Documentazione di Oracle Cloud Infrastructure

Creazione di un segreto

Scopri come creare un segreto in un vault OCI. I segreti sono credenziali quali password, certificati, chiavi SSH o token di autenticazione utilizzati con i servizi OCI.

    1. Nella pagina della lista Segreti selezionare Crea segreto. Se è necessaria assistenza per trovare la pagina di elenco, vedere Elenca segreti.
    2. Selezionare il compartimento in cui si desidera creare il segreto.
    3. Immettere un nome per identificare il segreto. Evitare di fornire informazioni riservate.
    4. Facoltativamente, è possibile immettere una descrizione per facilitare l'identificazione del segreto.

    5. Selezionare la chiave di cifratura principale che si desidera utilizzare per cifrare il contenuto del segreto durante l'importazione nel vault. Se la chiave si trova in un compartimento diverso, utilizzare il selettore Compartimento chiave di cifratura per specificare il compartimento della chiave di cifratura. Tenere presente quanto riportato di seguito.

      • La chiave deve trovarsi nello stesso vault del segreto
      • Selezionare una chiave simmetrica per creare il segreto. Le chiavi asimmetriche non sono supportate per la creazione dei segreti.
    6. Selezionare uno dei seguenti metodi per generare il segreto:
      • Generazione automatica dei segreti: genera automaticamente i segreti. Se abilitata, non è necessario fornire il contenuto segreto. Inoltre, quando si crea una nuova versione del segreto, questa viene generata automaticamente in base al tipo di generazione del segreto e al modello di generazione.
      • Generazione manuale dei segreti: consente di fornire manualmente il contenuto dei segreti.
    7. Se è stata selezionata l'opzione Generazione automatica segreti, selezionare il tipo di generazione.
      • Se è stato selezionato Passphrase, selezionare il contesto di generazione corrispondente, facoltativamente fornire la lunghezza passphrase e il formato segreto.
      • Se è stata selezionata l'opzione Chiave SSH, selezionare il contesto di generazione corrispondente e facoltativamente fornire il formato segreto.
      • Se è stato selezionato Byte, selezionare il contesto di generazione corrispondente e facoltativamente fornire il formato segreto.
    8. Se è stata selezionata l'opzione Generazione manuale dei segreti, specificare quanto segue:
      • Nel Modello tipo segreto, specificare il formato del contenuto segreto fornito selezionando un modello. È possibile fornire contenuti segreti in testo normale quando si utilizza la console per creare una versione del segreto vault o del segreto vault, ma il contenuto del segreto deve essere codificato in base64 prima di essere inviato al servizio. La console codifica automaticamente i contenuti dei segreti in testo normale.
      • In Sommario segreto, immettere il contenuto del segreto. La dimensione massima consentita per un bundle segreto è 25 KB.

    9. Facoltativamente, è possibile abilitare la replica tra più aree utilizzando lo switch di attivazione/disattivazione per questa funzione. È possibile replicare il segreto in un massimo di 3 aree di destinazione. Dopo aver spostato lo switch di attivazione/disattivazione, fornire le informazioni riportate di seguito.

      • Area di destinazione: selezionare l'area contenente il vault di destinazione per il segreto replicato.
      • Vault di destinazione: selezionare il vault di destinazione per il segreto replicato.
      • Chiave: selezionare la chiave di cifratura che si desidera utilizzare per cifrare il contenuto del segreto nel vault di destinazione.

      Per replicare il segreto in più vault, selezionare Aggiungi elemento e fornire i dettagli dell'area, del vault e della chiave per il vault di destinazione.

    10. Nella sezione Rotazione segreta fornire i dettagli riportati di seguito.
      1. Tipo di sistema di destinazione: selezionare il tipo di sistema di destinazione come Autonomous Database o Funzione e fornire l'ID sistema di destinazione corrispondente.
      2. ID sistema di destinazione: l'ID sistema viene popolato automaticamente per il tipo di sistema di destinazione selezionato.
      3. Abilita rotazione automatica: selezionare la casella di controllo per attivare la rotazione automatica.
        Nota

        Se non si specificano il tipo e l'ID del sistema di destinazione, la casella di controllo non è abilitata per la rotazione automatica.
      4. Intervallo di rotazione: facoltativamente, selezionare l'intervallo di rotazione per aggiornare periodicamente il segreto.
    11. Per applicare una regola per gestire la modalità di utilizzo dei segreti vault, selezionare Opzioni avanzate, quindi selezionare Altra regola. Fornire le informazioni riportate di seguito nella scheda Regole. È possibile creare una regola relativa al riutilizzo dei contenuti segreti nelle versioni di un segreto oppure creare una regola che specifichi la scadenza del contenuto del segreto. Per ulteriori informazioni sulle regole, vedere Regole segrete.
      • Tipo di regola: selezionare Regola di riutilizzo sicuro o Regola di scadenza sicura. Al massimo, si può avere uno di ciascuno. Se si dispone già di una regola, ma si desidera aggiungerne un'altra, selezionare Altra regola.

