Documentazione dell'infrastruttura Oracle Cloud

Usa credenziali segrete vault con Oracle Cloud Infrastructure Vault

Descrive utilizzando le credenziali segrete del vault, in cui il segreto (password) viene memorizzato come segreto in Oracle Cloud Infrastructure Vault.

È possibile utilizzare le credenziali segrete del vault per accedere alle risorse cloud, per accedere ad altri database con collegamenti al database o utilizzare qualsiasi posizione in cui siano necessarie credenziali di tipo nome utente/password.

Argomento padre: Usa credenziali segrete vault

Prerequisiti per creare le credenziali segrete del vault con Oracle Cloud Infrastructure Vault

Descrive i passi dei prerequisiti necessari per utilizzare le credenziali segrete del vault con i segreti di Oracle Cloud Infrastructure Vault.

Per creare le credenziali segrete del vault in cui il segreto viene memorizzato in Oracle Cloud Infrastructure Vault, eseguire prima i prerequisiti necessari.

  1. Crea un vault e crea un segreto nel vault con Oracle Cloud Infrastructure Vault.

    Per ulteriori informazioni, vedere le istruzioni per la creazione di un vault e di un segreto, Gestione dei vault e Panoramica di Key Management.

  2. Imposta un gruppo dinamico per fornire l'accesso al segreto in Oracle Cloud Infrastructure Vault.

    Creare un gruppo dinamico per l'istanza di Autonomous Database in cui si desidera creare una credenziale segreta del vault:

    1. Nella console di Oracle Cloud Infrastructure fare clic su Identità e sicurezza.
    2. In Identità fare clic su Domini e selezionare un dominio di Identity oppure creare un nuovo dominio di Identity.
    3. In Dominio di Identity fare clic su Gruppi dinamici.
    4. Fare clic su Crea gruppo dinamico e immettere un nome, una descrizione e una regola.

      • Creare un gruppo dinamico per un database esistente:

        È possibile specificare che un'istanza di Autonomous Database fa parte del gruppo dinamico. Il gruppo dinamico nell'esempio riportato di seguito include solo l'Autonomous Database il cui OCID è specificato nel parametro resource.id. 

        resource.id = 'your_Autonomous_Database_instance_OCID'

      • Creare un gruppo dinamico per un database di cui non è stato ancora eseguito il provisioning:

        Quando si crea il gruppo dinamico prima di eseguire il provisioning o duplicare un'istanza di Autonomous Database, l'OCID per il nuovo database non è ancora disponibile. In questo caso, creare un gruppo dinamico che specifichi le risorse in un determinato compartimento: 

        resource.compartment.id = 'your_Compartment_OCID'
    5. Fare clic su Crea.
  3. Scrivere istruzioni dei criteri per il gruppo dinamico per abilitare l'accesso alle risorse di Oracle Cloud Infrastructure (segreti).
    1. Nella console di Oracle Cloud Infrastructure fare clic su Identità e sicurezza e fare clic su Criteri.
    2. Per scrivere i criteri per il gruppo dinamico creato nel passo precedente, fare clic su Crea criterio e immettere un nome e una descrizione.
    3. Per creare un criterio, utilizzare l'opzione Mostra editor manuale di Policy Builder.

      Ad esempio, per consentire l'accesso al gruppo dinamico per leggere un segreto specifico in un compartimento:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name
   where target.secret.id='secret_OCID'

      Ad esempio, per consentire l'accesso al gruppo dinamico per leggere tutti i segreti in un compartimento:

      Allow dynamic-group dynamic_group_name to read secret-bundles in compartment compartment_name

      Per ulteriori informazioni, vedere Dettagli per il servizio Vault.

    4. Selezionare il gruppo o il gruppo dinamico e selezionare la posizione.
    5. Fare clic su Crea.

Crea credenziali segrete vault con Oracle Cloud Infrastructure Vault

Descrive i passi per utilizzare un segreto di Oracle Cloud Infrastructure Vault con credenziali.

Ciò consente di memorizzare un segreto in Oracle Cloud Infrastructure Vault e di utilizzarlo con le credenziali create per accedere alle risorse cloud o per accedere ad altri database.

Per creare le credenziali segrete del vault in cui il segreto viene memorizzato in Oracle Cloud Infrastructure Vault, effettuare le operazioni riportate di seguito.

  1. Abilita l'autenticazione del principal risorsa per fornire l'accesso a un segreto in Oracle Cloud Infrastructure Vault.
  2. Crea un gruppo dinamico e definisci i criteri per consentire all'Autonomous Database di accedere ai segreti in Oracle Cloud Infrastructure Vault.
  3. Usare DBMS_CLOUD.CREATE_CREDENTIAL per creare una credenziale segreta del vault.

    Ad esempio:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name   => 'OCI_SECRET_CRED',
    params            => JSON_OBJECT(
        'username'   value 'SCOTT',
        'secret_id'  value 'ocid1.vaultsecret.oc1.iad.example..aaaaaaaauq5ok5nq3bf2vwetkpqsoa' ));
END;
/

    Posizione:

    • username: è il nome utente della credenziale originale. Può essere il nome utente di qualsiasi tipo di credenziale nome utente/password, ad esempio il nome utente di un utente OCI Swift, il nome utente necessario per accedere a un database con un database link e così via.

    • secret_id: è l'ID segreto del vault. Ad esempio, quando si memorizza la password mysecret in un segreto in Oracle Cloud Infrastructure Vault, il valore secret_id è l'OCID segreto del vault.

    Per creare una credenziale segreta del vault, è necessario disporre del privilegio EXECUTE sul pacchetto DBMS_CLOUD.

    Per ulteriori informazioni, vedere CREATE_CREDENTIAL Procedure.

  4. Utilizzare la credenziale per accedere a una risorsa cloud.

    Ad esempio:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
    'OCI_SECRET_CRED',
    'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/' );
Nota

Ogni 12 ore il segreto (password) viene aggiornato dal contenuto di Oracle Cloud Infrastructure Vault. Se si modifica il valore del segreto in Oracle Cloud Infrastructure Vault, possono essere necessarie fino a 12 ore prima che l'istanza di Autonomous Database rilevi il valore del segreto più recente.

Eseguire DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL per aggiornare immediatamente una credenziale segreta del vault. Questa procedura recupera la versione più recente del segreto vault da Oracle Cloud Infrastructure Vault. Per ulteriori informazioni, vedere REFRESH_VAULT_CREDENTIAL Procedure.