Utiliser les données d'identification de clé secrète de chambre forte avec AWS Secrets Manager

Décrit les préalables requis pour utiliser les données d'identification de clé secrète de chambre forte avec AWS Secrets Manager.

1. Créez un secret avec AWS Secrets Manager et copiez l'ARN secret AWS.

   Pour plus d'informations, voir Gestionnaire de clés secrètes AWS.

2. La gestion AWS est préalable à l'utilisation de noms de ressource Amazon (ARN).

   Pour plus d'informations, voir Exécuter les conditions requises de la gestion AWS pour utiliser des noms de ressource Amazon (ARN).

3. Activer l'authentification du principal AWS pour fournir l'accès à la clé secrète dans AWS Secrets Manager.

   Par exemple, sur l'instance Autonomous AI Database exécutée :

   BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(                                     
             provider => 'AWS',
             params =>
                JSON_OBJECT( 
                   'aws_role_arn' value 'arn:aws:iam::123456:role/AWS_ROLE_ARN'));
   END; 
   /

   Pour plus d'informations, voir Procédure ENABLE_PRINCIPAL_AUTH et À propos de l'utilisation de noms de ressource Amazon (ARN) pour accéder aux ressources AWS.

4. Configurez AWS pour fournir les autorisations permettant aux noms de ressource Amazon (ARN) d'accéder à la clé secrète dans AWS Secrets Manager.

   Sur la console AWS, vous devez accorder l'accès en lecture à la clé secrète aux données d'identification d'authentification principales.

   1. Dans la console AWS, naviguez jusqu'à IAM et sélectionnez Rôles dans la gestion des accès.
   2. Sélectionnez le rôle.
   3. Dans l'onglet Autorisation, cliquez sur Ajouter des autorisations → créer une politique insérée.
   4. Dans la section Service, sélectionnez gestionnaire de clés secrètes comme service.
   5. Dans la section Action, sélectionnez le niveau d'accès Lecture.
   6. Dans la section Ressources, cliquez sur Ajouter un ARN, spécifiez un ARN pour la clé secrète et cliquez sur Ajouter → cliquez sur Vérifier la politique → donnez un nom de politique → cliquez sur créer la politique.
   7. De retour dans l'onglet Permission, vérifiez que la stratégie en ligne est associée.

   Pour plus d'informations, voir Utiliser des noms de ressource Amazon (ARN) pour accéder aux ressources AWS et Exemples de politique d'autorisation pour AWS Secrets Manager.

Décrit les étapes d'utilisation d'une clé secrète AWS Secrets Manager avec des données d'identification.

1. Créez une clé secrète dans AWS Secrets Manager et créez une politique en ligne pour permettre à votre base de données Autonomous AI Database d'accéder aux clés secrètes dans AWS Secrets Manager.
   Pour plus d'informations, voir Préalables à la création de données d'identification de clé secrète de chambre forte avec AWS Secrets Manager.
2. Utilisez DBMS_CLOUD.CREATE_CREDENTIAL pour créer des données d'identification de clé secrète de chambre forte pour accéder à la clé secrète du gestionnaire de clés secrètes AWS.

   Exemple :

   BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
       credential_name      => 'AWS_SECRET_CRED',
       params               => JSON_OBJECT( 
            'username'   value 'access_key',
            'secret_id'  value 'arn:aws:secretsmanager:region:account-ID:secret:secret_name' ));
   END;
   /

   Où :

   • username : Nom d'utilisateur des données d'identification initiales. Il peut s'agir du nom d'utilisateur de tout type de données d'identification de nom d'utilisateur ou de mot de passe.

   • secret_id : Il s'agit de la clé secrète de chambre forte AWS ARN.

   Pour créer des données d'identification de clé secrète de chambre forte, vous devez disposer du privilège EXECUTE sur l'ensemble DBMS_CLOUD.

   Pour plus d'informations, voir ProcédureCREATE_CREDENTIAL.

3. Utilisez les données d'identification pour accéder à une ressource en nuage.

   Exemple :

   SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
        'AWS_SECRET_CRED', 
        'https://s3-us-west-2.amazonaws.com/adb/' );