Documentación de Oracle Cloud Infrastructure

Creación de un secreto

Descubra cómo crear un secreto en un almacén de OCI. Los secretos son credenciales como contraseñas, certificados, claves SSH o tokens de autenticación que utiliza con los servicios de OCI.

    1. En la página de lista Secretos, seleccione Crear secreto. Si necesita ayuda para encontrar la página de lista, consulte Lista de secretos.
    2. Seleccione el compartimento en el que desea crear el secreto.
    3. Introduzca un nombre para identificar el secreto. Evite introducir información confidencial.
    4. Opcionalmente, puede introducir una descripción que le ayude a identificar el secreto.

    5. Seleccione la clave de cifrado maestra que desea utilizar para cifrar el contenido del secreto mientras se importa al almacén. Si la clave está en un compartimento diferente, utilice el selector Compartimento de clave de cifrado para especificar el compartimento de la clave de cifrado. Tenga en cuenta lo siguiente:

      • La clave debe estar en el mismo almacén que el secreto
      • Debe seleccionar una clave simétrica para crear el secreto. Las claves asimétricas no están soportadas para la creación de secretos.
    6. Seleccione uno de los siguientes métodos para generar el secreto:
      • Generación automática de secretos: genera el secreto automáticamente. Cuando está activado, no es necesario que proporcione el contenido secreto. Además, al crear una nueva versión del secreto, se genera automáticamente en función del tipo de generación del secreto y la plantilla de generación.
      • Generación manual de secretos: permite proporcionar manualmente el contenido del secreto.
    7. Si ha seleccionado Generación automática de secretos, seleccione el tipo de generación.
      • Si seleccionó Passphrase (Frase de contraseña), seleccione el contexto de generación correspondiente, de manera opcional, proporcione la longitud de frase de contraseña y el formato secreto.
      • Si ha seleccionado Clave SSH, seleccione el contexto de generación correspondiente y, opcionalmente, proporcione el formato secreto.
      • Si ha seleccionado Bytes, seleccione el contexto de generación correspondiente y, opcionalmente, proporcione el formato secreto.
    8. Si ha seleccionado Generación manual de secretos, proporcione lo siguiente:
      • En la plantilla de tipo de secreto, especifique el formato del contenido del secreto que va a proporcionar seleccionando una plantilla. Puede proporcionar contenido del secreto en texto sin formato al utilizar la consola para crear un secreto de almacén o una versión de secreto de almacén, pero el contenido del secreto debe tener la codificación base64 antes de que se envíe al servicio. La consola codifica automáticamente el texto sin formato del contenido del secreto.
      • En Contenido del secreto, introduzca el contenido. (El tamaño máximo permitido para un grupo de secretos es 25 kB).

    9. Opcionalmente, puede activar la replicación entre regiones mediante el conmutador para esta función. Puede replicar el secreto en hasta 3 regiones de destino. Después de mover el conmutador, proporcione la siguiente información:

      • Región de destino: seleccione la región que contiene el almacén de destino para el secreto replicado.
      • Almacén de destino: seleccione el almacén de destino para el secreto replicado.
      • Clave: seleccione la clave de cifrado que desea utilizar para cifrar el contenido del secreto en el almacén de destino.

      Para replicar el secreto en más almacenes, seleccione Agregar elemento y proporcione los detalles de región, almacén y clave para el almacén de destino.

    10. En la sección Rotación secreta, proporcione los siguientes detalles:
      1. Tipo de sistema de destino: seleccione Tipo de sistema de destino como Autonomous Database o Función y proporcione el ID de sistema de destino correspondiente.
      2. ID de sistema de destino: el ID de sistema se rellena automáticamente para el tipo de sistema de destino seleccionado.
      3. Activar rotación automática: seleccione la casilla de control para activar la rotación automática.
        Nota

        Si no especifica el tipo y el ID del sistema de destino, la casilla de control no está activada para la rotación automática.
      4. Intervalo de rotación: si lo desea, seleccione el intervalo de rotación para actualizar el secreto periódicamente.
    11. Para aplicar una regla para gestionar cómo se utilizan los secretos de almacén, seleccione Opciones avanzadas y, a continuación, seleccione Otra regla. Proporcione la siguiente información en el separador Reglas. Puede crear una regla relacionada con la reutilización del contenido del secreto en las versiones de un secreto, o bien puede crear una regla que especifique cuándo caduca el contenido del secreto. Para obtener más información sobre las reglas, consulte Reglas secretas.
      • Tipo de regla: seleccione Regla de reutilización secreta o Regla de caducidad secreta. Como máximo, puede tener una de cada. Si ya tiene una regla, pero desea agregar otra, seleccione Otra regla.

