Documentación de Oracle Cloud Infrastructure

Uso de Credenciales Secretas de Vault con Oracle Cloud Infrastructure Vault

Describe el uso de credenciales de secreto de almacén, donde el secreto (contraseña) se almacena como secreto en Oracle Cloud Infrastructure Vault.

Puede utilizar credenciales de secreto de almacén para acceder a los recursos en la nube, para acceder a otras bases de datos con enlaces de base de datos o utilizar en cualquier lugar donde se necesiten credenciales de nombre de usuario/tipo de contraseña.

Tema principal: Uso de credenciales secretas de almacén

Requisitos para crear credenciales de secreto de almacén con Oracle Cloud Infrastructure Vault

Describe los pasos necesarios para utilizar credenciales de secreto de almacén con secretos de Oracle Cloud Infrastructure Vault.

Para crear credenciales de secreto de almacén en las que el secreto se almacena en Oracle Cloud Infrastructure Vault, primero realice los requisitos necesarios.

  1. Cree un almacén y cree un secreto en el almacén con Oracle Cloud Infrastructure Vault.

    Para obtener más información, consulte las instrucciones para crear un almacén y un secreto, Gestión de almacenes y Visión general de Key Management.

  2. Configure un grupo dinámico para proporcionar acceso al secreto en Oracle Cloud Infrastructure Vault.

    Cree un grupo dinámico para la instancia de Autonomous Database en la que desea crear una credencial de secreto de almacén:

    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    2. En Identidad, haga clic en Dominios y seleccione un dominio de identidad (o cree un nuevo dominio de identidad).
    3. En Dominio de identidad, haga clic en Grupos dinámicos.
    4. Haga clic en Crear grupo dinámico e introduzca un nombre, una descripción y una regla.

      • Cree un grupo dinámico para una base de datos existente:

        Puede especificar que una instancia de Autonomous Database forme parte del grupo dinámico. El grupo dinámico del siguiente ejemplo incluye solo Autonomous Database cuyo OCID se especifique en el parámetro resource.id: 

        resource.id = 'your_Autonomous_Database_instance_OCID'

      • Cree un grupo dinámico para una base de datos que aún no se haya aprovisionado:

        Al crear el grupo dinámico antes de aprovisionar o clonar una instancia de Autonomous Database, el OCID de la nueva base de datos aún no está disponible. En este caso, cree un grupo dinámico que especifique los recursos de un compartimento determinado: 

        resource.compartment.id = 'your_Compartment_OCID'
    5. Haga clic en Crear.
  3. Escriba sentencias de política para el grupo dinámico para permitir el acceso a los recursos de Oracle Cloud Infrastructure (secretos).
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad y, a continuación, en Políticas.
    2. Para escribir políticas para el grupo dinámico que ha creado en el paso anterior, haga clic en Crear política e introduzca un nombre y una descripción.
    3. Utilice la opción show manual editor de Creador de políticas para crear una política.

      Por ejemplo, para permitir el acceso al grupo dinámico para leer un secreto específico en un compartimento:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name
   where target.secret.id='secret_OCID'

      Por ejemplo, para permitir el acceso al grupo dinámico para leer todos los secretos de un compartimento:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name

      Consulte Detalles para el servicio Vault para obtener más información.

    4. Seleccione el grupo o el grupo dinámico y la ubicación.
    5. Haga clic en Crear.

Crear credenciales de secreto de almacén con Oracle Cloud Infrastructure Vault

Describe los pasos para utilizar un secreto de Oracle Cloud Infrastructure Vault con credenciales.

Esto permite almacenar un secreto en Oracle Cloud Infrastructure Vault y utilizarlo con la credencial que cree para acceder a los recursos en la nube o a otras bases de datos.

Para crear credenciales de secreto de almacén donde el secreto se almacena en Oracle Cloud Infrastructure Vault:

  1. Active la autenticación de entidad de recurso para proporcionar acceso a un secreto en Oracle Cloud Infrastructure Vault.
  2. Cree un grupo dinámico y defina políticas para permitir que Autonomous Database acceda a secretos en Oracle Cloud Infrastructure Vault.
  3. Utilice DBMS_CLOUD.CREATE_CREDENTIAL para crear una credencial de secreto de almacén.

    Por ejemplo:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name   => 'OCI_SECRET_CRED',
    params            => JSON_OBJECT(
        'username'   value 'SCOTT',
        'secret_id'  value 'ocid1.vaultsecret.oc1.iad.example..aaaaaaaauq5ok5nq3bf2vwetkpqsoa' ));
END;
/

    Donde:

    • username: es el nombre de usuario de la credencial original. Puede ser el nombre de usuario de cualquier tipo de credencial de nombre de usuario/contraseña, como el nombre de usuario de un usuario de OCI Swift, el nombre de usuario necesario para acceder a una base de datos con un enlace de base de datos, etc.

    • secret_id: es el ID secreto del almacén. Por ejemplo, al almacenar la contraseña mysecret en un secreto de Oracle Cloud Infrastructure Vault, el valor secret_id es el OCID del secreto del almacén.

    Para crear una credencial de secreto de almacén, debe tener el privilegio EXECUTE en el paquete DBMS_CLOUD.

    Consulte Procedimiento CREATE_CREDENTIAL para obtener más información.

  4. Utilice la credencial para acceder a un recurso en la nube.

    Por ejemplo:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
    'OCI_SECRET_CRED',
    'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/' );
Nota

Cada 12 horas, el secreto (contraseña) se refresca desde el contenido de Oracle Cloud Infrastructure Vault. Si cambia el valor del secreto en Oracle Cloud Infrastructure Vault, la instancia de Autonomous Database puede tardar hasta 12 horas en recoger el último valor del secreto.

Ejecute DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL para refrescar inmediatamente una credencial de secreto de almacén. Este procedimiento obtiene la última versión del secreto de almacén de Oracle Cloud Infrastructure Vault. Consulte procedimiento REFRESH_VAULT_CREDENTIAL para obtener más información.