Documentación de Oracle Cloud Infrastructure

Gestión de secretos de almacén

Cree y gestione secretos de almacén, etiquetas secretas y reglas secretas.

La gestión de secretos de Oracle Cloud Infrastructure le permite proteger sin esfuerzo datos confidenciales como claves de API, contraseñas y claves de cifrado mediante secretos. Ofrece una solución sólida para crear, almacenar, gestionar y acceder a estos secretos de forma segura. El almacenamiento centralizado que proporciona aprovecha los módulos de seguridad de hardware (HSM) y el control de acceso granular para proteger la seguridad y la integridad de la información crítica. Utilice la gestión de secretos de OCI para eliminar la incorporación de secretos directamente en las aplicaciones y reducir la superficie de ataque y reforzar la seguridad general de una aplicación.

Generación y rotación automática de secretos

Las funciones Generación automática de secretos y Rotación automática de secretos de OCI Secret Management eliminan la carga manual de utilizar scripts para gestionar la creación y rotación de secretos. Mediante la consola y las API de OCI, cree y gestione de forma eficaz el ciclo de vida de un secreto, desde la creación hasta la rotación y supresión, lo que mejora la seguridad y la eficiencia operativa.

Con Generación automática de secretos, deje que OCI Secret Management genere automáticamente secretos en su nombre con unos sencillos pasos. La generación automática de secretos admite tres tipos de generación de secretos, como contraseñas, claves SSH y bytes aleatorios. Para obtener más información, consulte Creación de un secreto en un almacén.

Con Rotación automática de secretos, active la rotación automática de secretos para configurar el intervalo de rotación de secretos de un mes a 12 meses y rotar periódicamente los secretos. Esta función se integra con las funciones de Autonomous Database (ADB) y OCI para rotar sin problemas los secretos utilizados en ADB o un código de función. Cuando la opción Rotación automática de secreto está activada, las aplicaciones comienzan a utilizar el nuevo secreto inmediatamente. En OCI Functions, puede rotar fácilmente cualquier credencial y ejecutar código como parte del proceso de rotación. La rotación automática también está disponible para secretos creados manualmente. Para rotar secretos de la base de datos mediante las funciones predefinidas en las funciones de OCI, consulte Rotación de secretos de base de datos sin función de cartera y Rotación de secretos de base de datos con función de cartera.

Versiones del secreto y estados de rotación

Obtenga información sobre las versiones del secreto de almacén, los estados de rotación y el impacto de la limitación de la versión del secreto.

La comprensión de las versiones del secreto de almacén y los estados de rotación le ayudará a realizar un seguimiento y gestionar el contenido del secreto para cumplir los límites, la rotación u otras reglas, o las regulaciones.

Para obtener una definición básica de conceptos de secretos, incluidas las versiones del secreto y los estados de rotación, consulte Conceptos de gestión de secretos y claves. Para obtener información sobre cómo trabajar con versiones secretas, consulte Gestión de secretos de almacén.

Estados de rotación

Las versiones del secreto pueden tener más de un estado de rotación a la vez. Cuando solo existe una versión del secreto, por ejemplo, la primera vez que se crea un secreto, la versión del secreto se marca automáticamente como "actual' y 'más reciente'. La versión "más reciente" de un secreto contiene el contenido del secreto que se cargó por última vez en el almacén, en caso de que desee realizar un seguimiento del mismo.

Al rotar un secreto para cargar nuevo contenido del secreto, puede marcarlo como "pendiente". Al marcar el estado de rotación de una versión del secreto como "pendiente", puede cargar el contenido del secreto en el almacén sin ponerlo inmediatamente en uso activo. Puede continuar usando la versión del secreto "actual" hasta que esté listo para ascender una versión del secreto pendiente al estado "actual". Esto ocurre normalmente después de haber rotado las credenciales en el recurso de destino o servicio en primer lugar. No deseará cambiar inesperadamente una versión del secreto. Al cambiar la versión del secreto actual, se evita que la aplicación que la necesita recupere la versión del secreto esperada del almacén.

Con el fin de volver a una versión anterior de forma sencilla, por ejemplo, cuando haya cometido un error al actualizar el contenido del secreto o cuando haya restaurado una copia de seguridad de un recurso anterior y sea necesario reanudar el uso del contenido del secreto anterior, las versiones del secreto también se pueden marcar como "anterior". Una versión del secreto marcada como " anterior" era anteriormente una versión del secreto marcada como "actual" Para volver a una versión anterior, actualice el secreto para especificar el número de versión del secreto que desee.

Siempre que no se haya suprimido una versión del secreto, puede actualizar el secreto para utilizar dicha versión anterior. Al actualizar el secreto, el número de versión del secreto que seleccione se marca como "actual". Tiene el mismo efecto que ascender una versión del secreto a " actual".

Solo puede suprimir versiones del secreto que se han marcado como "en desuso". Una versión del secreto en desuso es aquella que no está marcada como "current", "pending" o "previous". Esto ayuda a evitar circunstancias en las que pueda suprimir una versión del secreto que necesite posteriormente (por ejemplo, al restaurar una base de datos de la que se ha realizado una copia de seguridad anteriormente). Una versión del secreto marcada con cualquier otra opción que no sea 'en desuso' se puede marcar como 'actual' para devolverla al uso activo.

Limitación de la versión

Los límites de las versiones del secreto se aplican tanto a las versiones del secreto que están en uso como a las versiones en desuso, incluidas las que se han programado para suprimirse. Para obtener información sobre los límites del número de versiones para un secreto determinado y para versiones del secreto en un arrendamiento, consulte Límites de servicio.

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso está requerido tanto si está utilizando la consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que tiene y en qué compartimento debe trabajar.

Para administradores:

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.

Etiquetado de recursos

Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Aplique las etiquetas al crear un recurso o actualice el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.

Supervisión de recursos

Puede supervisar el estado, la capacidad y el rendimiento de los recursos de Oracle Cloud Infrastructure mediante métricas, alarmas y notificaciones. Para obtener más información, consulte Supervisión y Notificaciones.

Movimiento de recursos a otro compartimento

Puede mover secretos de un compartimento a otro. Después de mover un secreto a un nuevo compartimento, las políticas inherentes se aplican inmediatamente y afectan al acceso al secreto y a las versiones del secreto. Mover un secreto no afecta al acceso al almacén al que está asociado. De forma similar, puede mover un almacén de un compartimento a otro sin que sus secretos se muevan. Para obtener más información, consulte Gestión de compartimentos.