Documentación de Oracle Cloud Infrastructure

Uso de credenciales secretas de almacén con Oracle Cloud Infrastructure Vault

Describe el uso de credenciales de secreto de almacén, donde el secreto (contraseña) se almacena como secreto en Oracle Cloud Infrastructure Vault.

Puede utilizar credenciales secretas de almacén para acceder a recursos en la nube, acceder a otras bases de datos con enlaces de base de datos o utilizar en cualquier lugar donde se necesiten credenciales de tipo de nombre de usuario/contraseña.

Tema principal: Uso de credenciales secretas de almacén

Requisitos para crear credenciales secretas de almacén con Oracle Cloud Infrastructure Vault

Describe los pasos necesarios para utilizar credenciales de secreto de almacén con secretos de Oracle Cloud Infrastructure Vault.

Para crear credenciales de secreto de almacén en las que el secreto se almacene en Oracle Cloud Infrastructure Vault, primero realice los requisitos necesarios.

  1. Cree un almacén y un secreto en el almacén con Oracle Cloud Infrastructure Vault.

    Para obtener más información, consulte las instrucciones para crear un almacén y un secreto, Gestión de almacenes y Visión general de Key Management.

  2. Configure un grupo dinámico para proporcionar acceso al secreto en Oracle Cloud Infrastructure Vault.

    Cree un grupo dinámico para la instancia de Autonomous Database en la que desee crear una credencial de secreto de almacén:

    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    2. En Identidad, haga clic en Dominios y seleccione un dominio de identidad (o cree un nuevo dominio de identidad).
    3. En Dominio de identidad, haga clic en Grupos dinámicos.
    4. Haga clic en Crear grupo dinámico e introduzca un nombre, una descripción y una regla.

      • Crear un grupo dinámico para una base de datos existente:

        Puede especificar que una instancia de Autonomous Database forme parte del grupo dinámico. El grupo dinámico del siguiente ejemplo incluye solo la instancia de Autonomous Database cuyo OCID se especifica en el parámetro resource.id: 

        resource.id = 'your_Autonomous_Database_instance_OCID'

      • Cree un grupo dinámico para una base de datos que aún no se haya aprovisionado:

        Al crear el grupo dinámico antes de aprovisionar o clonar una instancia de Autonomous Database, el OCID de la nueva base de datos aún no está disponible. Para este caso, cree un grupo dinámico que especifique los recursos en un compartimento determinado: 

        resource.compartment.id = 'your_Compartment_OCID'
    5. Haga clic en Crear.
  3. Escribir sentencias de política para el grupo dinámico para permitir el acceso a los recursos de Oracle Cloud Infrastructure (secretos).
    1. En la Consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad y, a partir de ahí, en Políticas.
    2. Para escribir políticas para el grupo dinámico que ha creado en el paso anterior, haga clic en Crear política e introduzca un Nombre y una Descripción.
    3. Utilice la opción mostrar editor manual de Creador de políticas para crear una política.

      Por ejemplo, para permitir el acceso al grupo dinámico para leer un secreto específico en un compartimento:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name
   where target.secret.id='secret_OCID'

      Por ejemplo, para permitir el acceso al grupo dinámico para leer todos los secretos de un compartimento:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name

      Consulte Detalles del servicio Vault para obtener más información.

    4. Seleccione el grupo o el grupo dinámico y seleccione la ubicación.
    5. Haga clic en Crear.

Creación de credenciales secretas de almacén con Oracle Cloud Infrastructure Vault

Describe los pasos para utilizar un secreto de Oracle Cloud Infrastructure Vault con credenciales.

Esto le permite almacenar un secreto en Oracle Cloud Infrastructure Vault y utilizarlo con la credencial que cree para acceder a los recursos en la nube o a otras bases de datos.

Para crear credenciales de secreto de almacén en las que el secreto se almacene en Oracle Cloud Infrastructure Vault:

  1. Active la autenticación de entidad de recurso para proporcionar acceso a un secreto en Oracle Cloud Infrastructure Vault.
  2. Cree un grupo dinámico y defina políticas para permitir que Autonomous Database acceda a secretos en Oracle Cloud Infrastructure Vault.
  3. Utilice DBMS_CLOUD.CREATE_CREDENTIAL para crear una credencial de secreto de almacén.

    Por ejemplo:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name   => 'OCI_SECRET_CRED',
    params            => JSON_OBJECT(
        'username'   value 'SCOTT',
        'secret_id'  value 'ocid1.vaultsecret.oc1.iad.example..aaaaaaaauq5ok5nq3bf2vwetkpqsoa' ));
END;
/

    Dónde:

    • username: es el nombre de usuario de la credencial original. Puede ser el nombre de usuario de cualquier tipo de credencial de nombre de usuario/contraseña, como el nombre de usuario de un usuario de OCI Swift, el nombre de usuario necesario para acceder a una base de datos con un enlace de base de datos, etc.

    • secret_id: es el ID de secreto del almacén. Por ejemplo, al almacenar la contraseña mysecret en un secreto de Oracle Cloud Infrastructure Vault, el valor secret_id es el OCID del secreto de almacén.

    Para crear una credencial de secreto de almacén, debe tener el privilegio EXECUTE en el paquete DBMS_CLOUD.

    Consulte CREATE_CREDENTIAL Procedure para obtener más información.

  4. Utilice la credencial para acceder a un recurso en la nube.

    Por ejemplo:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
    'OCI_SECRET_CRED',
    'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/' );
Nota

Cada 12 horas, el secreto (contraseña) se refresca desde el contenido de Oracle Cloud Infrastructure Vault. Si cambia el valor secreto en Oracle Cloud Infrastructure Vault, la instancia de Autonomous Database puede tardar hasta 12 horas en recoger el último valor secreto.

Ejecute DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL para refrescar inmediatamente una credencial de secreto de almacén. Este procedimiento obtiene la última versión del secreto de almacén de Oracle Cloud Infrastructure Vault. Consulte REFRESH_VAULT_CREDENTIAL Procedure para obtener más información.