Gestión de secretos de almacén
Cree y gestione secretos de almacén, etiquetas secretas y reglas secretas.
Con la importancia de utilizar los servicios en la nube de OCI, es importante almacenar, recuperar y gestionar secretos en su almacén digital. Los secretos pueden ser una contraseña, certificados, claves SSH o tokens de autenticación que utilice para conectarse a los servicios/sistemas de OCI. El almacenamiento de secretos en OCI Vault tiene una mayor seguridad que su almacenamiento en un código o archivos de configuración. La aplicación se comunica con OCI Secret Management para recuperar el secreto y conectarse al servicio de destino.
La gestión de secretos de Oracle Cloud Infrastructure le permite proteger sin esfuerzo datos confidenciales, como claves de API, contraseñas y claves de cifrado, mediante el uso de secretos. Ofrece una solución sólida para crear, almacenar, gestionar y acceder a estos secretos de forma segura. El almacenamiento centralizado que proporciona aprovecha los módulos de seguridad de hardware (HSM) y el control de acceso granular para garantizar la seguridad y la integridad de la información crítica. Utiliza OCI Secret Management para eliminar la incorporación de secretos directamente en las aplicaciones y reducir la superficie de ataque y fortalecer la seguridad general de una aplicación.
Generación y rotación automática de secretos
Cuando se genera un secreto, se actualiza periódicamente. Puede actualizar un secreto manualmente o definirlo automáticamente. La generación y rotación automáticas de secretos elimina la carga de definir el secreto manualmente y rotarlo mediante scripts, pero en su lugar, proporciona una forma eficaz de gestionar los secretos desde la creación, la rotación y la supresión.
La función de generación automática de secretos permite crear plantillas para el secreto durante la generación. Con la rotación automática de secretos, puede definir un intervalo de secreto de 1 a 12 meses. La función se integra con los servicios Autonomous Database y Function, lo que permite actualizar un secreto utilizado en la base de datos autónoma o el código de función. En las funciones de OCI, la rotación automática de secretos permite rotar fácilmente una credencial y ejecutar código como parte del proceso de rotación. La función de rotación de secretos de automatización también está disponible para secretos creados manualmente.
Ventajas de utilizar la rotación automática de secretos
- Seguridad mejorada: la actualización regular de sus secretos minimiza el impacto de las credenciales comprometidas que conducen a una violación de datos.
- Eficiencia operativa: la automatización de tareas manuales, como la creación y rotación de un secreto, ahorra tiempo y eficiencia.
- Cumplimiento regulado: cumpla con muchos estándares que regulan el cumplimiento de la rotación secreta y la automatización.
- Reducción de errores humanos: la automatización de tareas repetitivas reduce la posibilidad de errores humanos para reforzar la seguridad.
Generación de secretos
Puede generar un secreto para la frase de contraseña, las claves SSH y los bytes. Todos los secretos que genera OCI Vault son compatibles con FIPS y seguridad. Puede generar un secreto mediante la consola, la API o la interfaz de comandos de OCI. Al generar un secreto, debe proporcionar el contexto del secreto y definir la plantilla del secreto. El contexto secreto define el tipo y la estructura del secreto. Según el tipo de secreto que elija; Vault soporta diferentes plantillas de generación de secretos.
- PASSPHRASE: Genere contraseñas de hasta 20 caracteres de longitud. La longitud del carácter se puede personalizar.
- SSH_KEY: genera pares de claves RSA de longitud 2048, 3072 y 4096. La clave privada se almacena en formato PKCS#8 PEM y la clave pública se almacena en formato X.509 PEM.
- BYTES: genera 512 y 1024 BYTES que son secretos binarios de queja de FIPS. Estos bytes son código base64.
Tipos de secreto y plantillas por defecto
- FRASE DE CONTRASEÑA
- Plantillas soportadas: SECRETS_DEFAULT_PASSWORD y DBAAS_DEFAULT_PASSWORD
- Marcador de posición en plantilla secreta: %GENERATED_PASSPHRASE%
- Example: "user": "abc", "pwd": "%GENERATED_PASSPHRASE%"}
-
SSH_key
- Plantillas soportadas: RSA_2048, RSA_3072, RSA_4096
- Marcador de posición en plantilla secreta: %GENERATED_PUBLIC_KEY%, %GENERATED_PRIVATE_KEY%
- Ejemplo:
{"publicKey": "%GENERATED_PUBLIC_KEY%", "privateKey": "%GENERATED_PRIVATE_KEY%"} → {"publicKey": "-----BEGIN PUBLIC KEY-----\nBase64 encoded public key\n-----END PUBLIC KEY-----", "privateKey":"-----BEGIN PRIVATE KEY-----\nBase64 encoded private key\n-----END PRIVATE KEY-----"}
- BYTES
- Plantillas soportadas: BYTES_512, BYTES_1024
- Marcador de posición en plantilla secreta:
%GENERATED_BYTES% - Ejemplo:
{"host": "abc", "hostLuksKey": "%GENERATED_BYTES%"} → {"host": "abc", "hostLuksKey": "asdfalkjhasdflkjhasdf=="}
Versiones del secreto y estados de rotación
Obtenga información sobre las versiones del secreto de almacén, los estados de rotación y el impacto de la limitación de la versión del secreto.
