Descrive i prerequisiti necessari per utilizzare le credenziali segrete del vault con AWS Secrets Manager.

1. Crea un segreto con AWS Secrets Manager e copia l'ARN segreto AWS.

   Per ulteriori informazioni, vedere Gestione segreti AWS.

2. Eseguire i prerequisiti di gestione AWS per utilizzare i nomi delle risorse Amazon (ARN).

   Per ulteriori informazioni, vedere Eseguire i prerequisiti di gestione AWS per l'utilizzo dei nomi delle risorse Amazon (ARN).

3. Abilita l'autenticazione del principal AWS per fornire l'accesso al segreto in AWS Secrets Manager.

   Ad esempio, nell'istanza di Autonomous Database eseguita:

   BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(                                     
             provider => 'AWS',
             params =>
                JSON_OBJECT( 
                   'aws_role_arn' value 'arn:aws:iam::123456:role/AWS_ROLE_ARN'));
   END; 
   /

   Per ulteriori informazioni, vedere Procedura ENABLE_PRINCIPAL_AUTH e Informazioni sull'uso dei nomi delle risorse Amazon (ARN) per accedere alle risorse AWS.

4. Configura AWS per fornire le autorizzazioni per i nomi delle risorse Amazon (ARN) per accedere al segreto in AWS Secrets Manager.

   Nella console AWS, è necessario concedere l'accesso in lettura al segreto alla credenziale di autenticazione del principal.

   1. Nella console AWS, passare a IAM e selezionare Ruoli in Access Management.
   2. Selezionare il ruolo.
   3. Nella scheda Autorizzazione, fare clic su Aggiungi autorizzazioni → Crea criterio in linea.
   4. Nella sezione Servizio, selezionare gestore segreto come servizio.
   5. Nella sezione Azione selezionare il livello di accesso Lettura.
   6. Nella sezione Risorse fare clic su Aggiungi ARN, specificare ARN per il segreto e fare clic su Aggiungi → fare clic su Rivedi il criterio → assegnare un nome al criterio → fare clic su Crea criterio.
   7. Tornare alla scheda Autorizzazione e verificare che il criterio in linea sia allegato.

   Per ulteriori informazioni, vedere Usa i nomi delle risorse Amazon (ARN) per accedere alle risorse AWS e Esempi di criteri di autorizzazione per AWS Secrets Manager.

Descrive i passi per utilizzare un segreto di AWS Secrets Manager con le credenziali.

1. Crea un segreto in AWS Secrets Manager e crea un criterio in linea per consentire al tuo Autonomous Database di accedere ai segreti in AWS Secrets Manager.
   Per ulteriori informazioni, vedere Prerequisiti per creare le credenziali segrete del vault con AWS Secrets Manager.
2. Utilizzare DBMS_CLOUD.CREATE_CREDENTIAL per creare una credenziale segreta del vault per accedere al segreto di AWS Secrets Manager.

   Ad esempio:

   BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
       credential_name      => 'AWS_SECRET_CRED',
       params               => JSON_OBJECT( 
            'username'   value 'access_key',
            'secret_id'  value 'arn:aws:secretsmanager:region:account-ID:secret:secret_name' ));
   END;
   /

   Dove:

   • username: è il nome utente della credenziale originale. Può essere il nome utente di qualsiasi tipo di credenziali nome utente/password.

   • secret_id: è il segreto del vault AWS ARN.

   Per creare una credenziale segreta del vault, è necessario disporre del privilegio EXECUTE nel package DBMS_CLOUD.

   Per ulteriori informazioni, vedere CREATE_CREDENTIAL Procedura.

3. Utilizzare la credenziale per accedere a una risorsa cloud.

   Ad esempio:

   SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
        'AWS_SECRET_CRED', 
        'https://s3-us-west-2.amazonaws.com/adb/' );