Documentación de Oracle Cloud Infrastructure

Creación de un Secreto

Descubra cómo crear un secreto en un almacén de OCI. Los secretos son credenciales como contraseñas, certificados, claves SSH o símbolos de autenticación que se utilizan con los servicios de OCI.

    1. En la página de lista Secretos, seleccione Crear secreto. Si necesita ayuda para encontrar la página de lista, consulte Lista de secretos.
    2. Seleccione el compartimento en el que desea crear el secreto.
    3. Introduzca un nombre para identificar el secreto. Evite introducir información confidencial.
    4. Opcionalmente, puede introducir una descripción que le ayude a identificar el secreto.
    5. Seleccione el almacén que contiene la clave de cifrado. Si el almacén está en un compartimento diferente, utilice el selector Compartimento de almacén para especificar el compartimento del almacén.

    6. Seleccione la clave de cifrado maestra que desea utilizar para cifrar el contenido del secreto mientras se importa al almacén. Si la clave está en un compartimento diferente, utilice el selector Compartimento de clave de cifrado para especificar el compartimento de la clave de cifrado. Tenga en cuenta lo siguiente:

      • La clave debe estar en el mismo almacén que el secreto
      • Debe seleccionar una clave simétrica para crear el secreto. Las claves asimétricas no están soportadas para la creación de secretos.
    7. Seleccione uno de los siguientes métodos para generar el secreto:
      • Generación automática de secretos: genera el secreto automáticamente. Cuando está activado, no es necesario que proporcione el contenido secreto. Además, al crear una nueva versión del secreto, se genera automáticamente en función del tipo de generación del secreto y la plantilla de generación.
      • Generación manual de secretos: permite proporcionar manualmente el contenido del secreto.
    8. Si ha seleccionado Generación automática de secretos, seleccione el tipo de generación.
      • Si ha seleccionado Passphrase (Frase de contraseña), seleccione el contexto de generación correspondiente, si lo desea, proporcione la Passphrase length (Longitud de contraseña) y el Secret format (Formato secreto).
      • Si ha seleccionado Clave SSH, seleccione el contexto de generación correspondiente y, opcionalmente, proporcione el formato secreto.
      • Si ha seleccionado Bytes, seleccione el contexto de generación correspondiente y, opcionalmente, proporcione el formato secreto.
    9. Si ha seleccionado Generación manual de secretos, proporcione lo siguiente:
      • En la plantilla de tipo de secreto, especifique el formato del contenido del secreto que está proporcionando seleccionando una plantilla. Puede proporcionar contenido de secreto en texto sin Formato al utilizar la consola para crear un secreto de archivo nativo o un secreto de archivo nativo, pero su contenido debe estar codificado en base64 antes de que se envíe al servicio. La consola codifica automáticamente el texto sin formato del contenido del secreto.
      • En Contenido del secreto, introduzca el contenido del secreto. (El tamaño máximo permitido para un grupo de secretos es 25 KB).

    10. Opcionalmente, puede activar la replicación entre regiones mediante el conmutador para esta función. Puede replicar el secreto en hasta 3 regiones de destino. Después de mover el conmutador, proporcione la siguiente información:

      • Región de destino: seleccione la región que contiene el almacén de destino para el secreto replicado.
      • Almacén de destino: seleccione el almacén de destino para el secreto replicado.
      • Clave: seleccione la clave de cifrado que desea utilizar para cifrar el contenido del secreto en el almacén de destino.

      Para replicar el secreto en más almacenes, seleccione Agregar elemento y proporcione los detalles de región, almacén y clave para el almacén de destino.

    11. En la sección Rotación secreta, proporcione los siguientes detalles:
      1. Tipo de sistema de destino: seleccione Tipo de sistema de destino como base de datos o función de IA autónoma y proporcione el ID de sistema de destino correspondiente.
      2. ID de sistema de destino: el ID de sistema se rellena automáticamente para el tipo de sistema de destino seleccionado.
      3. Activar rotación automática: seleccione la casilla de control para activar la rotación automática.
        Nota

        Si no especifica el tipo de sistema y el ID de destino, la casilla de control no está activada para la rotación automática.
      4. Intervalo de rotación: si lo desea, seleccione el intervalo de rotación para actualizar el secreto periódicamente.
    12. Para aplicar una regla para gestionar cómo se utilizan los secretos del almacén, en la sección Reglas, seleccione Otra regla. Puede crear una regla relacionada con la reutilización del contenido del secreto en las versiones de un secreto, o bien puede crear una regla que especifique cuándo caduca el contenido del secreto. Para obtener más información sobre las reglas, consulte Reglas secretas.
      • Tipo de regla: seleccione Regla de reutilización secreta o Regla de caducidad secreta. Como máximo, puede tener una de cada. Si ya tiene una regla, pero desea agregar otra, seleccione Otra regla.

