Usa credenziali segreto vault con Oracle Cloud Infrastructure Vault

Descrive l'uso delle credenziali segrete del vault, in cui il segreto (password) viene memorizzato come segreto in Oracle Cloud Infrastructure Vault.

È possibile utilizzare le credenziali segrete del vault per accedere alle risorse cloud, accedere ad altri database con database link o utilizzare ovunque siano necessarie le credenziali del tipo di nome utente o password.

Prerequisiti per creare le credenziali del segreto vault con Oracle Cloud Infrastructure Vault

Descrive i passi dei prerequisiti necessari per utilizzare le credenziali segrete del vault con i segreti di Oracle Cloud Infrastructure Vault.

Per creare le credenziali del segreto vault in cui il segreto è memorizzato in Oracle Cloud Infrastructure Vault, eseguire prima i prerequisiti necessari.

  1. Crea un vault e crea un segreto nel vault con Oracle Cloud Infrastructure Vault.

    Per ulteriori informazioni, vedere le istruzioni per la creazione di un vault e di un segreto, Gestione dei vault e Panoramica della gestione delle chiavi.

  2. Impostare un gruppo dinamico per fornire l'accesso al segreto in Oracle Cloud Infrastructure Vault.

    Creare un gruppo dinamico per l'istanza di Autonomous Database in cui si desidera creare una credenziale segreta del vault:

    1. Nella console di Oracle Cloud Infrastructure fare clic su Identità e sicurezza.
    2. In Identità fare clic su Domini e selezionare un dominio di Identity (o creare un nuovo dominio di Identity).
    3. In Dominio di Identity fare clic su Gruppi dinamici.
    4. Fare clic su Crea gruppo dinamico e immettere un nome, una descrizione e una regola.
      • Crea gruppo dinamico per un database esistente:

        È possibile specificare che un'istanza di Autonomous Database fa parte del gruppo dinamico. Il gruppo dinamico nell'esempio riportato di seguito include solo Autonomous Database il cui OCID è specificato nel parametro resource.id.

        resource.id = 'your_Autonomous_Database_instance_OCID'
      • Creare un gruppo dinamico per un database di cui non è stato ancora eseguito il provisioning:

        Quando si crea il gruppo dinamico prima di eseguire il provisioning o la copia di un'istanza di Autonomous Database, l'OCID per il nuovo database non è ancora disponibile. In questo caso, creare un gruppo dinamico che specifichi le risorse in un determinato compartimento:

        resource.compartment.id = 'your_Compartment_OCID'
    5. Fare clic su Crea.
  3. Scrivere istruzioni dei criteri per il gruppo dinamico per abilitare l'accesso alle risorse Oracle Cloud Infrastructure (segreti).
    1. Nella console di Oracle Cloud Infrastructure fare clic su Identity and Security e su Policy.
    2. Per scrivere i criteri per il gruppo dinamico creato nel passo precedente, fare clic su Crea criterio e immettere un nome e una descrizione.
    3. Utilizzare l'opzione Mostra editor manuale di Costruzione guidata criteri per creare un criterio.

      Ad esempio, per consentire l'accesso al gruppo dinamico per leggere un segreto specifico in un compartimento:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name
         where target.secret.id='secret_OCID'

      Ad esempio, per consentire l'accesso al gruppo dinamico per leggere tutti i segreti in un compartimento:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name

      Per ulteriori informazioni, vedere Dettagli per il servizio Vault.

    4. Selezionare il gruppo o il gruppo dinamico e la posizione.
    5. Fare clic su Crea.

Crea credenziali segreto vault con Oracle Cloud Infrastructure Vault

Descrive i passi per utilizzare un segreto di Oracle Cloud Infrastructure Vault con credenziali.

Ciò consente di memorizzare un segreto in Oracle Cloud Infrastructure Vault e di utilizzare il segreto con le credenziali create per accedere alle risorse cloud o per accedere ad altri database.

Per creare le credenziali del segreto vault in cui il segreto è memorizzato in Oracle Cloud Infrastructure Vault, effettuare le operazioni riportate di seguito.

  1. Abilita l'autenticazione del principal risorsa per fornire l'accesso a un segreto in Oracle Cloud Infrastructure Vault.
  2. Crea un gruppo dinamico e definisci i criteri per consentire all'Autonomous Database di accedere ai segreti in un Oracle Cloud Infrastructure Vault.
  3. Utilizzare DBMS_CLOUD.CREATE_CREDENTIAL per creare una credenziale segreta del vault.

    Ad esempio:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
        credential_name   => 'OCI_SECRET_CRED',
        params            => JSON_OBJECT(
            'username'   value 'SCOTT',
            'secret_id'  value 'ocid1.vaultsecret.oc1.iad.example..aaaaaaaauq5ok5nq3bf2vwetkpqsoa' ));
    END;
    /

    Dove:

    • username: è il nome utente della credenziale originale. Può essere il nome utente di qualsiasi tipo di credenziale nome utente/password, ad esempio il nome utente di un utente OCI Swift, il nome utente necessario per accedere a un database con un database link e così via.

    • secret_id: è l'ID del segreto vault. Ad esempio, quando si memorizza la password mysecret in un segreto in Oracle Cloud Infrastructure Vault, il valore secret_id è l'OCID del segreto del vault.

    Per creare una credenziale segreta del vault, è necessario disporre del privilegio EXECUTE nel package DBMS_CLOUD.

    Per ulteriori informazioni, vedere CREATE_CREDENTIAL Procedura.

  4. Utilizzare la credenziale per accedere a una risorsa cloud.

    Ad esempio:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
        'OCI_SECRET_CRED',
        'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/' );
Nota

Ogni 12 ore il segreto (password) viene aggiornato dal contenuto in Oracle Cloud Infrastructure Vault. Se modifichi il valore del segreto in Oracle Cloud Infrastructure Vault, l'istanza di Autonomous Database può richiedere fino a 12 ore per recuperare il valore del segreto più recente.

Eseguire DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL per aggiornare immediatamente una credenziale segreta del vault. Questa procedura ottiene la versione più recente del segreto vault da Oracle Cloud Infrastructure Vault. Per ulteriori informazioni, vedere REFRESH_VAULT_CREDENTIAL Procedura.