11 Almacén de credenciales (vista previa)

En este capítulo se trata el uso del almacén de credenciales en Oracle AI Data Platform Workbench para crear, gestionar y aprovisionar credenciales de acceso.

Temas:

• Acerca del almacén de credenciales (vista previa)
• Crear credenciales (vista previa)
• Uso de credenciales almacenadas en un bloc de notas (vista previa)
• Modificar credenciales (vista previa)
• Compartir credenciales (vista previa)
• Suprimir credenciales (vista previa)
• Ver detalles de credencial (vista previa)
• Ver historial de almacén de credenciales (vista previa)

Acerca del almacén de credenciales (vista previa)

El almacén de credenciales en Oracle AI Data Platform Workbench permite crear, gestionar y aprovisionar el acceso a las credenciales.

Puede acceder a la página Almacén de credenciales desde el panel de navegación izquierdo del área de trabajo de AI Data Platform. En la pantalla Almacén de credenciales, puede ver todas las credenciales existentes en la instancia del área de trabajo de AI Data Platform y un historial de cambios en el almacén de credenciales, incluida la creación, modificación y supresión de credenciales.

AI Data Platform Workbench le permite crear y almacenar credenciales para su uso como parte de sus blocs de notas y flujos de trabajo. Las credenciales incluyen claves, tokens o contraseñas que se utilizan para acceder a orígenes fuera del área de trabajo de AI Data Platform, como nubes, bases de datos o API. El almacén de credenciales proporciona una forma segura de crear y almacenar credenciales, gestionar permisos para quién puede acceder a las credenciales y dónde, y una forma de ver los logs de auditoría de cómo se utilizan las credenciales.

Las credenciales se gestionan con controles de acceso estrictos para garantizar un uso seguro y autorizado. Las operaciones del almacén de credenciales se registran en los logs de auditoría de AI Data Platform Workbench para garantizar el cumplimiento de las normativas y los requisitos de conformidad aplicables.

El almacén de credenciales de AI Data Platform Workbench utiliza los siguientes tipos de credenciales:

• Tokens secretos: esta categoría de credenciales permite acceder a servicios de terceros, como las API. Una credencial de tipo token secreto es de formato libre y requiere que proporcione claves y pares de valores para almacenar los nombres de campo y sus valores.
• Referencias de OCI Vault: puede almacenar referencias a secretos de OCI Vault existentes para que puedan utilizar API de utilidades para recuperar secretos del almacén. AI Data Platform Workbench no almacena el valor secreto, sino que lo accede de forma segura cuando es necesario.

Requisitos

Para crear credenciales en el área de trabajo de AI Data Platform, necesita el permiso CREATE_CREDENTIAL en el nivel de catálogo maestro. Para obtener más información, consulte Permisos de catálogo maestro.

También debe asegurarse de que las siguientes políticas de IAM están configuradas en el compartimento adecuado:

Para referencias de almacén:

allow any-user to read secret-bundles in compartment id <Secret_Compartment_OCID> where all { request.principal.type = 'aidataplatform', request.principal.id = target.secret.system-tag.orcl-aidp.governingAidpId }  

Para claves de cifrado personalizadas:

allow any-user to use keys in compartment id <Key_Compartment_OCID> where request.principal.type = 'aidataplatform' 

Casos de Uso del Almacén de Credenciales

El almacén de credenciales se puede utilizar en una variedad de escenarios:

• Integración de sistema externo: almacene los tokens o credenciales de API necesarios para conectarse a sistemas de terceros, como plataformas SaaS, bases de datos u orígenes de datos.
• Autenticación de pipeline y flujo de trabajo: haga referencia a secretos de forma segura en pipelines de datos, trabajos o flujos de trabajo sin credenciales de codificación fija.
• Gestión secreta centralizada: mantén una única fuente de datos para las credenciales que se utilizan en equipos y entornos.
• Integración de Enterprise Vault: utilice las referencias de Vault para aprovechar los sistemas de gestión de secretos empresariales existentes y seguir integrándose con los flujos de trabajo.

Mejores prácticas

Para garantizar la seguridad y la capacidad de mantenimiento al utilizar el almacén de credenciales, siga estas mejores prácticas:

• Evitar secretos de codificación fija: almacene siempre los valores confidenciales en el almacén de credenciales en lugar de embeberlos en código, configuraciones o scripts.
• Usar referencias de almacén cuando sea posible: para datos altamente confidenciales o regulados, prefiera las referencias de almacén.
• Limitar acceso con principio de privilegio mínimo: permite compartir secretos solo con usuarios que requieren acceso y evitar permisos amplios o innecesarios.
• Utilizar reglas de nomenclatura descriptivas: asigne un nombre a los secretos claramente (por ejemplo, openai-api-token-prod) para que sean fáciles de identificar y gestionar.
• Rotar secretos regularmente: actualice periódicamente tokens y credenciales para reducir el riesgo de compromiso.
• Secretos separados por entorno: mantenga distintos secretos para los entornos de desarrollo, temporal y producción a fin de evitar un uso indebido accidental.
• Auditoría y uso de revisión: revise periódicamente quién tiene acceso a los secretos y dónde se están utilizando.

