Documentación de Oracle Cloud Infrastructure

Uso de Credenciales Secretas de Almacén con GCP Secret Manager

Describe el uso de credenciales de secreto de almacén, donde el secreto de credenciales (contraseña) se almacena como secreto en el gestor de secretos de GCP.

Puede utilizar credenciales secretas de almacén para acceder a recursos en la nube, acceder a otras bases de datos con enlaces de base de datos o utilizar en cualquier lugar donde se necesiten credenciales de tipo de nombre de usuario/contraseña.

Tema principal: Uso de credenciales secretas de almacén

Requisitos para crear una credencial secreta de almacén con GCP Secret Manager

Describe los requisitos necesarios para utilizar credenciales de secreto de almacén con el gestor de secretos de GCP.

Para crear credenciales de secreto de almacén en las que el secreto se almacene en el gestor de secretos de GCP, primero realice los requisitos necesarios.

  1. Cree un secreto en GCP Secret Manager.
  2. Habilite la autenticación de la cuenta de servicio de Google para proporcionar acceso a GCP Secret Manager.

    En la consola de Google Cloud, debe otorgar acceso de lectura al secreto a la credencial de autenticación de principal.

    1. Vaya a la página Gestor de secretos en la consola de Google Cloud.
    2. En la página Gestor de secretos, haga clic en la casilla de control situada junto al nombre del secreto.
    3. Si aún no está abierto, haga clic en Mostrar panel de información para abrir el panel.
    4. En el panel de información, haga clic en Agregar principal.
    5. En el área de texto Nuevos principales, introduzca el nombre de la cuenta de servicio que desea agregar.
    6. En la lista desplegable Seleccionar un rol, seleccione Gestor secreto y, a continuación, Accesor secreto de gestor secreto.

Crear credencial secreta de almacén con GCP Secret Manager

Describe los pasos para utilizar un secreto de GCP Secret Manager para almacenar secretos para utilizarlos con las credenciales que utiliza para acceder a los recursos en la nube.

Esto le permite almacenar un secreto en GCP Secret Manager y utilizarlo con las credenciales que cree para acceder a los recursos en la nube o para acceder a otras bases de datos.

Para crear credenciales de secreto de almacén en las que el secreto se almacena en el gestor de secretos de GCP:

  1. Cree un descriptor de acceso secreto de gestor de secretos para permitir que el principal de Autonomous Database acceda a secretos en GCP Secret Manager.
  2. Habilite la autenticación basada en la cuenta de servicio de Google para proporcionar acceso al secreto en GCP Secret Manager.
  3. Utilice DBMS_CLOUD.CREATE_CREDENTIAL para crear una credencial de secreto de almacén para acceder al secreto del gestor de secretos de GCP.

    Por ejemplo:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name      => 'GCP_SECRET_CRED',
    params               => JSON_OBJECT( 
          'username'   value 'gcp_user1',
          'secret_id'  value 'my-secret',
          'gcp_project_id' value 'my-sample-project-191923' ));
END;
/

    Dónde:

    • username: es el nombre de usuario de la credencial original. Puede ser el nombre de usuario de cualquier tipo de credencial de nombre de usuario o contraseña.

    • secret_id: es el nombre del secreto. Al almacenar la contraseña mysecret en el almacén, utilice el nombre del secreto como valor del parámetro secret_id.

    • gcp_project_id: es el ID del proyecto donde se encuentra el secreto.

    Consulte CREATE_CREDENTIAL Procedure para obtener más información.

  4. Utilice la credencial para acceder a un recurso en la nube.

    Por ejemplo:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
           'GCP_SECRET_CRED',
           'https://bucketname.storage.googleapis.com/' );
Nota

Cada 12 horas, el secreto (contraseña) se refresca desde el contenido de GCP Secret Manager. Si cambia el valor secreto en el gestor de secretos de GCP, la instancia de Autonomous Database puede tardar hasta 12 horas en recoger el último valor secreto.

Ejecute DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL para refrescar inmediatamente una credencial de secreto de almacén. Este procedimiento obtiene la última versión del secreto de almacén del gestor de secretos de GCP. Consulte REFRESH_VAULT_CREDENTIAL Procedure para obtener más información.