Documentación de Oracle Cloud Infrastructure

Uso de credencial secreta de almacén con Azure Key Vault

Describe el uso de credenciales de secreto de almacén, donde el secreto de credencial (contraseña) se almacena en Azure Key Vault.

Puede utilizar credenciales secretas de almacén para acceder a recursos en la nube, acceder a otras bases de datos con enlaces de base de datos o utilizar en cualquier lugar donde se necesiten credenciales de tipo de nombre de usuario/contraseña.

Tema principal: Uso de credenciales secretas de almacén

Requisitos para crear una credencial secreta de almacén con Azure Key Vault

Describe los requisitos necesarios para utilizar credenciales de secreto de almacén con Azure Key Vault.

Para crear credenciales de secreto de almacén en las que el secreto se almacene en Azure Key Vault, primero debe cumplir los requisitos necesarios.

  1. Active la autenticación de principal de servicio de Azure para proporcionar acceso a la clave (contraseña) en Azure Key Vault.

    Consulte Activar principal de servicio de Azure para obtener más información.

  2. Cree un almacén de claves de Azure y cree un secreto (contraseña) en el almacén.

    Consulte Acerca de Azure Key Vault para obtener más información.

  3. Configure y active la entidad de servicio de Azure para proporcionar acceso al secreto en Azure Key Vault.

    En el portal de Azure, debe otorgar acceso de lectura para que un principal de servicio acceda al secreto.

    1. En el portal de Azure, vaya al recurso "Key Vault" que contiene el secreto que ha creado.
    2. Seleccione "Políticas de acceso" y, a continuación, Crear.
    3. En Permisos, seleccione el permiso Obtener en la sección Permisos secretos.
    4. En Principal, introduzca el nombre del principal de servicio en el campo de búsqueda y seleccione el resultado adecuado.
    5. Haga clic en Siguiente.
    6. En Revisar y crear, revise los cambios de política de acceso y haga clic en Crear para guardar la política de acceso.
    7. En la página Políticas de acceso, compruebe que la política de acceso aparece en la lista.

    Consulte Asignación de una política de acceso de almacén de claves para obtener más información.

Crear credencial secreta de almacén con Azure Key Vault

Describe los pasos para utilizar un almacén de claves de Azure con credenciales de secreto de almacén.

Esto le permite almacenar un secreto en Azure Key Vault y utilizarlo con las credenciales que cree para acceder a los recursos en la nube o para acceder a otras bases de datos.

Para crear credenciales de secreto de almacén en las que el secreto se almacena en Azure Key Vault:

  1. Cree el almacén de claves de Azure, el secreto y las políticas de acceso para permitir que Autonomous Database acceda a secretos en un almacén de claves de Azure.
  2. Utilice DBMS_CLOUD.CREATE_CREDENTIAL para crear una credencial de secreto de almacén.

    Por ejemplo:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name  => 'AZURE_SECRET_CRED',
    params  => JSON_OBJECT( 
      'username'          value 'azure_user',
      'secret_id'         value 'sales-secret',
      'azure_vault_name'  value 'azure_keyvault_name' ));
END;
/

    Dónde:

    • username: es el nombre de usuario de la credencial original. Puede ser el nombre de usuario de cualquier tipo de credencial de nombre de usuario o contraseña.

    • secret_id: es el nombre del secreto.

    • azure_vault_name: es el nombre del almacén en el que se encuentra el secreto.

    Para crear una credencial de secreto de almacén, debe tener el privilegio EXECUTE en el paquete DBMS_CLOUD.

    Consulte CREATE_CREDENTIAL Procedure para obtener más información.

  3. Utilice la credencial para acceder a un recurso en la nube.

    Por ejemplo:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
     'AZURE_SECRET_CRED', 
     'https://adb_user.blob.core.windows.net/adb/' );
Nota

Cada 12 horas, el secreto (contraseña) se refresca desde el contenido de Azure Key Vault. Si cambia el valor secreto en Azure Key Vault, la instancia de Autonomous Database puede tardar hasta 12 horas en recoger el último valor secreto.

Ejecute DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL para refrescar inmediatamente una credencial de secreto de almacén. Este procedimiento obtiene la última versión del secreto de almacén de claves de Azure Key Vault. Consulte REFRESH_VAULT_CREDENTIAL Procedure para obtener más información.