Documentación de Oracle Cloud Infrastructure

Replicación de secretos

Obtenga información sobre la replicación de secretos entre regiones.

Puede que desee replicar secretos entre regiones por los siguientes motivos:

  • Recuperación ante desastres: la replicación de secretos garantiza su accesibilidad en caso de interrupciones regionales. Es posible que los sistemas con capacidades de espera, failover y switchover necesiten secretos disponibles para los sistemas en espera.
  • Disponibilidad: si utiliza un secreto en más de una región, la replicación del secreto en regiones adicionales facilita el acceso y la actualización del secreto en las regiones en las que se necesita. Asegúrese de seguir las directrices de seguridad de su organización en relación con el uso de un secreto en más de una región.

Funcionamiento de la Replicación

Al crear un secreto en un almacén, tiene la opción de replicar el secreto en hasta 3 regiones más. También puede activar la replicación después de crear un secreto editando el secreto. Al crear réplicas de un secreto, se especifica la región de destino, el almacén de destino de esa región y la clave de cifrado que se utilizará para el secreto. Los secretos de réplica y las versiones de secreto utilizan los mismos OCID que las versiones de secreto y secreto de origen. Los secretos de réplica se cuentan junto con los secretos de origen a efectos de los límites regionales de secretos de su arrendamiento.

Al activar la replicación, OCI replica lo siguiente:

  • El contenido secreto
  • Metadatos y configuración del secreto
  • Versiones secretas

La réplica es de solo lectura y no se puede editar. Al editar o suprimir un secreto de origen, la operación de cambio o supresión también se aplica a las réplicas del secreto. Al desactivar la función en un secreto que tiene réplicas, se suprimen las réplicas. También puede suprimir réplicas individualmente mientras conserva el secreto de origen editando el secreto de origen.

Puede utilizar solicitudes de trabajo para supervisar las operaciones de replicación entre regiones de progreso. Consulte Solicitudes de trabajo secretas para obtener más información sobre el uso de solicitudes de trabajo con el servicio secreto.

Utilice las siguientes instrucciones para gestionar las réplicas secretas:

Importante

Los secretos no se replican automáticamente durante la replicación del almacén. Debe gestionar la replicación secreta en el nivel del recurso secreto. Consulte Replicación de almacenes y claves para obtener información sobre la replicación del almacén.

Reenvío de escritura para operaciones de actualización en secretos de réplica

Opcionalmente, puede activar el "envío de escritura" para secretos replicados mediante la API o la CLI. Mientras que los secretos replicados son de solo lectura, el reenvío de escritura permite dirigir un secreto replicado para una operación de escritura y hacer que la operación se aplique automáticamente primero al secreto de origen y, a continuación, mediante actualizaciones asíncronas, se aplique a todas las réplicas del secreto de origen.

Por ejemplo, si tiene un secreto de origen en la región Este de EE. UU. (Ashburn) que se replica en la región Este de Japón (Tokio), puede dirigir el secreto de réplica en Este de Japón (Tokio) para una actualización. A continuación, la solicitud de actualización se reenvía al secreto de origen en el este de EE. UU. (Ashburn) y se realiza en ese secreto automáticamente. Después de actualizar el secreto de origen, la solicitud de actualización se aplica automáticamente a todas las réplicas del secreto de origen, incluida la réplica en el este de Japón (Tokio).

Limitaciones

Las siguientes limitaciones se aplican a la función de reenvío de escritura para garantizar la seguridad de los secretos:

  • No puede utilizar el reenvío de escritura para las siguientes operaciones:

    • programación de una supresión de secreto
    • cancelación de una supresión de secreto
    • actualización de la configuración de replicación del secreto de origen
  • Al crear un nuevo secreto, puede activar el reenvío de escritura, pero no puede especificar el almacén de una región remota para que contenga el secreto de origen mediante la funcionalidad de reenvío de escritura.
  • Puesto que la operación de escritura se realiza de forma asíncrona y las actualizaciones se aplican primero al secreto de origen, espere un retraso entre el inicio de la actualización en la réplica y el fin de la actualización en la región de la réplica. Puede supervisar el progreso de la actualización mediante solicitudes de trabajo. Consulte Solicitudes de trabajo secretas para obtener más información sobre el uso de solicitudes de trabajo con el servicio secreto.
  • La entidad que solicita la actualización en la región de la réplica debe estar autorizada para realizar la actualización en la región del secreto de origen y en la región donde reside la réplica.
  • No puede activar el reenvío de escritura en la consola de OCI. Utilice las API CreateSecret y UpdateSecret o los comandos de la CLI para estas operaciones a fin de activar el reenvío de escritura. En las API, defina isWriteForwardEnabled en true para activar la función.

