Gestión de secretos de almacén
Cree y gestione secretos de almacén, etiquetas secretas y reglas secretas.
Debido a la importancia de utilizar los servicios en la nube de OCI, es importante almacenar, recuperar y gestionar secretos en su almacén digital. Los secretos pueden ser una contraseña, certificados, claves SSH o tokens de autenticación que utilice para conectarse a los servicios y sistemas de OCI. El almacenamiento de secretos en OCI Vault tiene una mayor seguridad que su almacenamiento en un código o archivos de configuración. La aplicación se comunica con OCI Secret Management para recuperar el secreto y conectarse al servicio de destino.
Oracle Cloud Infrastructure Secret Management te permite proteger sin esfuerzo datos confidenciales, como claves de API, contraseñas y claves de cifrado, mediante el uso de secretos. Ofrece una solución sólida para crear, almacenar, gestionar y acceder a estos secretos de forma segura. El almacenamiento centralizado que proporciona aprovecha los módulos de seguridad de hardware (HSM) y el control de acceso granular para salvaguardar la seguridad e integridad de la información crítica. Utiliza OCI Secret Management para eliminar la incorporación de secretos directamente en las aplicaciones, reducir la superficie de ataque y reforzar la seguridad general de una aplicación.
Generación y rotación automática de secretos
Cuando se genera un secreto, se actualiza periódicamente. Puede actualizar un secreto manualmente o definirlo automáticamente. La generación y rotación automáticas de secretos elimina la carga de configurar el secreto manualmente y rotarlo mediante scripts, pero en su lugar, proporciona una forma eficiente de gestionar los secretos desde la creación, la rotación y la eliminación.
La función de generación automática de secretos admite el uso de plantillas para la generación de secretos. Con la rotación secreta automática, puede establecer un intervalo secreto de 1 a 12 meses. La función se integra con los servicios de Autonomous Database y Function, lo que le permite actualizar un secreto utilizado en el código de Autonomous Database o Functions. En OCI Functions, la rotación automática de secretos le permite rotar fácilmente una credencial y un código de ejecución como parte del proceso de rotación. La función de rotación de secretos de automatización también está disponible para secretos creados manualmente.
Ventajas de utilizar la rotación automática de secretos
- Seguridad mejorada: la actualización regular de sus secretos minimiza el impacto de las credenciales comprometidas que conducen a una violación de datos.
- Eficiencia operativa: la automatización de tareas manuales, como la creación y rotación de un secreto, ahorra tiempo y eficiencia.
- Cumplimiento regulado: cumpla con muchos estándares que regulan el cumplimiento de la rotación secreta y la automatización.
- Reducción de errores humanos: la automatización de tareas repetitivas reduce la posibilidad de errores humanos para reforzar la seguridad.
Generación de secretos
Puede generar un secreto para frases de contraseña, claves SSH y bytes. Todos los secretos que genera OCI Vault son compatibles con FIPS y seguridad. Puede generar un secreto mediante la consola, la API o la CLI de OCI. Al generar un secreto, debe proporcionar el contexto secreto y definir la plantilla secreta. El contexto del secreto define el tipo y la estructura del secreto. Según el tipo de secreto que seleccione; Vault soporta diferentes plantillas de generación de secretos.
PASSPHRASE: genera contraseñas de hasta 32 caracteres de longitud. Para las contraseñas por defecto del servicio OCI Database, la longitud máxima de caracteres es 30.SSH_KEY: genera pares de claves RSA de longitud 2048, 3072 y 4096. La clave privada se almacena en el formato PKCS#8 PEM y la clave pública se almacena en el formato X.509 PEM.BYTES: genera 512 y 1024 bytes que son secretos binarios de quejas de FIPS. Los bytes son código base64.
Tipos de secretos y plantillas por defecto
PASSPHRASE- Plantillas soportadas:
SECRETS_DEFAULT_PASSWORDyDBAAS_DEFAULT_PASSWORD - Marcador de posición en la plantilla secreta:
%GENERATED_PASSPHRASE% - Ejemplo:
{"user": "abc", "pwd": "%GENERATED_PASSPHRASE%"}
- Plantillas soportadas:
-
SSH_KEY- Plantillas soportadas:
RSA_2048,RSA_3072,RSA_4096 - Marcador de posición en la plantilla secreta:
%GENERATED_PUBLIC_KEY%,%GENERATED_PRIVATE_KEY% - Ejemplo:
{"publicKey": "%GENERATED_PRIVATE_KEY%", "privateKey": "%GENERATED_PRIVATE_KEY%"} → {"publicKey": "-----BEGIN PUBLIC KEY-----\nBase64 encoded public key\n-----END PUBLIC KEY-----", "privateKey":"-----BEGIN PRIVATE KEY-----\nBase64 encoded private key\n-----END PRIVATE KEY-----"}
- Plantillas soportadas:
BYTES- Plantillas soportadas:
BYTES_512,BYTES_1024 - Marcador de posición en plantilla secreta:
%GENERATED_BYTES% - Ejemplo:
{"host": "abc", "hostLuksKey": "%GENERATED_BYTES%"} → {"host": "abc", "hostLuksKey": "generatedbyteshere=="}
- Plantillas soportadas:
Versiones del secreto y estados de rotación
Obtenga información sobre las versiones del secreto de almacén, los estados de rotación y el impacto de la limitación de la versión del secreto.
