Documentación de Oracle Cloud Infrastructure

Reglas del secreto

Descubra cómo configurar reglas para secretos de almacén que rigen su uso.

Para obtener información sobre cómo configurar o ver reglas, consulte Gestión de secretos. Al crear un secreto, puede configurar los siguientes tipos de reglas:

  • Regla de reutilización secreta. Este tipo de regla impide la reutilización del contenido del secreto en las distintas versiones de un secreto.
  • Regla de caducidad secreta. Este tipo de regla restringe el tiempo que el contenido del secreto de una versión del secreto en particular puede permanecer en uso. Esta regla también puede bloquear la recuperación del contenido de secreto para un secreto o una versión del secreto después de la fecha en la que se ha configurado la caducidad.

Es posible que desee configurar una o ambas reglas de secretos para establecer mejores prácticas de seguridad. Puede mejorar su postura de seguridad al actuar en secretos que no cumplen las reglas o, en el caso de reglas de caducidad, que están en peligro de infringirlas a su debido tiempo.

Los secretos están protegidos en reposo con las garantías de cifrado de módulo de hardware conforme con la certificación de seguridad de nivel 3 de seguridad del sistema Federal Information Processing Standards (FIPS) 140-2 que respalda el almacén donde se crea y se almacena el secreto. Sin embargo, en la memoria de la aplicación, un secreto podría verse comprometido. Prevenir la reutilización del contenido del secreto por varias versiones del secreto sirve para limitar el ámbito de los recursos afectados en caso de una infracción de seguridad que implique las credenciales almacenadas. Cuando solo un recurso usa el contenido del secreto de una versión del secreto, ese recurso es el único que puede verse afectado. Puede dejar de usar una versión del secreto y, a continuación, suprimirla si no puede seguir utilizando su contenido de forma segura. Puede elegir si las reglas de reutilización de secretos se aplican incluso a las versiones del secreto suprimidas.

De forma similar, configurar una regla de caducidad para especificar un intervalo de tiempo durante el cual puede existir una versión de secreto también ayuda a limitar el impacto de un posible incumplimiento de seguridad. Cuanto mayor sea el tiempo que se utilice un conjunto de credenciales, mayor será el tiempo que tenga un atacante para intentar acceder o descifrarlas. Actualizar con frecuencia un secreto con nuevo contenido ayuda a proteger las credenciales frente a usuarios con intención maliciosa. O acorta el periodo de tiempo durante el cual las credenciales en riesgo pueden utilizarse o difundirse sin que se sepa. Puede configurar una versión del secreto para que caduque después de 1 a 90 días, pero el secreto también puede tener una fecha y hora de caducidad absolutas que oscilen entre 1 y 365 días después de su fecha de creación. Puede configurar uno de estos valores o ambos. También puede decidir si el contenido del secreto se bloqueará después de la fecha de caducidad.

El temporizador de la regla de caducidad de un secreto se restablece según el intervalo configurado. No existe ningún mecanismo para actualizar el contenido del secreto. Debe rotar la versión del secreto manualmente.