Utilice el servicio Oracle Cloud Infrastructure Vault para guardar la contraseña del usuario de la base de datos en un secreto con una clave de cifrado. El servicio Vault permite almacenar y gestionar claves de cifrado y secretos para acceder de forma segura a los recursos. Tenga en cuenta que si cambia la contraseña de usuario de la base de datos, también debe actualizar el secreto con la nueva contraseña creando una nueva versión del secreto y actualizando el contenido.

Configuración de renovación gradual de contraseñas

Para las bases de datos Oracle 19c y posteriores, se recomienda definir un tiempo de renovación gradual de la contraseña, lo que le permite conectarse a la base de datos mediante las contraseñas antigua y nueva durante el período de tiempo de renovación gradual. Dado que las contraseñas antigua y nueva son válidas durante algún tiempo, se minimiza el tiempo de inactividad. Mediante una renovación gradual de la contraseña, puede evitar cualquier interrupción en el uso de las funciones de diagnóstico y gestión para sus bases de datos.

Para obtener información sobre el script SQL para crear un usuario de supervisión con los privilegios necesarios para supervisar la base de datos de Oracle Cloud, consulte Creación de credenciales de supervisión de Oracle Database para Database Management (KB57458) en My Oracle Support.

Para obtener información sobre el script SQL para crear un usuario con los privilegios necesarios para realizar tareas administrativas y de diagnóstico avanzado, consulte Creating the Oracle Database Management Advanced Diagnostics User and Administration User (KB84103) en My Oracle Support.

Para obtener información sobre el servicio Vault, sus conceptos y cómo crear almacenes, claves y secretos, consulte Vault.

Para obtener información sobre la función de renovación gradual de contraseñas, consulte Managing Gradual Database Password Rollover for Applications in Oracle Database Security Guide.

Para bases de datos de Oracle Cloud en Base Database Service, ExaDB-D y ExaDB-XS

1. Cree un punto final privado que actúe como punto de presencia de red de Database Management en la VCN en la que se puede acceder a la base de datos de Oracle Cloud.
2. Agregue reglas de seguridad de entrada y salida a grupos de seguridad de red (NSG) o listas de seguridad en la VCN de la base de datos de Oracle Cloud para permitir la comunicación entre el punto final privado de Database Management y la base de datos de Oracle Cloud.

Para bases de datos de Oracle Cloud en ExaDB-D y ExaDB-C@C

Permite activar la comunicación y la recopilación de datos mediante un agente de gestión. Debe asegurarse de que el agente de gestión 210403.1349 o posterior esté instalado en uno de los nodos del cluster de Exadata. Para la recopilación de métricas en el nivel de CDB, se necesita un agente de gestión 240628.1505 o posterior.

El agente de gestión instalado requiere:

• Acceso de red a Oracle Cloud Infrastructure.
• Acceso de red para conectarse a la base de datos de Oracle Cloud.

Tenga en cuenta que puede utilizar un punto final privado o un agente de gestión para activar la comunicación entre Database Management y las bases de datos de Oracle Cloud en ExaDB-D.

Para obtener información sobre cómo activar la comunicación entre Database Management y la base de datos de Oracle Cloud, consulte Activación de la comunicación entre Database Management y bases de datos de Oracle Cloud.

Para obtener información genérica sobre cómo instalar un agente de gestión, consulte Realización de requisitos para desplegar agentes de gestión e Instalación de agentes de gestión.

Para obtener información sobre cómo instalar un agente de gestión en Exadata Cloud, consulte Soporte de observabilidad y gestión para Exadata Cloud (PNEWS1338) en My Oracle Support.

Las credenciales de autenticación y firma, incluidas las claves privadas, los certificados y los certificados de confianza utilizados por la Seguridad de Capa de Transporte (TLS) se almacenan en una cartera, que se debe guardar como un secreto de servicio de almacén con una clave de cifrado. El secreto de cartera de base de datos se puede crear en el servicio Vault o al activar Diagnostics & Management. Si el secreto de cartera de base de datos se crea en el servicio Vault, se debe asociar la siguiente etiqueta de formato libre al secreto para que esté disponible para su uso en Database Management:

DBM_Wallet_Type: "DATABASE"

Los formatos de cartera de base de datos soportados son:

• Almacén de claves Java (JKS): para guardar una cartera de almacén de claves Java como secreto, debe introducir la contraseña del almacén de claves, el contenido del almacén de claves (archivo .jks), la contraseña del almacén de confianza, el contenido del almacén de confianza (archivo .jks) y el nombre distintivo del certificado (DN) para la cartera.
• Public-Key Cryptography Standards (PKCS) # 12: para guardar una cartera PKCS#12 como secreto, debe introducir la contraseña de la cartera, el contenido de la cartera (archivo .p12) y el DN de certificado para la cartera.

Tenga en cuenta que los formatos de cartera JKS y PKCS no están soportados en los dominios del Gobierno de EE. UU. Y solo está soportado el formato de cartera BCFKS.

Para obtener información sobre el servicio Vault, sus conceptos y cómo crear almacenes, claves y secretos, consulte Vault.