La comprensión de las versiones del secreto de almacén y los estados de rotación le ayudará a realizar un seguimiento y gestionar el contenido del secreto para cumplir los límites, la rotación u otras reglas, o las regulaciones.
Para obtener una definición básica de conceptos de secretos, incluidas las versiones del secreto y los estados de rotación, consulte Conceptos de gestión de secretos y claves. Para obtener información sobre cómo trabajar con versiones secretas, consulte Gestión de secretos de almacén.
Estados de rotación
Las versiones del secreto pueden tener más de un estado de rotación a la vez. Cuando solo existe una versión del secreto, como la primera vez que se crea un secreto, la versión del secreto se marca automáticamente como "actual" y "más reciente". La versión "más reciente" de un secreto contiene el contenido del secreto que se cargó por última vez en el almacén, en caso de que desee realizar un seguimiento del mismo.
Al rotar un secreto para cargar nuevo contenido del secreto, puede marcarlo como "pendiente". Al marcar el estado de rotación de una versión del secreto como "pendiente", puede cargar el contenido del secreto en el almacén sin ponerlo inmediatamente en uso activo. Puede continuar usando la versión del secreto "actual" hasta que esté listo para ascender una versión del secreto pendiente al estado "actual". Esto ocurre normalmente después de haber rotado las credenciales en el recurso de destino o servicio en primer lugar. No deseará cambiar inesperadamente una versión del secreto. Al cambiar la versión del secreto actual, se evita que la aplicación que la necesita recupere la versión del secreto esperada del almacén.
Con el fin de volver a una versión anterior de forma sencilla, por ejemplo, cuando haya cometido un error al actualizar el contenido del secreto o cuando haya restaurado una copia de seguridad de un recurso anterior y sea necesario reanudar el uso del contenido del secreto anterior, las versiones del secreto también se pueden marcar como "anterior". Una versión del secreto marcada como "anterior" era anteriormente una versión del secreto marcada como "actual". Para volver a una versión anterior, actualice el secreto para especificar el número de versión del secreto que desee.
Siempre que no se haya suprimido una versión del secreto, puede actualizar el secreto para utilizar dicha versión anterior. Al actualizar el secreto, el número de versión del secreto que seleccione se marca como "actual". Tiene el mismo efecto que ascender una versión del secreto a " actual".
Solo puede suprimir versiones del secreto que se han marcado como "en desuso". Una versión del secreto en desuso es aquella que no está marcada como "current", "pending" o "previous". Esto ayuda a evitar circunstancias en las que pueda suprimir una versión del secreto que necesite posteriormente (por ejemplo, al restaurar una base de datos de la que se ha realizado una copia de seguridad anteriormente). Una versión del secreto marcada con algo que no sea "en desuso" se puede marcar como "actual" para devolverla al uso activo.
Limitación de la versión
Los límites de las versiones del secreto se aplican tanto a las versiones del secreto que están en uso como a las versiones en desuso, incluidas las que se han programado para suprimirse. Para obtener información sobre los límites del número de versiones para un secreto determinado y para versiones del secreto en un arrendamiento, consulte Límites de servicio.
Antes de empezar
Antes de empezar, se recomienda leer primero Reglas del secreto y Versiones del secreto y estados de rotación para comprender mejor las implicaciones de trabajar con reglas, versiones del secreto y estados de rotación de versiones del secreto.
Política de IAM necesaria
Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si aparece un mensaje que le informa de que no tiene permiso o no tiene autorización, verifique con el administrador el tipo de acceso que tiene y en qué compartimento trabajar.
Para administradores:
- La política Permitir a los administradores de seguridad gestionar almacenes, claves y secretos permite al grupo especificado realizar todas las acciones con almacenes, claves y secretos.
- La política Crear una política para activar las claves de cifrado permite al grupo especificado realizar todas las acciones con secretos en un almacén específico.
- La política Permitir a los usuarios leer, actualizar y rotar todos los secretos permite al grupo especificado leer, actualizar y rotar todos los secretos en cualquier almacén del arrendamiento.
- Para obtener más información sobre los permisos o si necesita escribir políticas más restrictivas para los secretos, consulte Detalles sobre el servicio Vault.
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.
Etiquetado de recursos
Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Aplique las etiquetas al crear un recurso o actualice el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.
Supervisión de recursos
Puede supervisar el estado, la capacidad y el rendimiento de los recursos de Oracle Cloud Infrastructure mediante métricas, alarmas y notificaciones. Para obtener más información, consulte Supervisión y Notificaciones.
Movimiento de recursos a otro compartimento
Puede mover secretos de un compartimento a otro. Después de mover un secreto a un nuevo compartimento, las políticas configuradas para el compartimento se aplican inmediatamente y afectan al acceso al secreto y a las versiones del secreto. Mover un secreto no afecta al acceso al almacén al que está asociado. De forma similar, puede mover un almacén de un compartimento a otro sin que sus secretos se muevan. Para obtener más información, consulte Gestión de compartimentos.