Uso de credenciales secretas de almacén con AWS Secrets Manager

Describe los requisitos previos necesarios para utilizar credenciales de secreto de almacén con AWS Secrets Manager.

1. Cree un secreto con AWS Secrets Manager y copie el ARN secreto de AWS.

   Consulte Gestor de secretos de AWS para obtener más información.

2. Realice los requisitos previos de gestión de AWS para usar nombres de recurso de Amazon (ARN).

   Consulte Realización de requisitos de gestión de AWS para utilizar nombres de recurso de Amazon (ARN) para obtener más información.

3. Active la autenticación de principal de AWS para proporcionar acceso al secreto en AWS Secrets Manager.

   Por ejemplo, en la ejecución de la instancia de Autonomous Database:

   BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(                                     
             provider => 'AWS',
             params =>
                JSON_OBJECT( 
                   'aws_role_arn' value 'arn:aws:iam::123456:role/AWS_ROLE_ARN'));
   END; 
   /

   Consulte ENABLE_PRINCIPAL_AUTH Procedure y About Using Amazon Resource Names (ARNs) to Access AWS Resources para obtener más información.

4. Configure AWS para proporcionar permisos para que los nombres de recursos (ARN) de Amazon accedan al secreto en AWS Secrets Manager.

   En la consola de AWS, debe otorgar acceso de lectura al secreto a la credencial de autenticación de principal.

   1. En la consola de AWS, vaya a IAM y seleccione Roles en Gestión de acceso.
   2. Seleccione el rol.
   3. En el separador Permisos, haga clic en Agregar permisos → crear política en línea.
   4. En la sección Servicio, seleccione gestor secreto como servicio.
   5. En la sección Acción, seleccione el nivel de acceso Leer.
   6. En la sección Recursos, haga clic en Agregar ARN, especifique ARN para el secreto y haga clic en Agregar → haga clic en Revisar la política → proporcione un nombre de política → haga clic en crear política.
   7. Vuelva al separador Permiso para verificar que la política en línea está asociada.

   Consulte Uso de nombres de recursos de Amazon (ARNs) para acceder a los recursos de AWS y Ejemplos de políticas de permisos para AWS Secrets Manager para obtener más información.

Describe los pasos para utilizar un secreto de AWS Secrets Manager con credenciales.

1. Cree un secreto en AWS Secrets Manager y cree una política en línea para permitir a su instancia de Autonomous Database acceder a secretos en AWS Secrets Manager.
   Consulte Requisitos para crear credenciales secretas de almacén con AWS Secrets Manager para obtener más información.
2. Utilice DBMS_CLOUD.CREATE_CREDENTIAL para crear una credencial de secreto de almacén para acceder al secreto del gestor de secretos de AWS.

   Por ejemplo:

   BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
       credential_name      => 'AWS_SECRET_CRED',
       params               => JSON_OBJECT( 
            'username'   value 'access_key',
            'secret_id'  value 'arn:aws:secretsmanager:region:account-ID:secret:secret_name' ));
   END;
   /

   Dónde:

   • username: es el nombre de usuario de la credencial original. Puede ser el nombre de usuario de cualquier tipo de credencial de nombre de usuario o contraseña.

   • secret_id: es el secreto de almacén AWS ARN.

   Para crear una credencial de secreto de almacén, debe tener el privilegio EXECUTE en el paquete DBMS_CLOUD.

   Consulte CREATE_CREDENTIAL Procedure para obtener más información.

3. Utilice la credencial para acceder a un recurso en la nube.

   Por ejemplo:

   SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
        'AWS_SECRET_CRED', 
        'https://s3-us-west-2.amazonaws.com/adb/' );