      • Configuración:

        • Para volver a utilizar la regla: seleccione esta opción para aplicar la regla para que se aplique incluso a versiones de secretos suprimidas o para permitir la reutilización del contenido del secreto de versiones de secretos suprimidas.
        • Para la regla de caducidad: defina la frecuencia con la que desea que caduque la información del secreto y qué desea que suceda cuando caduque la versión del secretos o el secreto. La caducidad de versiones secretas individuales está representada por un período de 1 a 90 días que puede especificar con los botones de flecha o introducir un número. La caducidad del secreto en sí se representa mediante una hora y fecha absolutas entre 1 y 365 días desde la fecha y la hora actuales. Especifique esta fecha mediante el selector de fechas. Puede configurar valores de caducidad para una o ambas versiones del secreto y el secreto. Tenga en cuenta que se puede borrar el intervalo en el que caduca la versión del secreto, pero debe suprimir toda la regla de caducidad y empezar de nuevo para definir una hora absoluta para que el secretos caduque.
    12. Opcionalmente, para aplicar etiquetas al secreto, seleccione Etiquetas y, a continuación, seleccione Agregar etiqueta. Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro acerca de si desea aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
    13. Seleccione Crear secreto.

  • Utilice el comando oci vault secret create-base64 para crear un secreto en un almacén.

    Nota

    Debe especificar una clave simétrica para cifrar el secreto durante la importación al almacén. No puede cifrar secretos con claves asimétricas. Además, la clave debe existir en el almacén que especifique.
    oci vault secret create-base64 --compartment-id <target_compartment_id> --secret-name <secret_name> --vault-id <target_vault_id> --description <secret_description_text> --key-id <encryption_key_id> --secret-content-content <base64_encoded_secret_content> --secret-content-name <unique_content_name> --secret-content-stage <secret_version_rotation_state> [OPTIONS]

    Por ejemplo:

    
oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --secret-content-content bXlwYXNzd29yZA== --secret-content-name testpassword1 --secret-content-stage CURRENT

    Evite introducir información confidencial.

    Para activar la generación y rotación automáticas de secretos, consulte el siguiente ejemplo:

    oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --enable-auto-generation true --secret-generation-context file://sample_generation_file.json --rotation-config file://sample_rotation.json

    Ejemplo de contenido en el archivo passphrase.json:

    {
	"generation_type": "%GENERATED_PASSPHRASE%",
	"generation_template": "DBAAS_DEFAULT_PASSWORD",
	"secret_template": {
		"username": "ORACLE",
		"password": "<example_password>",
}

    Ejemplo de contenido en el archivo sample_rotation.json:

    {
	"rotationInterval": "P30D",
	"isScheduledRotationEnabled": true,
	"target_system_details": {
		"target_system_type": "ADB",
		"adbId": "ocid1.autonomousdatabase.<unique_ID>"
	}
}

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

  • Utilice la API CreateSecret con el punto final de gestión para crear un secreto en el almacén.

    Nota

    El punto final de gestión se utiliza para operaciones de gestión, como Crear, Actualizar, Mostrar, Obtener y Suprimir. El punto final de gestión también se denomina URL de plano de control o punto final de KMSMANAGEMENT.

    El punto final criptográfico se utiliza para operaciones criptográficas, como cifrado, descifrado, generación de clave de cifrado de datos, firma y verificación. El punto final criptográfico también se denomina URL de plano de datos o punto final KMSCRYPTO.

    Puede encontrar los puntos finales criptográficos y de gestión en los metadatos de detalles de un almacén. Consulte Obtención de detalles de un almacén para obtener instrucciones.

    Para conocer los puntos finales regionales para las API de gestión de claves, gestión de secretos y recuperación de secretos, consulte Referencia de API y puntos finales.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.