Describe los requisitos necesarios para utilizar credenciales de secreto de almacén con Gestor de secretos de AWS.

1. Cree un secreto con el Gestor de secretos de AWS y copie el ARN secreto de AWS.

   Consulte Gestor de secretos de AWS para obtener más información.

2. Realice los requisitos de gestión de AWS para utilizar nombres de recursos de Amazon (ARN).

   Consulte Cumplimiento de los requisitos de gestión de AWS para utilizar nombres de recursos de Amazon (ARNs) para obtener más información.

3. Active la autenticación de principal de AWS para proporcionar acceso al secreto en Gestor de secretos de AWS.

   Por ejemplo, en la instancia de Autonomous Database, ejecute:

   BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(                                     
             provider => 'AWS',
             params =>
                JSON_OBJECT( 
                   'aws_role_arn' value 'arn:aws:iam::123456:role/AWS_ROLE_ARN'));
   END; 
   /

   Consulte Procedimiento ENABLE_PRINCIPAL_AUTH y Acerca del uso de nombres de recursos de Amazon (ARN) para acceder a recursos de AWS para obtener más información.

4. Configure AWS para proporcionar permisos para que los nombres de recursos de Amazon (ARN) accedan al secreto en AWS Secrets Manager.

   En la consola de AWS, debe otorgar acceso de lectura al secreto a la credencial de autenticación de principal.

   1. En la consola de AWS, vaya a IAM y seleccione Roles en Access Management.
   2. Seleccione el rol.
   3. En el separador Permiso, haga clic en Agregar permisos → crear política en línea.
   4. En la sección Servicio, seleccione gestor de secretos como servicio.
   5. En la sección Acción, seleccione el nivel de acceso Lectura.
   6. En la sección Recursos, haga clic en Agregar ARN, especifique ARN para el secreto y haga clic en Agregar → haga clic en Revisar la política → asigne un nombre de política → haga clic en Crear política.
   7. Vuelva al separador Permission, verifique que la política en línea está asociada.

   Consulte Uso de nombres de recursos de Amazon (ARN) para acceder a los recursos de AWS y Ejemplos de políticas de permisos para AWS Secrets Manager para obtener más información.

Describe los pasos para utilizar un secreto de Gestor de secretos de AWS con credenciales.

1. Cree un secreto en AWS Secrets Manager y cree una política en línea para permitir que Autonomous Database acceda a los secretos en AWS Secrets Manager.
   Consulte Requisitos para crear credenciales secretas de almacén con AWS Secrets Manager para obtener más información.
2. Utilice DBMS_CLOUD.CREATE_CREDENTIAL para crear una credencial de secreto de almacén para acceder al secreto de Gestor de secretos de AWS.

   Por ejemplo:

   BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
       credential_name      => 'AWS_SECRET_CRED',
       params               => JSON_OBJECT( 
            'username'   value 'access_key',
            'secret_id'  value 'arn:aws:secretsmanager:region:account-ID:secret:secret_name' ));
   END;
   /

   Donde:

   • username: es el nombre de usuario de la credencial original. Puede ser el nombre de usuario de cualquier tipo de credencial de nombre de usuario/contraseña.

   • secret_id: es el ARN de AWS secreto de almacén.

   Para crear una credencial de secreto de almacén, debe tener el privilegio EXECUTE en el paquete DBMS_CLOUD.

   Consulte Procedimiento CREATE_CREDENTIAL para obtener más información.

3. Utilice la credencial para acceder a un recurso en la nube.

   Por ejemplo:

   SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
        'AWS_SECRET_CRED', 
        'https://s3-us-west-2.amazonaws.com/adb/' );