Documentación de Oracle Cloud Infrastructure

Uso de la credencial secreta de almacén con el gestor de secretos de GCP

Describe el uso de credenciales de secreto de almacén, donde el secreto de credenciales (contraseña) se almacena como secreto en el Gestor de secretos de GCP.

Puede utilizar credenciales de secreto de almacén para acceder a los recursos en la nube, para acceder a otras bases de datos con enlaces de base de datos o utilizar en cualquier lugar donde se necesiten credenciales de nombre de usuario/tipo de contraseña.

Tema principal: Uso de credenciales secretas de almacén

Requisitos para crear una credencial secreta de almacén con el gestor de secretos de GCP

Describe los requisitos necesarios para utilizar credenciales de secreto de almacén con el gestor de secretos de GCP.

Para crear credenciales de secreto de almacén donde el secreto se almacena en el Gestor de secretos de GCP, primero realice los requisitos necesarios.

  1. Cree un secreto en el gestor de secretos de GCP.
  2. Active la autenticación de la cuenta de servicio de Google para proporcionar acceso al GCP Secret Manager.

    En la consola de Google Cloud, debe otorgar acceso de lectura al secreto a la credencial de autenticación de principal.

    1. Vaya a la página Gestor de secretos de la consola de Google Cloud.
    2. En la página Gestor de secretos, haga clic en la casilla de control situada junto al nombre del secreto.
    3. Si aún no está abierto, haga clic en Mostrar panel de información para abrir el panel.
    4. En el panel de información, haga clic en Agregar principal.
    5. En el área de texto Nuevos principales, introduzca el nombre de la cuenta de servicio que desea agregar.
    6. En la lista desplegable Seleccionar un rol, seleccione Gestor de secretos y, a continuación, Accesor secreto de gestor de secretos.

Creación de una credencial de secreto de almacén con el gestor de secretos de GCP

Describe los pasos para utilizar un secreto de GCP Secret Manager para almacenar secretos y utilizarlos con las credenciales que utiliza para acceder a los recursos en la nube.

Esto le permite almacenar un secreto en el Gestor de secretos de GCP y utilizar el secreto con las credenciales que cree para acceder a los recursos en la nube o a otras bases de datos.

Para crear credenciales de secreto de almacén donde el secreto se almacena en el Gestor de secretos de GCP:

  1. Cree un acceso secreto de gestor de secretos para permitir que el principal de Autonomous Database acceda a secretos en GCP Secret Manager.
  2. Active la autenticación basada en cuenta de servicio de Google para proporcionar acceso al secreto en el Gestor de secretos de GCP.
  3. Utilice DBMS_CLOUD.CREATE_CREDENTIAL para crear una credencial de secreto de almacén para acceder al secreto del GCP Secret Manager.

    Por ejemplo:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name      => 'GCP_SECRET_CRED',
    params               => JSON_OBJECT( 
          'username'   value 'gcp_user1',
          'secret_id'  value 'my-secret',
          'gcp_project_id' value 'my-sample-project-191923' ));
END;
/

    Donde:

    • username: es el nombre de usuario de la credencial original. Puede ser el nombre de usuario de cualquier tipo de credencial de nombre de usuario/contraseña.

    • secret_id: es el nombre secreto. Al almacenar la contraseña mysecret en el almacén, utilice el nombre del secreto como valor del parámetro secret_id.

    • gcp_project_id: es el ID del proyecto en el que se encuentra el secreto.

    Consulte Procedimiento CREATE_CREDENTIAL para obtener más información.

  4. Utilice la credencial para acceder a un recurso en la nube.

    Por ejemplo:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
           'GCP_SECRET_CRED',
           'https://bucketname.storage.googleapis.com/' );
Nota

Cada 12 horas, el secreto (contraseña) se refresca a partir del contenido del gestor de secretos de GCP. Si cambia el valor del secreto en el gestor de secretos de GCP, la instancia de Autonomous Database puede tardar hasta 12 horas en seleccionar el último valor del secreto.

Ejecute DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL para refrescar inmediatamente una credencial secreta de almacén. Este procedimiento obtiene la versión más reciente del secreto de almacén de GCP Secret Manager. Consulte el procedimiento REFRESH_VAULT_CREDENTIAL para obtener más información.