Documentation Oracle Cloud Infrastructure

Utilisation d'informations d'identification de clés secrètes de coffre avec Azure Key Vault

Décrit à l'aide des informations d'identification de clé secrète de coffre, où la clé secrète d'informations d'identification (mot de passe) est stockée dans Azure Key Vault.

Vous pouvez utiliser des informations d'identification de clé secrète de coffre pour accéder aux ressources cloud, pour accéder à d'autres bases de données avec des liens de base de données ou pour utiliser les informations d'identification de type nom utilisateur/mot de passe requises.

Rubrique parent : Utilisation des informations d'identification de clé secrète de coffre

Prérequis pour la création d'informations d'identification de clés secrètes de coffre avec Azure Key Vault

Décrit les prérequis nécessaires pour utiliser les informations d'identification de clé secrète de coffre avec Azure Key Vault.

Pour créer des informations d'identification de clé secrète de coffre dans lesquelles la clé secrète est stockée dans Azure Key Vault, effectuez d'abord les prérequis requis.

  1. Activez l'authentification du principal de service Azure pour fournir l'accès à la clé (mot de passe) dans Azure Key Vault.

    Pour plus d'informations, reportez-vous à Activation du principal de service Azure.

  2. Créez un coffre de clés Azure et créez une clé secrète (mot de passe) dans le coffre.

    Pour plus d'informations, reportez-vous à A propos d'Azure Key Vault.

  3. Configurez et activez le principal de service Azure pour fournir l'accès à la clé secrète dans Azure Key Vault.

    Dans le portail Azure, vous devez accorder un accès en lecture à un principal de service pour accéder à la clé secrète.

    1. Dans le portail Azure, accédez à la ressource "Key Vault" qui contient la clé secrète que vous avez créée.
    2. Sélectionnez Stratégies d'accès, puis Créer.
    3. Sous Droits d'accès, sélectionnez le droit d'accès Obtenir dans la section Autorisations secrètes.
    4. Sous Principal, saisissez le nom du principal de service dans le champ de recherche et sélectionnez le résultat approprié.
    5. Cliquez sur Suivant.
    6. Sous Vérifier + créer, vérifiez les modifications apportées à la stratégie d'accès et cliquez sur Créer pour enregistrer la stratégie d'accès.
    7. De retour sur la page des stratégies d'accès, vérifiez que votre stratégie d'accès est répertoriée.

    Pour plus d'informations, reportez-vous à Affectation d'une stratégie d'accès Key Vault.

Création d'informations d'identification de clé secrète de coffre avec Azure Key Vault

Décrit les étapes à suivre pour utiliser un coffre de clés Azure avec des informations d'identification de clé secrète de coffre.

Vous pouvez ainsi stocker une clé secrète dans Azure Key Vault et l'utiliser avec les informations d'identification que vous créez pour accéder aux ressources cloud ou à d'autres bases de données.

Pour créer des informations d'identification de clé secrète de coffre dans lequel la clé secrète est stockée dans Azure Key Vault, procédez comme suit :

  1. Créez le coffre de clés Azure, la clé secrète et les stratégies d'accès pour autoriser votre instance Autonomous Database à accéder aux clés secrètes dans un coffre de clés Azure.
  2. Utilisez DBMS_CLOUD.CREATE_CREDENTIAL pour créer les informations d'identification de clé secrète de coffre.

    Par exemple :

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name  => 'AZURE_SECRET_CRED',
    params  => JSON_OBJECT( 
      'username'          value 'azure_user',
      'secret_id'         value 'sales-secret',
      'azure_vault_name'  value 'azure_keyvault_name' ));
END;
/

    Où :

    • username : nom utilisateur des informations d'identification d'origine. Il peut s'agir du nom utilisateur de tout type d'informations d'identification de nom utilisateur/mot de passe.

    • secret_id : nom de la clé secrète.

    • azure_vault_name : nom du coffre dans lequel se trouve la clé secrète.

    Pour créer des informations d'identification de clé secrète de coffre, vous devez disposer du privilège EXECUTE sur le package DBMS_CLOUD.

    Pour plus d'informations, reportez-vous à Procédure CREATE_CREDENTIAL.

  3. Utilisez les informations d'identification pour accéder à une ressource cloud.

    Par exemple :

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
     'AZURE_SECRET_CRED', 
     'https://adb_user.blob.core.windows.net/adb/' );
Remarque

Toutes les 12 heures, la clé secrète (mot de passe) est actualisée à partir du contenu dans Azure Key Vault. Si vous modifiez la valeur de clé secrète dans Azure Key Vault, la récupération de la dernière valeur de clé secrète par l'instance Autonomous Database peut prendre jusqu'à 12 heures.

Exécutez DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL pour actualiser immédiatement les informations d'identification de clé secrète de coffre. Cette procédure obtient la dernière version de la clé secrète de coffre à partir d'Azure Key Vault. Pour plus d'informations, reportez-vous à Procédure REFRESH_VAULT_CREDENTIAL.