Documentación de Oracle Cloud Infrastructure

Utilizar credencial de secreto de almacén de claves con Azure Key Vault

Describe el uso de credenciales de secreto de almacén, donde el secreto de credencial (contraseña) se almacena en Azure Key Vault.

Puede utilizar credenciales de secreto de almacén para acceder a los recursos en la nube, para acceder a otras bases de datos con enlaces de base de datos o utilizar en cualquier lugar donde se necesiten credenciales de nombre de usuario/tipo de contraseña.

Tema principal: Uso de credenciales secretas de almacén

Requisitos para crear una credencial de secreto de almacén con Azure Key Vault

Describe los requisitos necesarios para utilizar credenciales de secreto de almacén con Azure Key Vault.

Para crear credenciales de secreto de almacén en las que el secreto se almacena en Azure Key Vault, primero realice los requisitos necesarios.

  1. Active la autenticación de entidad de servicio de Azure para proporcionar acceso a la clave (contraseña) en Azure Key Vault.

    Consulte Activación de la entidad de servicio de Azure para obtener más información.

  2. Cree un almacén de claves de Azure y cree un secreto (contraseña) en el almacén.

    Consulte Acerca de Azure Key Vault para obtener más información.

  3. Configure y active la entidad de servicio de Azure para proporcionar acceso al secreto en Azure Key Vault.

    En el portal de Azure, debe otorgar acceso de lectura para que una entidad de servicio acceda al secreto.

    1. En el portal de Azure, vaya al recurso "Key Vault" que contiene el secreto que ha creado.
    2. Seleccione "Políticas de acceso" y, a continuación, seleccione Crear.
    3. En Permisos, seleccione el permiso Obtener en la sección Permisos secretos.
    4. En Principal, escriba el nombre del principal de servicio en el campo de búsqueda y seleccione el resultado adecuado.
    5. Haga clic en Siguiente.
    6. En Revisar y crear, revise los cambios en la política de acceso y haga clic en Crear para guardar la política de acceso.
    7. De nuevo en la página Políticas de acceso, verifique que la política de acceso aparece en la lista.

    Consulte Asignación de una política de acceso de almacén de claves para obtener más información.

Crear credencial de secreto de almacén con Azure Key Vault

Describe los pasos para utilizar un almacén de claves de Azure con credenciales de secreto de almacén.

Esto le permite almacenar un secreto en Azure Key Vault y utilizarlo con las credenciales que cree para acceder a los recursos en la nube o a otras bases de datos.

Para crear credenciales de secreto de almacén donde el secreto se almacena en Azure Key Vault:

  1. Cree el almacén de claves de Azure, el secreto y las políticas de acceso para permitir a Autonomous Database acceder a secretos en un almacén de claves de Azure.
  2. Utilice DBMS_CLOUD.CREATE_CREDENTIAL para crear una credencial de secreto de almacén.

    Por ejemplo:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name  => 'AZURE_SECRET_CRED',
    params  => JSON_OBJECT( 
      'username'          value 'azure_user',
      'secret_id'         value 'sales-secret',
      'azure_vault_name'  value 'azure_keyvault_name' ));
END;
/

    Donde:

    • username: es el nombre de usuario de la credencial original. Puede ser el nombre de usuario de cualquier tipo de credencial de nombre de usuario/contraseña.

    • secret_id: es el nombre secreto.

    • azure_vault_name: es el nombre del almacén donde se encuentra el secreto.

    Para crear una credencial de secreto de almacén, debe tener el privilegio EXECUTE en el paquete DBMS_CLOUD.

    Consulte Procedimiento CREATE_CREDENTIAL para obtener más información.

  3. Utilice la credencial para acceder a un recurso en la nube.

    Por ejemplo:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
     'AZURE_SECRET_CRED', 
     'https://adb_user.blob.core.windows.net/adb/' );
Nota

Cada 12 horas, el secreto (contraseña) se refresca desde el contenido de Azure Key Vault. Si cambia el valor del secreto en Azure Key Vault, la instancia de Autonomous Database puede tardar hasta 12 horas en recoger el último valor del secreto.

Ejecute DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL para refrescar inmediatamente una credencial de secreto de almacén. Este procedimiento obtiene la última versión del secreto de almacén de claves de Azure Key Vault. Consulte procedimiento REFRESH_VAULT_CREDENTIAL para obtener más información.