Comprender las versiones del secreto de almacén y los estados de rotación le permitirá realizar un seguimiento y gestionar el contenido del secreto con el fin de cumplir los límites, la rotación u otras reglas o regulaciones.
Para obtener información sobre los conceptos básicos de secretos, incluidas las versiones y los estados de rotación del secreto, consulte Conceptos de gestión de claves y secretos. Para obtener información sobre cómo trabajar con versiones de secreto, consulte Gestión de secretos del almacén.
Estados de rotación
Las versiones del secreto pueden tener más de un estado de rotación a la vez. Cuando solo existe una versión de secreto, como, por ejemplo, la primera vez que se crea un secreto, la versión de secreto se marca automáticamente como actual y última. La versión más recientes de un secreto contiene el contenido del secreto que se cargó finalmente en el almacén, en caso de que desee realizar un seguimiento. Si necesita encontrar qué versión del secreto tiene el material del secreto cargado más recientemente, puede utilizar el estado "último" para hacerlo.
Al cargar el nuevo contenido del secreto para la rotación del secreto, puede marcar la versión del secreto como pendiente. Esto le permite cargar el material secreto en el almacén sin ponerlo inmediatamente en uso activo. Puede continuar usando la versión de secreto actual hasta que esté listo para asentar una versión de secreto pendiente al estado actual. Esto ocurre normalmente después de rotar las credenciales en el recurso o servicio de destino en primer lugar. Tenga en cuenta que debe tener en cuenta los efectos de la rotación de secretos en las aplicaciones y los recursos que dependen del secreto. Al cambiar qué versión de secreto es actual, se podría evitar que una aplicación o recurso que lo necesita recupere la versión de secreto esperada del almacén.
Las versiones secretas también se pueden marcar como anteriores. Esto le permite revertir fácilmente un secreto a una versión anterior. Puede que tenga que hacerlo cuando un secreto se rota por error o cuando se restaura una copia de seguridad de un recurso que necesita reanudarse utilizando una versión de secreto anterior. Una versión del secreto marcada como anterior es la versión que se marcó como actual directamente antes de la rotación más reciente. Para volver a una versión anterior, actualice el secreto para especificar el número de versión del secreto que desee.
Siempre que no se haya suprimido una versión del secreto, puede actualizar el secreto para utilizar dicha versión anterior. Al actualizar el secreto, el número del secreto que selecciona se marca como actual. Tiene el mismo efecto, que ascender una versión de secreto a actual.
Solo puede suprimir versiones de secreto que se han marcado como en desuso. Una versión del secreto en desuso es aquella que no se ha marcado como actual, pendiente o anterior. Esto ayuda a evitar circunstancias en las cuales pueda suprimir una versión de secreto que necesite posteriormente (por ejemplo, al restaurar una base de información de la cual ha realizado una copia de seguridad anteriormente) Una versión del secreto marcada con cualquier otra alternativa que no sea en desuso se puede marcar como actual para devolverla al uso activo.
Limitación de la versión
Los límites de las versiones del secreto se aplican tanto a las versiones del secreto que están en uso como a las versiones en desuso, incluidas las que se han programado para suprimirse. Para obtener información sobre los límites del número de versiones para un secreto concreto y para versiones de un secreto en un arrendamiento, consulte Límites de servicios.
Antes de empezar
Antes de empezar, se recomienda leer primero Reglas de secreto y Versiones de secreto y estados de rotación para comprender mejor las implicaciones de trabajar con reglas, versiones de secreto y estados de rotación de versiones de secreto.
Política de IAM necesaria
Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que un administrador de arrendamiento haya otorgado acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador del arrendamiento el tipo de acceso que tiene y en qué compartimento trabaja el acceso.
Para administradores:
- La política Permitir a los administradores de seguridad gestionar almacenes, claves y secretos permite al grupo especificado realizar todas las acciones con almacenes, claves y secretos.
- La política Crear una política para activar las claves de cifrado permite al grupo especificado realizar todas las acciones con secretos en un almacén específico.
- La política Permitir a los usuarios leer, actualizar y rotar todos los secretos permite al grupo especificado leer, actualizar y rotar todos los secretos en cualquier almacén del arrendamiento.
- Para obtener más información sobre los permisos o si necesita escribir políticas más restrictivas para los secretos, consulte Detalles sobre el servicio Vault.
Si no está familiarizado con las políticas, consulte Gestión de dominios de identidad y Políticas comunes.
Etiquetado de secretos
Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Puede aplicar etiquetas al crear un recurso y actualizar un recurso más tarde para agregar, revisar o eliminar etiquetas. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.
Supervisión de recursos
Puede supervisar el estado, la capacidad y el rendimiento de los recursos de Oracle Cloud Infrastructure mediante métricas, alarmas y notificaciones. Para obtener más información, consulte Supervisión y Notificaciones.
Movimiento de recursos a otro compartimento
Puede mover secretos de un compartimento a otro. Después de mover un secreto a un nuevo compartimento, las políticas configuradas para el compartimento se aplican inmediatamente y afectan al acceso al secreto y a las versiones del secreto. Mover un secreto no afecta al acceso al almacén al que está asociado. De forma similar, puede mover un almacén de un compartimento a otro sin que sus secretos se muevan. Para obtener más información, consulte Gestión de compartimentos.