangsdaten mit Oracle Cloud Infrastructure Vault

Beschreibt die erforderlichen Voraussetzungsschritte für die Verwendung von Vault Secret-Zugangsdaten mit Oracle Cloud Infrastructure Vault-Secrets.

Um Zugangsdaten für Vault-Secrets zu erstellen, in denen das Secret in Oracle Cloud Infrastructure Vault gespeichert ist, müssen Sie zunächst die erforderlichen Voraussetzungen erfüllen.

  1. Erstellen Sie einen Vault, und erstellen Sie mit Oracle Cloud Infrastructure Vault ein Secret im Vault.

    Weitere Informationen finden Sie in den Anweisungen zum Erstellen eines Vaults und eines Secrets unter Vaults verwalten und Überblick über Key Management.

  2. Richten Sie eine dynamische Gruppe ein, um Zugriff auf das Secret in Oracle Cloud Infrastructure Vault zu erteilen.

    Erstellen Sie eine dynamische Gruppe für die Autonomous Database-Instanz, in der Sie Zugangsdaten für das Vault Secret erstellen möchten:

    1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
    2. Klicken Sie unter Identität auf Domains, und wählen Sie eine Identitätsdomain aus (oder erstellen Sie eine neue Identitätsdomain).
    3. Klicken Sie unter "Identitätsdomain" auf Dynamische Gruppen.
    4. Klicken Sie auf dynamische Gruppe erstellen, und geben Sie einen Namen, eine Beschreibung und eine Regel ein.

      • Dynamische Gruppe für eine vorhandene Datenbank erstellen:

        Sie können angeben, dass eine Autonomous Database-Instanz Teil der dynamischen Gruppe ist. Die dynamische Gruppe im folgenden Beispiel enthält nur die Autonomous Database-Instanz, deren OCID im Parameter resource.id angegeben ist: 

        resource.id = 'your_Autonomous_Database_instance_OCID'

      • Erstellen Sie eine dynamische Gruppe für eine Datenbank, die noch nicht durch Provisioning bereitgestellt wurde:

        Wenn Sie die dynamische Gruppe erstellen, bevor Sie eine Autonomous Database-Instanz bereitstellen oder klonen, ist die OCID für die neue Datenbank noch nicht verfügbar. Erstellen Sie in diesem Fall eine dynamische Gruppe, in der die Ressourcen in einem bestimmten Compartment angegeben werden: 

        resource.compartment.id = 'your_Compartment_OCID'
    5. Klicken Sie auf Erstellen.
  3. Schreiben Sie Policy-Anweisungen für die dynamische Gruppe, um den Zugriff auf Oracle Cloud Infrastructure-Ressourcen (Secrets) zu ermöglichen.
    1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit und dann auf Policys.
    2. Um Policys für die im vorherigen Schritt erstellte dynamische Gruppe zu schreiben, klicken Sie auf Policy erstellen, und geben Sie einen Namen und eine Beschreibung ein.
    3. Verwenden Sie die Option Manuellen Editor anzeigen von Policy Builder, um eine Policy zu erstellen.

      Beispiel: So lassen Sie zu, dass der Zugriff auf die dynamische Gruppe ein bestimmtes Secret in einem Compartment liest:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name
   where target.secret.id='secret_OCID'

      Beispiel: So lassen Sie das Lesen aller Geheimnisse in einem Compartment durch den Zugriff auf die dynamische Gruppe zu:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name

      Weitere Informationen finden Sie unter Details zum Vault Service.

    4. Wählen Sie die Gruppe oder die dynamische Gruppe aus, und wählen Sie den Speicherort aus.
    5. Klicken Sie auf Erstellen.

Vault-Secret-Zugangsdaten mit Oracle Cloud Infrastructure Vault erstellen

Beschreibt die Schritte zur Verwendung eines Oracle Cloud Infrastructure Vault-Secrets mit Zugangsdaten.

Auf diese Weise können Sie ein Secret in Oracle Cloud Infrastructure Vault speichern und das Secret mit den von Ihnen erstellten Zugangsdaten für den Zugriff auf Cloud-Ressourcen oder für den Zugriff auf andere Datenbanken verwenden.

So erstellen Sie Zugangsdaten für Vault-Secrets, in denen das Secret in Oracle Cloud Infrastructure Vault gespeichert ist:

  1. Aktivieren Sie die Resource Principal-Authentifizierung, um Zugriff auf ein Secret in Oracle Cloud Infrastructure Vault zu erteilen.
  2. Erstellen Sie eine dynamische Gruppe, und definieren Sie Policys, damit Autonomous Database auf Secrets in einem Oracle Cloud Infrastructure Vault zugreifen kann.
  3. Verwenden Sie DBMS_CLOUD.CREATE_CREDENTIAL, um Vault-Secret-Zugangsdaten zu erstellen.

    Beispiele:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name   => 'OCI_SECRET_CRED',
    params            => JSON_OBJECT(
        'username'   value 'SCOTT',
        'secret_id'  value 'ocid1.vaultsecret.oc1.iad.example..aaaaaaaauq5ok5nq3bf2vwetkpqsoa' ));
END;
/

    Wobei:

    • username: Der Benutzername der ursprünglichen Zugangsdaten. Dies kann der Benutzername eines beliebigen Typs von Zugangsdaten für Benutzername/Kennwort sein, wie der Benutzername eines OCI Swift-Benutzers, der Benutzername, der für den Zugriff auf eine Datenbank mit einem Datenbanklink erforderlich ist usw.

    • secret_id: ist die Vault-Secret-ID. Beispiel: Wenn Sie das Kennwort mysecret in einem Secret in Oracle Cloud Infrastructure Vault speichern, ist der Wert secret_id die Vault-Secret-OCID.

    Um Vault Secret-Zugangsdaten zu erstellen, benötigen Sie die Berechtigung EXECUTE für das Package DBMS_CLOUD.

    Weitere Informationen finden Sie unter Prozedur CREATE_CREDENTIAL.

  4. Verwenden Sie die Zugangsdaten für den Zugriff auf eine Cloud-Ressource.

    Beispiele:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
    'OCI_SECRET_CRED',
    'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/' );
Hinweis

Alle 12 Stunden wird das Secret (Kennwort) aus dem Inhalt in Oracle Cloud Infrastructure Vault aktualisiert. Wenn Sie den Secret-Wert in Oracle Cloud Infrastructure Vault ändern, kann es bis zu 12 Stunden dauern, bis die Autonomous Database-Instanz den neuesten Secret-Wert abruft.

Führen Sie DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL aus, um die Zugangsdaten eines Vault Secrets sofort zu aktualisieren. Diese Prozedur ruft die neueste Version des Vault Secrets von Oracle Cloud Infrastructure Vault ab. Weitere Informationen finden Sie unter Prozedur REFRESH_VAULT_CREDENTIAL.