Documentazione dell'infrastruttura Oracle Cloud

Usa credenziale segreto vault con GCP Secret Manager

Descrive utilizzando le credenziali segrete del vault, in cui il segreto delle credenziali (password) viene memorizzato come segreto in GCP Secret Manager.

È possibile utilizzare le credenziali segrete del vault per accedere alle risorse cloud, per accedere ad altri database con collegamenti al database o utilizzare qualsiasi posizione in cui siano necessarie credenziali di tipo nome utente/password.

Argomento padre: Usa credenziali segrete vault

Prerequisiti per creare le credenziali segrete del vault con GCP Secret Manager

Descrive i prerequisiti necessari per utilizzare le credenziali segrete del vault con GCP Secret Manager.

Per creare le credenziali segrete del vault in cui il segreto è memorizzato in GCP Secret Manager, eseguire prima i prerequisiti richiesti.

  1. Creare un segreto in GCP Secret Manager.
  2. Abilita l'autenticazione dell'account del servizio Google per fornire l'accesso a GCP Secret Manager.

    Nella console di Google Cloud è necessario concedere l'accesso in lettura al segreto alla credenziale di autenticazione del principal.

    1. Andare alla pagina Gestione segreti nella console di Google Cloud.
    2. Nella pagina Gestione segreta fare clic sulla casella di controllo accanto al nome del segreto.
    3. Se non è già aperto, fare clic su Mostra pannello informazioni per aprire il pannello.
    4. Nel pannello informazioni fare clic su Aggiungi principal.
    5. Nell'area di testo Nuovi principal immettere il nome dell'account di servizio da aggiungere.
    6. Nell'elenco a discesa Selezionare un ruolo scegliere Secret Manager, quindi Secret Manager Secret Accessor.

Crea credenziale segreta vault con GCP Secret Manager

Descrive i passi per utilizzare un segreto di GCP Secret Manager per memorizzare i segreti da utilizzare con le credenziali utilizzate per accedere alle risorse cloud.

Ciò consente di memorizzare un segreto in GCP Secret Manager e di utilizzarlo con le credenziali create per accedere alle risorse cloud o per accedere ad altri database.

Per creare le credenziali segrete del vault in cui è memorizzato il segreto in GCP Secret Manager, effettuare le operazioni riportate di seguito.

  1. Creare un accessor segreto del manager dei segreti per consentire al principal Autonomous Database di accedere ai segreti in GCP Secret Manager.
  2. Abilita l'autenticazione basata sull'account del servizio Google per fornire l'accesso al segreto in GCP Secret Manager.
  3. Usare DBMS_CLOUD.CREATE_CREDENTIAL per creare una credenziale segreta del vault per accedere al segreto di GCP Secret Manager.

    Ad esempio:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name      => 'GCP_SECRET_CRED',
    params               => JSON_OBJECT( 
          'username'   value 'gcp_user1',
          'secret_id'  value 'my-secret',
          'gcp_project_id' value 'my-sample-project-191923' ));
END;
/

    Posizione:

    • username: è il nome utente della credenziale originale. Può essere il nome utente di qualsiasi tipo di credenziale nome utente/password.

    • secret_id: è il nome segreto. Quando si memorizza la password mysecret nel vault, utilizzare il nome del segreto come valore del parametro secret_id.

    • gcp_project_id: è l'ID del progetto in cui si trova il segreto.

    Per ulteriori informazioni, vedere CREATE_CREDENTIAL Procedure.

  4. Utilizzare la credenziale per accedere a una risorsa cloud.

    Ad esempio:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
           'GCP_SECRET_CRED',
           'https://bucketname.storage.googleapis.com/' );
Nota

Ogni 12 ore il segreto (password) viene aggiornato dal contenuto in GCP Secret Manager. Se si modifica il valore del segreto in GCP Secret Manager, possono essere necessarie fino a 12 ore prima che l'istanza di Autonomous Database rilevi il valore del segreto più recente.

Eseguire DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL per aggiornare immediatamente una credenziale segreta del vault. Questa procedura recupera la versione più recente del segreto vault da GCP Secret Manager. Per ulteriori informazioni, vedere REFRESH_VAULT_CREDENTIAL Procedure.