Usa credenziali segrete vault con AWS Secrets Manager

Descrive i prerequisiti necessari per utilizzare le credenziali segrete del vault con AWS Secrets Manager.

1. Crea un segreto con AWS Secrets Manager e copia l'ARN segreto AWS.

   Per ulteriori informazioni, vedere Gestione segreti AWS.

2. Eseguire i prerequisiti di gestione AWS per utilizzare i nomi delle risorse Amazon (ARN).

   Per ulteriori informazioni, vedere Eseguire i prerequisiti di gestione AWS per utilizzare i nomi delle risorse Amazon (ARN).

3. Abilita l'autenticazione del principal AWS per fornire l'accesso al segreto in AWS Secrets Manager.

   Ad esempio, nell'esecuzione dell'istanza di Autonomous Database:

   BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(                                     
             provider => 'AWS',
             params =>
                JSON_OBJECT( 
                   'aws_role_arn' value 'arn:aws:iam::123456:role/AWS_ROLE_ARN'));
   END; 
   /

   Per ulteriori informazioni, vedere ENABLE_PRINCIPAL_AUTH Procedure e Informazioni sull'uso dei nomi delle risorse Amazon (ARN) per accedere alle risorse AWS.

4. Imposta AWS per fornire le autorizzazioni per i nomi delle risorse Amazon (ARN) per accedere al segreto in AWS Secrets Manager.

   Nella console AWS, è necessario concedere l'accesso in lettura al segreto alla credenziale di autenticazione principale.

   1. Nella console AWS, vai a IAM e seleziona Ruoli in Gestione accessi.
   2. Selezionare il ruolo.
   3. Nella scheda Autorizzazione, fare clic su Aggiungi autorizzazioni → Crea criterio in linea.
   4. Nella sezione Servizio selezionare secret manager come servizio.
   5. Nella sezione Azione selezionare il livello di accesso Lettura.
   6. Nella sezione Risorse fare clic su Aggiungi ARN, specificare l'ARN per il segreto e fare clic su Aggiungi → fare clic su Rivedi il criterio → assegnare un nome al criterio → fare clic su Crea criterio.
   7. Tornare alla scheda Autorizzazione, verificare che il criterio in linea sia allegato.

   Per ulteriori informazioni, vedere Usa nomi di risorse Amazon (ARN) per accedere alle risorse AWS e Esempi di criteri sulle autorizzazioni per AWS Secrets Manager.

Descrive i passi per utilizzare un segreto di AWS Secrets Manager con le credenziali.

1. Crea un segreto in AWS Secrets Manager e crea un criterio in linea per consentire all'Autonomous Database di accedere ai segreti in AWS Secrets Manager.
   Per ulteriori informazioni, vedere Prerequisiti per creare le credenziali segrete del vault con AWS Secrets Manager.
2. Utilizzare DBMS_CLOUD.CREATE_CREDENTIAL per creare una credenziale segreta del vault per accedere al segreto di AWS Secrets Manager.

   Ad esempio:

   BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
       credential_name      => 'AWS_SECRET_CRED',
       params               => JSON_OBJECT( 
            'username'   value 'access_key',
            'secret_id'  value 'arn:aws:secretsmanager:region:account-ID:secret:secret_name' ));
   END;
   /

   Posizione:

   • username: è il nome utente della credenziale originale. Può essere il nome utente di qualsiasi tipo di credenziale nome utente/password.

   • secret_id: è il vault segreto AWS ARN.

   Per creare una credenziale segreta del vault, è necessario disporre del privilegio EXECUTE sul pacchetto DBMS_CLOUD.

   Per ulteriori informazioni, vedere CREATE_CREDENTIAL Procedure.

3. Utilizzare la credenziale per accedere a una risorsa cloud.

   Ad esempio:

   SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
        'AWS_SECRET_CRED', 
        'https://s3-us-west-2.amazonaws.com/adb/' );