Política de IAM necesaria

Utilice la información de permisos de esta sección para permitir a los usuarios o entidades de recurso configurar la replicación entre regiones de secretos.

Permisos necesarios para configurar la replicación

Para crear o actualizar una configuración de replicación secreta (replicationConfig), un usuario o una entidad de recurso debe tener el permiso SECRET_REPLICATE_CONFIGURE. Esto se incluye en el verbo manage secrets.

Para crear un secreto con la replicación activada, asegúrese de que usted o la entidad de recurso tengan todos los permisos siguientes:

  • SECRET_CREATE, KEY_ENCRYPT, KEY_DECRYPT, VAULT_CREATE_SECRET (para utilizar la API CreateSecret o crear secretos en la consola u otras interfaces.
  • SECRET_REPLICATE_CONFIGURE

Para actualizar (o eliminar) una configuración de replicación, asegúrese de que usted o la entidad de recurso tengan los siguientes permisos:

  • SECRET_UPDATE (para utilizar la API UpdateSecret o actualizar secretos en la consola u otras interfaces).
  • SECRET_REPLICATE_CONFIGURE

Política de ejemplo

La siguiente política de ejemplo tiene sentencias que cubren todos los recursos necesarios para activar la replicación entre regiones para secretos nuevos o existentes:

Allow group Admins to manage secrets in compartment CompartmentName # for granting SECRET_CREATE, SECRET_UPDATE, SECRET_REPLICATE_CONFIGURE
Allow group Admins to use keys in compartment CompartmentName       # for granting KEY_ENCRYPT, KEY_DECRYPT
Allow group Admins to use vaults in compartment CompartmentName     # for granting VAULT_CREATE_SECRET
Nota

Los verbos de autenticación de la política de ejemplo (manage secrets, use keys, use vaults) también contienen más permisos que no se muestran en este tema. Revise Detalles de las combinaciones de verbo + tipo de recurso al escribir políticas de IAM para secretos.

Permisos necesarios para que los principales de recursos permitan la replicación secreta entre regiones

Cuando la replicación está activada en un secreto, debe proporcionar a su entidad de recurso permisos relevantes en el contexto de la región de destino para que se produzca la replicación.

Configuración de un grupo dinámico

Recomendamos configurar un grupo dinámico para los secretos que va a replicar para facilitar la gestión de políticas. A continuación se muestra un ejemplo de regla de coincidencia:

All {resource.type = 'vaultsecret', resource.compartment.id = '<compartment ID>'}

Para obtener más información sobre las reglas de coincidencia de grupos dinámicos, consulte Escritura de reglas de coincidencia para definir grupos dinámicos.

Escritura de la política

La replicación de secreto requiere que la entidad de recurso de vaultsecret que pertenece a su secreto tenga permisos para crear y gestionar el secreto de réplica en la región de destino. Estos permisos son SECRET_CREATE, KEY_ENCRYPT, KEY_DECRYPT, VAULT_CREATE_SECRET y SECRET_REPLICATE.

Tenga en cuenta que SECRET_REPLICATE es un permiso utilizado solo para la función de replicación entre regiones. Cuando se otorga, SECRET_REPLICATE permite que una entidad de recurso de vaultsecret cree una réplica en la región de destino.

Política de ejemplo para la entidad de recurso vaultsecret

Allow dynamic-group VaultSecretDG to use secret-replication in compartment CompartmentName # for granting SECRET_REPLICATE
Allow dynamic-group VaultSecretDG to manage secrets in compartment CompartmentName         # for granting SECRET_CREATE
Allow dynamic-group VaultSecretDG to use vaults in compartment CompartmentName             # for granting VAULT_CREATE_SECRET
Allow dynamic-group VaultSecretDG to use keys in compartment CompartmentName               # for granting KEY_ENCRYPT, KEY_DECRYPT
Nota

  • Los verbos de autenticación de la política de ejemplo (manage secrets, use keys, use vaults) también contienen más permisos que no se muestran en este tema. Revise Detalles de las combinaciones de verbo + tipo de recurso al escribir políticas de IAM para secretos.
  • Estos permisos se deben otorgar en el contexto de la región de destino. Por ejemplo, si restringe el acceso mediante la variable de contexto de ID de almacén, asegúrese de que la variable especificada sea el ID de almacén de la región de destino.
  • Si el compartimento o el secreto utilizan etiquetas definidas, asegúrese de que también otorga el permiso use tag-namespaces al grupo dinámico de vaultsecret.