Documentation sur Oracle Cloud Infrastructure

Utiliser les données d'identification de clé secrète de la chambre forte avec Oracle Cloud Infrastructure Vault

Décrit à l'aide des données d'identification de clé secrète de chambre forte, où la clé secrète (mot de passe) est stockée en tant que clé secrète dans Oracle Cloud Infrastructure Vault.

Vous pouvez utiliser les données d'identification de clé secrète de la chambre forte pour accéder aux ressources en nuage, pour accéder à d'autres bases de données avec des liens de base de données ou utiliser n'importe où les données d'identification de type nom d'utilisateur/mot de passe sont requises.

Rubrique parent : Utiliser les données d'identification de la clé secrète de la chambre forte

Préalables à la création des données d'identification de clé secrète de chambre forte avec Oracle Cloud Infrastructure Vault

Décrit les étapes préalables requises pour utiliser les données d'identification de clé secrète de chambre forte avec les clés secrètes Oracle Cloud Infrastructure Vault.

Pour créer les données d'identification de clé secrète de chambre forte dans lesquelles la clé secrète est stockée dans Oracle Cloud Infrastructure Vault, effectuez d'abord les préalables requis.

  1. Créez une chambre forte et créez une clé secrète dans la chambre forte avec Oracle Cloud Infrastructure Vault.

    Pour plus d'informations, voir les instructions pour créer une chambre forte et une clé secrète, Gestion des chambres fortes et Aperçu du service de gestion des clés.

  2. Configurez un groupe dynamique pour fournir l'accès à la clé secrète dans Oracle Cloud Infrastructure Vault.

    Créez un groupe dynamique pour l'instance de base de données de l'IA autonome dans laquelle vous voulez créer des données d'identification de clé secrète de chambre forte :

    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    2. Sous Identité, cliquez sur Domaines et sélectionnez un domaine d'identité (ou créez un nouveau domaine d'identité).
    3. Sous Domaine d'identité, cliquez sur Groupes dynamiques.
    4. Cliquez sur Créer un groupe dynamique et entrez un nom, une description et une règle.

      • Créez un groupe dynamique pour une base de données existante :

        Vous pouvez spécifier qu'une instance de base de données IA autonome fait partie du groupe dynamique. Le groupe dynamique dans l'exemple suivant inclut uniquement la base de données d'intelligence artificielle autonome dont l'OCID est spécifié dans le paramètre resource.id : 

        resource.id = 'your_Autonomous_Database_instance_OCID'

      • Créez un groupe dynamique pour une base de données qui n'a pas encore été provisionnée :

        Lorsque vous créez le groupe dynamique avant de provisionner ou de cloner une instance de base de données d'intelligence artificielle autonome, l'OCID de la nouvelle base de données n'est pas encore disponible. Dans ce cas, créez un groupe dynamique qui spécifie les ressources d'un compartiment donné : 

        resource.compartment.id = 'your_Compartment_OCID'
    5. Cliquez sur Créer.
  3. Écrivez des énoncés de politique pour le groupe dynamique afin de permettre l'accès aux ressources Oracle Cloud Infrastructure (clés secrètes).
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité, puis cliquez sur Politiques.
    2. Pour écrire des politiques pour le groupe dynamique que vous avez créé à l'étape précédente, cliquez sur Créer une politique, puis entrez un nom et une description.
    3. Utilisez l'option Afficher l'éditeur manuel de Générateur de politiques pour créer une politique.

      Par exemple, pour autoriser l'accès au groupe dynamique à lire une clé secrète spécifique dans un compartiment :

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name
   where target.secret.id='secret_OCID'

      Par exemple, pour autoriser l'accès au groupe dynamique à lire toutes les clés secrètes d'un compartiment :

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name

      Pour plus d'informations, voir Informations détaillées sur le service de chambre forte.

    4. Sélectionnez le groupe ou le groupe dynamique et sélectionnez l'emplacement.
    5. Cliquez sur Créer.

Créer des données d'identification de clé secrète de chambre forte avec le service de chambre forte pour Oracle Cloud Infrastructure

Décrit les étapes d'utilisation d'une clé secrète Oracle Cloud Infrastructure Vault avec des données d'identification.

Cela vous permet de stocker une clé secrète dans Oracle Cloud Infrastructure Vault et d'utiliser la clé secrète avec les données d'identification que vous créez pour accéder aux ressources en nuage ou à d'autres bases de données.

Pour créer des données d'identification de clé secrète de chambre forte où la clé secrète est stockée dans Oracle Cloud Infrastructure Vault :

  1. Activer l'authentification du principal de ressource pour fournir l'accès à une clé secrète dans Oracle Cloud Infrastructure Vault.
  2. Créez un groupe dynamique et définissez des politiques pour permettre à votre base de données d'IA autonome d'accéder aux clés secrètes dans Oracle Cloud Infrastructure Vault.
  3. Utilisez DBMS_CLOUD.CREATE_CREDENTIAL pour créer des données d'identification de clé secrète de chambre forte.

    Exemple :

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name   => 'OCI_SECRET_CRED',
    params            => JSON_OBJECT(
        'username'   value 'SCOTT',
        'secret_id'  value 'ocid1.vaultsecret.oc1.iad.example..aaaaaaaauq5ok5nq3bf2vwetkpqsoa' ));
END;
/

    Où :

    • username : Nom d'utilisateur des données d'identification initiales. Il peut s'agir du nom d'utilisateur de tout type de données d'identification de nom d'utilisateur ou de mot de passe, par exemple le nom d'utilisateur d'un utilisateur OCI Swift, le nom d'utilisateur requis pour accéder à une base de données avec un lien de base de données, etc.

    • secret_id : ID clé secrète de la chambre forte. Par exemple, lorsque vous stockez le mot de passe mysecret dans une clé secrète d'Oracle Cloud Infrastructure Vault, la valeur secret_id est l'OCID de la clé secrète de la chambre forte.

    Pour créer des données d'identification de clé secrète de chambre forte, vous devez disposer du privilège EXECUTE sur l'ensemble DBMS_CLOUD.

    Pour plus d'informations, voir ProcédureCREATE_CREDENTIAL.

  4. Utilisez les données d'identification pour accéder à une ressource en nuage.

    Exemple :

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
    'OCI_SECRET_CRED',
    'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/' );
Note

Toutes les 12 heures, la clé secrète (mot de passe) est actualisée à partir du contenu d'Oracle Cloud Infrastructure Vault. Si vous modifiez la valeur de la clé secrète dans Oracle Cloud Infrastructure Vault, il peut falloir jusqu'à 12 heures pour que l'instance de base de données autonome avec intelligence artificielle collecte la dernière valeur de clé secrète.

Exécutez DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL pour actualiser immédiatement les données d'identification d'une clé secrète de chambre forte. Cette procédure obtient la dernière version de la clé secrète de chambre forte à partir d'Oracle Cloud Infrastructure Vault. Pour plus d'informations, voir ProcédureREFRESH_VAULT_CREDENTIAL.