      • Configuración:

        • Para volver a utilizar la regla: seleccione esta opción para aplicar la regla para que se aplique incluso a versiones de secretos suprimidas o para permitir la reutilización del contenido del secreto de versiones de secretos suprimidas.
        • Para la regla de caducidad: defina la frecuencia con la que desea que caduque la información del secreto y qué desea que suceda cuando caduque la versión del secretos o el secreto. La caducidad de versiones secretas individuales está representada por un período de 1 a 90 días que puede especificar con los botones de flecha o introducir un número. La caducidad del secreto en sí se representa mediante una hora y fecha absolutas entre 1 y 365 días desde la fecha y la hora actuales. Especifique esta fecha mediante el selector de fechas. Puede configurar valores de caducidad para una o ambas versiones del secreto y el secreto. Tenga en cuenta que se puede borrar el intervalo en el que caduca la versión del secreto, pero debe suprimir toda la regla de caducidad y empezar de nuevo para definir una hora absoluta para que el secretos caduque.
    13. Si lo desea, para aplicar etiquetas al secreto, seleccione Agregar etiqueta. Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro acerca de si desea aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
    14. Seleccione Create Secret.

  • Utilice el comando oci vault secret create-base64 para crear un secreto en un almacén.

    Nota

    Debe especificar una clave simétrica para cifrar el secreto durante la importación al almacén. No puede cifrar secretos con claves asimétricas. Además, la clave debe existir en el almacén que especifique.
    oci vault secret create-base64 --compartment-id <target_compartment_id> --secret-name <secret_name> --vault-id <target_vault_id> --description <secret_description_text> --key-id <encryption_key_id> --secret-content-content <base64_encoded_secret_content> --secret-content-name <unique_content_name> --secret-content-stage <secret_version_rotation_state> [OPTIONS]

    Por ejemplo:

    
oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --secret-content-content bXlwYXNzd29yZA== --secret-content-name testpassword1 --secret-content-stage CURRENT

    Evite introducir información confidencial.

    Para activar la generación y rotación automática de secretos, consulte el siguiente ejemplo:

    oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --enable-auto-generation true --secret-generation-context file://sample_generation_file.json --rotation-config file://sample_rotation.json

    Ejemplo de contenido en el archivo passphrase.json:

    {
	"generation_type": "%GENERATED_PASSPHRASE%",
	"generation_template": "DBAAS_DEFAULT_PASSWORD",
	"secret_template": {
		"username": "ORACLE",
		"password": "<example_password>",
}

    Ejemplo de contenido en el archivo sample_rotation.json:

    {
	"rotationInterval": "P30D",
	"isScheduledRotationEnabled": true,
	"target_system_details": {
		"target_system_type": "ADB",
		"adbId": "ocid1.autonomousdatabase.<unique_ID>"
	}
}

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Utilice la API CreateSecret con el punto final de gestión para crear un secreto en el almacén.

    Nota

    El punto final de gestión se utiliza para operaciones de gestión, como Crear, Actualizar, Mostrar, Obtener y Suprimir. El punto final de gestión también se denomina URL de plano de control o punto final de KMSMANAGEMENT.

    El punto final criptográfico se utiliza para operaciones criptográficas, como cifrado, descifrado, generación de clave de cifrado de datos, firma y verificación. El punto final criptográfico también se denomina URL de plano de datos o punto final de KMSCRYPTO.

    Puede encontrar los puntos finales criptográficos y de gestión en los metadatos de detalles de un almacén. Consulte Obtención de detalles de un almacén para obtener instrucciones.

    Para conocer los puntos finales regionales para las API de gestión de claves, gestión de secretos y recuperación de secretos, consulte Referencia de API y puntos finales.

    Para obtener información sobre el uso de la API y las solicitudes de firma, consulte la documentación de la API de REST y las Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.