Al utilizar eficazmente el almacén de credenciales, los equipos pueden mejorar la estrategia de seguridad, simplificar la gestión de credenciales y permitir integraciones escalables en AI Data Platform.

Crear credenciales (vista previa)

Puede crear credenciales para acceder a otros orígenes seleccionando un tipo de credencial que proporcione los detalles necesarios.

1. Haga clic en Crear en el panel de navegación de la izquierda y seleccione Credenciales. También puede navegar al almacén de credenciales y hacer clic en Crear credenciales.
2. Proporcione un nombre y una descripción.
3. En la lista desplegable Tipo de credencial, seleccione el tipo de credencial adecuado.
   • Seleccione Token secreto para almacenar un valor directamente.
   • Seleccione Referencia de almacén para hacer referencia a un secreto de almacén externo.
4. Proporcione las credenciales necesarias en los campos proporcionados.
   • En Token secreto, proporcione el nombre de clave y el valor del secreto.
   • Para Referencia de almacén, proporcione el OCID del almacén.
5. Configure los valores de acceso o visibilidad, si corresponde.
6. Haga clic en Create.

Uso de credenciales almacenadas en un bloc de notas (vista previa)

Puede llamar a las credenciales almacenadas en el código de un bloc de notas mediante la utilidad helpptuils.

1. Vaya a su bloc de notas.
2. Identifique el campo que necesita un valor confidencial. Por ejemplo, una clave o contraseña de API.
3. Utilice helpputils para obtener la credencial almacenada:
   • Para un valor secreto, utilice My_key = myKey = aidputils.secrets.get(name=<<cred_name>>, key="key_name")
   • Para una referencia de almacén, utilice myKey = aidputils.secrets.get(name=<<cred_name>>, key=VaultSecretReference)
4. Ejecute el Notebook. El área de trabajo de AI Data Platform resuelve el secreto en tiempo de ejecución.

Modificar credenciales (vista previa)

Puede modificar el nombre, la descripción o la configuración de las credenciales en el almacén de credenciales para mantenerlas actualizadas.

1. En la página inicial, vaya al almacén de credenciales.
2. Junto a la credencial que desea modificar, haga clic en Acciones y, a continuación, en Editar. También puede hacer clic en el nombre de la credencial y, a continuación, en Editar en la parte superior derecha.
3. Modifique el nombre, la descripción o los detalles de configuración según sea necesario.
4. Haga clic en Guardar.

Compartir credenciales (vista previa)

Puede compartir credenciales en el almacén de credenciales y gestionar quién puede acceder a ellas.

1. En la página inicial, vaya al almacén de credenciales.
2. Haga clic en el nombre de la credencial que desea compartir.
3. Haga clic en el separador Permisos.
4. Agregue o modifique permisos para la credencial según sea necesario.
5. Haga clic en Guardar.

Suprimir credenciales (vista previa)

Puede suprimir credenciales del almacén de credenciales para eliminar credenciales no utilizadas u obsoletas.

1. En la página inicial, vaya al almacén de credenciales.
2. Junto a la credencial que desea modificar, haga clic en Acciones y, a continuación, en Suprimir. También puede hacer clic en el nombre de la credencial y, a continuación, en Suprimir en la parte superior derecha.
3. Seleccione Confirmar supresión de credencial.
4. Haga clic en Suprimir.

Ver detalles de credencial (vista previa)

Puede ver los detalles de configuración, uso y permiso de las credenciales en el almacén de credenciales.

1. En la página inicial, haga clic en Almacén de credenciales en el panel de navegación de la izquierda.
2. Haga clic en el nombre de la credencial para la que desea ver los detalles.
3. Haga clic en el separador Uso para ver el historial de cómo y cuándo se ha utilizado una credencial y quién la ha utilizado.
4. Haga clic en el separador Permisos para ver qué usuarios o roles pueden acceder a esta credencial y su nivel de acceso.

Ver historial de almacén de credenciales (vista previa)

Puede ver un historial completo de credenciales en la instancia de Oracle AI Data Platform Workbench, incluida la creación, modificación y supresión.

1. En la página inicial, haga clic en Almacén de credenciales en el panel de navegación de la izquierda.
2. Haga clic en el separador Historial.
3. Utilice la lista desplegable Tipo o el campo Buscar para filtrar los eventos de credenciales mostrados.
4. Haga clic en un ID de evento para ver más detalles de ese evento específico.