Documentation Oracle Cloud Infrastructure

Utilisation d'informations d'identification de clé secrète de Vault avec Oracle Cloud Infrastructure Vault

Décrit l'utilisation des informations d'identification de clé secrète de coffre, dans laquelle la clé secrète (mot de passe) est stockée en tant que clé secrète dans Oracle Cloud Infrastructure Vault.

Vous pouvez utiliser des informations d'identification de clé secrète de coffre pour accéder aux ressources cloud, pour accéder à d'autres bases de données avec des liens de base de données ou pour utiliser les informations d'identification de type nom utilisateur/mot de passe requises.

Rubrique parent : Utilisation des informations d'identification de clé secrète de coffre

Prérequis pour la création d'informations d'identification de clé secrète de Vault avec Oracle Cloud Infrastructure Vault

Décrit les étapes prérequises requises pour utiliser les informations d'identification de clé secrète de coffre avec les clés secrètes Oracle Cloud Infrastructure Vault.

Pour créer des informations d'identification de clé secrète de coffre dans lequel la clé secrète est stockée dans Oracle Cloud Infrastructure Vault, commencez par effectuer les prérequis requis.

  1. Créez un coffre et une clé secrète dans le coffre avec Oracle Cloud Infrastructure Vault.

    Pour plus d'informations, reportez-vous aux instructions de création d'un coffre et d'une clé secrète, Gestion des coffres et Présentation de la gestion des clés.

  2. Configurez un groupe dynamique pour permettre l'accès à la clé secrète dans Oracle Cloud Infrastructure Vault.

    Créez un groupe dynamique pour l'instance Autonomous Database dans laquelle créer des informations d'identification de clé secrète de coffre :

    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité, sécurité.
    2. Sous Identité, cliquez sur Domaines et sélectionnez un domaine d'identité (ou créez un domaine d'identité).
    3. Sous Domaine d'identité, cliquez sur Groupes dynamiques.
    4. Cliquez sur Créer un groupe dynamique et entrez un nom, une description et une règle.

      • Créez un groupe dynamique pour une base de données existante :

        Vous pouvez indiquer qu'une instance Autonomous Database fait partie du groupe dynamique. Dans l'exemple suivant, le groupe dynamique inclut uniquement la base de données Autonomous Database dont l'OCID est indiqué dans le paramètre resource.id : 

        resource.id = 'your_Autonomous_Database_instance_OCID'

      • Créez un groupe dynamique pour une base de données qui n'a pas encore été provisionnée :

        Lorsque vous créez le groupe dynamique avant de provisionner ou de cloner une instance Autonomous Database, l'OCID de la nouvelle base de données n'est pas encore disponible. Dans ce cas, créez un groupe dynamique qui indique les ressources d'un compartiment donné : 

        resource.compartment.id = 'your_Compartment_OCID'
    5. Cliquez sur Créer.
  3. Ecrivez des instructions de stratégie pour le groupe dynamique afin d'autoriser l'accès aux ressources Oracle Cloud Infrastructure (clés secrètes).
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité, puis sur Stratégies.
    2. Pour écrire des stratégies pour le groupe dynamique que vous avez créé à l'étape précédente, cliquez sur Créer une stratégie, puis entrez un nom et une description.
    3. Utilisez l'option Afficher l'éditeur manuel du générateur de stratégies pour créer une stratégie.

      Par exemple, pour autoriser l'accès au groupe dynamique à lire une clé secrète spécifique dans un compartiment, procédez comme suit :

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name
   where target.secret.id='secret_OCID'

      Par exemple, pour autoriser l'accès au groupe dynamique à lire toutes les clés secrètes d'un compartiment :

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name

      Pour plus d'informations, reportez-vous à Détails du service Vault.

    4. Sélectionnez le groupe ou le groupe dynamique et sélectionnez l'emplacement.
    5. Cliquez sur Créer.

Création d'informations d'identification de clé secrète de coffre avec Oracle Cloud Infrastructure Vault

Décrit les étapes d'utilisation d'une clé secrète Oracle Cloud Infrastructure Vault avec des informations d'identification.

Vous pouvez ainsi stocker une clé secrète dans Oracle Cloud Infrastructure Vault et l'utiliser avec les informations d'identification que vous créez pour accéder aux ressources cloud ou à d'autres bases de données.

Pour créer des informations d'identification de clé secrète de coffre dans lequel la clé secrète est stockée dans Oracle Cloud Infrastructure Vault, procédez comme suit :

  1. Activez l'authentification de principal de ressource pour fournir l'accès à une clé secrète dans Oracle Cloud Infrastructure Vault.
  2. Créez un groupe dynamique et définissez des stratégies pour permettre à votre instance Autonomous Database d'accéder aux clés secrètes dans une instance Oracle Cloud Infrastructure Vault.
  3. Utilisez DBMS_CLOUD.CREATE_CREDENTIAL pour créer les informations d'identification de clé secrète de coffre.

    Par exemple :

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name   => 'OCI_SECRET_CRED',
    params            => JSON_OBJECT(
        'username'   value 'SCOTT',
        'secret_id'  value 'ocid1.vaultsecret.oc1.iad.example..aaaaaaaauq5ok5nq3bf2vwetkpqsoa' ));
END;
/

    Où :

    • username : nom utilisateur des informations d'identification d'origine. Il peut s'agir du nom utilisateur de tout type d'informations d'identification telles que le nom utilisateur d'un utilisateur OCI Swift, le nom utilisateur requis pour accéder à une base de données avec un lien de base de données, etc.

    • secret_id : ID de clé secrète du coffre. Par exemple, lorsque vous stockez le mot de passe mysecret dans une clé secrète dans Oracle Cloud Infrastructure Vault, la valeur secret_id est l'OCID de clé secrète du coffre.

    Pour créer des informations d'identification de clé secrète de coffre, vous devez disposer du privilège EXECUTE sur le package DBMS_CLOUD.

    Pour plus d'informations, reportez-vous à Procédure CREATE_CREDENTIAL.

  4. Utilisez les informations d'identification pour accéder à une ressource cloud.

    Par exemple :

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
    'OCI_SECRET_CRED',
    'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/' );
Remarque

Toutes les 12 heures, la clé secrète (mot de passe) est actualisée à partir du contenu dans Oracle Cloud Infrastructure Vault. Si vous modifiez la valeur de clé secrète dans Oracle Cloud Infrastructure Vault, la récupération de la dernière valeur de clé secrète par l'instance Autonomous Database peut prendre jusqu'à 12 heures.

Exécutez DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL pour actualiser immédiatement les informations d'identification de clé secrète de coffre. Cette procédure obtient la dernière version de la clé secrète de coffre à partir d'Oracle Cloud Infrastructure Vault. Pour plus d'informations, reportez-vous à Procédure REFRESH_VAULT_CREDENTIAL.