Vault-Secret-Zugangsdaten mit Oracle Cloud Infrastructure Vault verwenden

Beschreibt die Verwendung von Vault-Secret-Zugangsdaten, bei denen das Secret (Kennwort) als Secret in Oracle Cloud Infrastructure Vault gespeichert ist.

Sie können Vault-Secret-Zugangsdaten verwenden, um auf Cloud-Ressourcen zuzugreifen, auf andere Datenbanken mit Datenbanklinks zuzugreifen oder überall dort zu verwenden, wo Zugangsdaten für Benutzername/Kennwort erforderlich sind.

Voraussetzungen zum Erstellen von Vault-Secret-Zugangsdaten mit Oracle Cloud Infrastructure Vault

Beschreibt die erforderlichen Schritte zur Verwendung von Vault-Secret-Zugangsdaten mit Oracle Cloud Infrastructure Vault-Secrets.

Um Vault-Secret-Zugangsdaten zu erstellen, bei denen das Secret in Oracle Cloud Infrastructure Vault gespeichert ist, führen Sie zuerst die erforderlichen Voraussetzungen aus.

  1. Erstellen Sie einen Vault, und erstellen Sie ein Secret im Vault mit Oracle Cloud Infrastructure Vault.

    Weitere Informationen finden Sie in den Anweisungen zum Erstellen eines Vaults und eines Secrets, Vaults verwalten und Überblick über Key Management.

  2. Richten Sie eine dynamische Gruppe ein, um Zugriff auf das Secret in Oracle Cloud Infrastructure Vault zu erteilen.

    Erstellen Sie eine dynamische Gruppe für die Autonomous Database-Instanz, in der Sie Vault-Secret-Zugangsdaten erstellen möchten:

    1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität & Sicherheit.
    2. Klicken Sie unter Identität auf Domains, und wählen Sie eine Identitätsdomain aus (oder erstellen Sie eine neue Identitätsdomain).
    3. Klicken Sie unter "Identitätsdomain" auf Dynamische Gruppen.
    4. Klicken Sie auf Dynamische Gruppe erstellen, und geben Sie einen Namen, eine Beschreibung und eine Regel ein.
      • Dynamische Gruppe für eine vorhandene Datenbank erstellen:

        Sie können angeben, dass eine Autonomous Database-Instanz Teil der dynamischen Gruppe ist. Die dynamische Gruppe im folgenden Beispiel enthält nur die Autonomous Database, deren OCID im Parameter resource.id angegeben ist:

        resource.id = 'your_Autonomous_Database_instance_OCID'
      • Dynamische Gruppe für eine Datenbank erstellen, die noch nicht bereitgestellt wurde:

        Wenn Sie die dynamische Gruppe erstellen, bevor Sie eine Autonomous Database-Instanz bereitstellen oder klonen, ist die OCID für die neue Datenbank noch nicht verfügbar. Erstellen Sie in diesem Fall eine dynamische Gruppe, in der die Ressourcen in einem bestimmten Compartment angegeben werden:

        resource.compartment.id = 'your_Compartment_OCID'
    5. Klicken Sie auf Erstellen.
  3. Schreiben Sie Policy-Anweisungen für die dynamische Gruppe, um den Zugriff auf Oracle Cloud Infrastructure-Ressourcen (Secrets) zu ermöglichen.
    1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit und anschließend auf Policys.
    2. Um Policys für die dynamische Gruppe zu schreiben, die Sie im vorherigen Schritt erstellt haben, klicken Sie auf Policy erstellen, und geben Sie einen Namen und eine Beschreibung ein.
    3. Verwenden Sie die Option Manuellen Editor anzeigen von Policy Builder, um eine Policy zu erstellen.

      Beispiel: So lassen Sie zu, dass der Zugriff auf die dynamische Gruppe ein bestimmtes Secret in einem Compartment lesen kann:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name
         where target.secret.id='secret_OCID'

      Beispiel: Damit der Zugriff auf die dynamische Gruppe alle Secrets in einem Compartment lesen kann:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name

      Weitere Informationen finden Sie unter Details zum Vault-Service.

    4. Wählen Sie die Gruppe oder dynamische Gruppe, und wählen Sie den Standort aus.
    5. Klicken Sie auf Erstellen.

Vault-Secret-Zugangsdaten mit Oracle Cloud Infrastructure Vault erstellen

Beschreibt die Schritte zur Verwendung eines Oracle Cloud Infrastructure Vault-Secrets mit Zugangsdaten.

Auf diese Weise können Sie ein Secret in Oracle Cloud Infrastructure Vault speichern und das Secret mit den Zugangsdaten verwenden, die Sie erstellen, um auf Cloud-Ressourcen zuzugreifen oder auf andere Datenbanken zuzugreifen.

So erstellen Sie Vault-Secret-Zugangsdaten, in denen das Secret in Oracle Cloud Infrastructure Vault gespeichert ist:

  1. Aktivieren Sie die Resource-Principal-Authentifizierung, um Zugriff auf ein Secret in Oracle Cloud Infrastructure Vault zu erteilen.
  2. Erstellen Sie eine dynamische Gruppe, und definieren Sie Policys, damit Autonomous Database auf Secrets in einem Oracle Cloud Infrastructure Vault zugreifen kann.
  3. Verwenden Sie DBMS_CLOUD.CREATE_CREDENTIAL, um Zugangsdaten zu einem Vault Secret zu erstellen.

    Beispiel:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
        credential_name   => 'OCI_SECRET_CRED',
        params            => JSON_OBJECT(
            'username'   value 'SCOTT',
            'secret_id'  value 'ocid1.vaultsecret.oc1.iad.example..aaaaaaaauq5ok5nq3bf2vwetkpqsoa' ));
    END;
    /

    Dabei gilt:

    • username: ist der Benutzername der ursprünglichen Zugangsdaten. Dabei kann es sich um den Benutzernamen eines beliebigen Typs von Benutzername/Kennwort-Zugangsdaten handeln, wie z.B. den Benutzernamen eines OCI Swift-Benutzers, den Benutzernamen, der für den Zugriff auf eine Datenbank mit einem Datenbanklink erforderlich ist, usw.

    • secret_id: ist die Vault Secret-ID. Beispiel: Wenn Sie das Kennwort mysecret in einem Secret in Oracle Cloud Infrastructure Vault speichern, ist der Wert secret_id die Vault-Secret-OCID.

    Um Vault-Secret-Zugangsdaten zu erstellen, benötigen Sie die Berechtigung EXECUTE für das Package DBMS_CLOUD.

    Weitere Informationen finden Sie unter Prozedur CREATE_CREDENTIAL.

  4. Mit den Zugangsdaten können Sie auf eine Cloud-Ressource zugreifen.

    Beispiel:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
        'OCI_SECRET_CRED',
        'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/' );
Hinweis

Alle 12 Stunden wird das Secret (Kennwort) aus dem Inhalt in Oracle Cloud Infrastructure Vault aktualisiert. Wenn Sie den Secret-Wert in Oracle Cloud Infrastructure Vault ändern, kann es bis zu 12 Stunden dauern, bis die Autonomous Database-Instanz den neuesten Secret-Wert abruft.

Führen Sie DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL aus, um die Zugangsdaten eines Vault Secrets sofort zu aktualisieren. Mit dieser Prozedur wird die neueste Version des Vault Secrets aus Oracle Cloud Infrastructure Vault abgerufen. Weitere Informationen finden Sie unter Prozedur REFRESH_VAULT_CREDENTIAL.