      • Configurazione:

        • Per la regola di riutilizzo: selezionare questa opzione per applicare la regola di riutilizzo in modo che si applichi anche alle versioni dei segreti eliminati oppure consentire il riutilizzo dei contenuti segreti dalle versioni dei segreti eliminati.
        • Per la regola di scadenza: impostare la frequenza con cui si desidera che i contenuti segreti scadano e ciò che si desidera che accada alla scadenza della versione segreta o segreta. La scadenza delle singole versioni segrete è rappresentata da un periodo compreso tra 1 e 90 giorni che è possibile specificare con i pulsanti freccia o immettendo un numero. La scadenza del segreto stesso è rappresentata da un'ora e una data assolute comprese tra 1 e 365 giorni dall'ora e dalla data correnti. Specificare questa data utilizzando il selettore data. È possibile configurare i valori di scadenza per una o entrambe le versioni e il segreto del segreto. Si noti che è possibile cancellare l'intervallo di scadenza della versione segreta, ma è necessario eliminare l'intera regola di scadenza e ricominciare per impostare un'ora assoluta per scadere il segreto.
    12. Facoltativamente, per applicare le tag al segreto, selezionare Tag e quindi Aggiungi tag. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag definita, è necessario disporre delle autorizzazioni per utilizzare lo spazio di nomi tag. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione (è possibile applicare i tag in seguito) o chiedi all'amministratore.
    13. Selezionare Crea segreto.

  • Utilizzare il comando oci vault secret create-base64 per creare un segreto in un vault.

    Nota

    È necessario specificare una chiave simmetrica per cifrare il segreto durante l'importazione nel vault. Non è possibile cifrare i segreti con chiavi asimmetriche. Inoltre, la chiave deve esistere nel vault specificato.
    oci vault secret create-base64 --compartment-id <target_compartment_id> --secret-name <secret_name> --vault-id <target_vault_id> --description <secret_description_text> --key-id <encryption_key_id> --secret-content-content <base64_encoded_secret_content> --secret-content-name <unique_content_name> --secret-content-stage <secret_version_rotation_state> [OPTIONS]

    Ad esempio:

    
oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --secret-content-content bXlwYXNzd29yZA== --secret-content-name testpassword1 --secret-content-stage CURRENT

    Evitare di inserire informazioni riservate.

    Per abilitare la generazione e la rotazione automatiche dei segreti, vedere l'esempio seguente:

    oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --enable-auto-generation true --secret-generation-context file://sample_generation_file.json --rotation-config file://sample_rotation.json

    Esempio di contenuto nel file passphrase.json:

    {
	"generation_type": "%GENERATED_PASSPHRASE%",
	"generation_template": "DBAAS_DEFAULT_PASSWORD",
	"secret_template": {
		"username": "ORACLE",
		"password": "<example_password>",
}

    Esempio di contenuto nel file sample_rotation.json:

    {
	"rotationInterval": "P30D",
	"isScheduledRotationEnabled": true,
	"target_system_details": {
		"target_system_type": "ADB",
		"adbId": "ocid1.autonomousdatabase.<unique_ID>"
	}
}

    Per un elenco completo dei parametri e dei valori per i comandi della CLI, vedere il manuale CLI Command Reference.

  • Utilizzare l'API CreateSecret con l'endpoint di gestione per creare un segreto nel vault.

    Nota

    L'endpoint di gestione viene utilizzato per le operazioni di gestione, tra cui Crea, Aggiorna, Elenca, Recupera ed Elimina. L'endpoint di gestione è anche denominato URL del piano di controllo o endpoint KMSMANAGEMENT.

    L'endpoint crittografico viene utilizzato per operazioni di crittografia tra cui Cifra, Decifra, Genera chiave di cifratura dati, Firma e Verifica. L'endpoint crittografico viene anche definito URL del piano dati o endpoint KMSCRYPTO.

    È possibile trovare gli endpoint di gestione e crittografici nei metadati dei dettagli di un vault. Per istruzioni, vedere Recupero dei dettagli di un vault.

    Per gli endpoint regionali per le API di gestione delle chiavi, gestione dei segreti e recupero dei segreti, vedere Riferimento e endpoint delle API.

    Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.