Documentación de Oracle Cloud Infrastructure

Uso de Credenciales Secretas de Vault con GCP Secret Manager

Describe el uso de credenciales de secreto de almacén, donde el secreto de credenciales (contraseña) se almacena como secreto en el gestor de secretos de GCP.

Puede utilizar credenciales de secreto de almacén para acceder a los recursos en la nube, para acceder a otras bases de datos con enlaces de base de datos o utilizar en cualquier lugar donde se necesiten credenciales de nombre de usuario/tipo de contraseña.

Tema principal: Uso de credenciales secretas de almacén

Requisitos para crear una credencial de secreto de almacén con GCP Secret Manager

Describe los requisitos necesarios para utilizar credenciales de secreto de almacén con el gestor de secretos de GCP.

Para crear credenciales de secreto de almacén donde el secreto está almacenado en el gestor de secretos de GCP, realice primero los requisitos necesarios.

  1. Cree un secreto en GCP Secret Manager.
  2. Permite activar la autenticación de la cuenta de servicio de Google para proporcionar acceso a GCP Secret Manager.

    En la consola de Google Cloud, debe otorgar acceso de lectura al secreto a la credencial de autenticación de principal.

    1. Vaya a la página Gestor de secretos de la consola de Google Cloud.
    2. En la página Gestor de secretos, haga clic en la casilla de control situada junto al nombre del secreto.
    3. Si aún no está abierto, haga clic en Mostrar panel de información para abrir el panel.
    4. En el panel de información, haga clic en Agregar principal.
    5. En el área de texto Nuevos principales, introduzca el nombre de la cuenta de servicio que desea agregar.
    6. En la lista desplegable Seleccionar un rol, seleccione Gestor de secretos y, a continuación, Accesor de secretos del gestor de secretos.

Crear credencial de secreto de almacén con GCP Secret Manager

Describe los pasos para utilizar un secreto de GCP Secret Manager para almacenar secretos para utilizarlos con las credenciales que utilice para acceder a los recursos en la nube.

Esto le permite almacenar un secreto en GCP Secret Manager y utilizarlo con las credenciales que cree para acceder a los recursos en la nube o para acceder a otras bases de datos.

Para crear credenciales de secreto de almacén donde el secreto se almacena en el gestor de secretos de GCP:

  1. Cree un acceso secreto de gestor de secretos para permitir que el principal de Autonomous Database acceda a secretos en GCP Secret Manager.
  2. Active la autenticación basada en cuenta de servicio de Google para proporcionar acceso al secreto en el gestor de secretos de GCP.
  3. Utilice DBMS_CLOUD.CREATE_CREDENTIAL para crear una credencial de secreto de almacén para acceder al secreto del gestor de secretos de GCP.

    Por ejemplo:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name      => 'GCP_SECRET_CRED',
    params               => JSON_OBJECT( 
          'username'   value 'gcp_user1',
          'secret_id'  value 'my-secret',
          'gcp_project_id' value 'my-sample-project-191923' ));
END;
/

    Donde:

    • username: es el nombre de usuario de la credencial original. Puede ser el nombre de usuario de cualquier tipo de credencial de nombre de usuario/contraseña.

    • secret_id: es el nombre secreto. Al almacenar la contraseña mysecret en el almacén, utilice el nombre del secreto como valor del parámetro secret_id.

    • gcp_project_id: es el ID del proyecto en el que se encuentra el secreto.

    Consulte Procedimiento CREATE_CREDENTIAL para obtener más información.

  4. Utilice la credencial para acceder a un recurso en la nube.

    Por ejemplo:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
           'GCP_SECRET_CRED',
           'https://bucketname.storage.googleapis.com/' );
Nota

Cada 12 horas, el secreto (contraseña) se refresca desde el contenido del gestor de secretos de GCP. Si cambia el valor del secreto en el gestor de secretos de GCP, la instancia de Autonomous Database puede tardar hasta 12 horas en recoger el último valor del secreto.

Ejecute DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL para refrescar inmediatamente una credencial de secreto de almacén. Este procedimiento obtiene la última versión del secreto de almacén del gestor de secretos de GCP. Consulte procedimiento REFRESH_VAULT_CREDENTIAL para obtener más información.