Describe los requisitos necesarios para utilizar credenciales secretas de almacén con AWS Secrets Manager.

1. Cree un secreto con AWS Secrets Manager y copie el ARN secreto de AWS.

   Consulte Gestor de secretos de AWS para obtener más información.

2. Cumpla los requisitos de gestión de AWS para utilizar nombres de recursos de Amazon (ARN).

   Consulte Cumplimiento de los requisitos de gestión de AWS para utilizar nombres de recursos de Amazon (ARNs) para obtener más información.

3. Active la autenticación principal de AWS para proporcionar acceso al secreto en AWS Secrets Manager.

   Por ejemplo, en la instancia de Autonomous Database, ejecute:

   BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(                                     
             provider => 'AWS',
             params =>
                JSON_OBJECT( 
                   'aws_role_arn' value 'arn:aws:iam::123456:role/AWS_ROLE_ARN'));
   END; 
   /

   Consulte Procedimiento ENABLE_PRINCIPAL_AUTH y Acerca del uso de nombres de recursos de Amazon (ARN) para acceder a recursos de AWS para obtener más información.

4. Configure AWS para proporcionar permisos para que los nombres de recursos de Amazon (ARN) accedan al secreto en AWS Secrets Manager.

   En la consola de AWS, debe otorgar acceso de lectura al secreto a la credencial de autenticación de principal.

   1. En la consola de AWS, vaya a IAM y seleccione Roles en Access Management.
   2. Seleccione el rol.
   3. En el separador Permiso, haga clic en Agregar permisos → crear política en línea.
   4. En la sección Servicio, seleccione gestor de secretos como servicio.
   5. En la sección Acción, seleccione el nivel de acceso Leer.
   6. En la sección Recursos, haga clic en Agregar ARN, especifique ARN para el secreto y haga clic en Agregar → haga clic en Revisar la política → proporcione un nombre de política → haga clic en crear política.
   7. De vuelta al separador Permission, verifique que la política en línea está asociada.

   Consulte Uso de nombres de recursos de Amazon (ARN) para acceder a los recursos de AWS y Ejemplos de políticas de permisos para AWS Secrets Manager para obtener más información.

Describe los pasos para utilizar un secreto de AWS Secrets Manager con credenciales.

1. Cree un secreto en AWS Secrets Manager y cree una política en línea para permitir que Autonomous Database acceda a secretos en AWS Secrets Manager.
   Consulte Requisitos para crear credenciales secretas de almacén con AWS Secrets Manager para obtener más información.
2. Utilice DBMS_CLOUD.CREATE_CREDENTIAL para crear una credencial de secreto de almacén para acceder al secreto de AWS Secrets Manager.

   Por ejemplo:

   BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
       credential_name      => 'AWS_SECRET_CRED',
       params               => JSON_OBJECT( 
            'username'   value 'access_key',
            'secret_id'  value 'arn:aws:secretsmanager:region:account-ID:secret:secret_name' ));
   END;
   /

   Donde:

   • username: es el nombre de usuario de la credencial original. Puede ser el nombre de usuario de cualquier tipo de credencial de nombre de usuario/contraseña.

   • secret_id: es el ARN de AWS secreto de almacén.

   Para crear una credencial de secreto de almacén, debe tener el privilegio EXECUTE en el paquete DBMS_CLOUD.

   Consulte Procedimiento CREATE_CREDENTIAL para obtener más información.

3. Utilice la credencial para acceder a un recurso en la nube.

   Por ejemplo:

   SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
        'AWS_SECRET_CRED', 
        'https://s3-us-west-2.amazonaws.com/adb/' );