シークレットの管理
ボールト・シークレット、シークレット・タグおよびシークレット・ルールを作成および管理します。
シークレット管理で実行される機能は次のとおりです。
- シークレットを作成する
- シークレットの詳細を表示する
- シークレットのリストを表示する
- 特定のシークレットのシークレット・バージョンのリストを表示する
- シークレットの説明を更新する
- (シークレット・コンテンツを更新して)新しいシークレット・バージョンを作成する
- シークレット・バージョンを「現在」にプロモートする
- シークレットのタグを管理する
- シークレットのルールを表示する
- シークレット・ルールを追加または編集する
- シークレットまたはシークレット・バージョンを削除してシークレット・コンテンツの使用を永続的に禁止する
- シークレットを新しいコンパートメントに移動する
- 名前によるシークレットの取得
開始する前に
開始する前にまず、ルール、シークレット・バージョンおよびシークレット・バージョン・ローテーション状態の作業の意味をよく理解するために、シークレットのルールおよびシークレット・バージョンおよびローテーション状態を読むことをお薦めします。
必須IAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。
管理者向け:
- セキュリティ管理者によるボールト、キーおよびシークレットの管理のポリシーを使用すると、指定したグループは、ボールト、キーおよびシークレットに関するすべての操作を実行できます。
- セキュリティ管理者によるコンパートメントの特定のボールト内のすべてのシークレットの管理のポリシーを使用すると、指定したグループは特定のボールト内のシークレットに関するすべての操作を実行できます。
- ユーザーによるすべてのシークレットの読取り、更新およびローテーションのポリシーを使用すると、指定したグループは、テナンシの任意のボールト内のすべてのシークレットの読取り、更新およびローテーションを行うことができます。
- 権限の詳細、またはシークレットのより詳細なポリシーを記述する方法については、ボールト・サービスの詳細を参照してください。
リソースのタグ付け
リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用することも、後でリソースを必要なタグで更新することもできます。タグ適用についての一般情報は、リソース・タグを参照してください。
リソースのモニタリング
メトリック、アラームおよび通知を使用して、Oracle Cloud Infrastructureリソースのヘルス、容量およびパフォーマンスをモニターできます。詳細は、モニタリングおよび通知を参照してください。
シークレットに関連付けられたトラフィックのモニタリングの詳細は、Vaultリソースのモニタリングを参照してください。
別のコンパートメントへのリソースの移動
シークレットはコンパートメント間で移動できます。シークレットを新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、シークレットおよびシークレット・バージョンへのアクセスに影響します。シークレットを移動しても、シークレットに関連付けられているボールトへのアクセスには影響しません。同様に、ボールトは、そのシークレットの移動とは別に、コンパートメント間で移動できます。詳細は、コンパートメントの管理を参照してください。
コンソールの使用
コンソールを使用して、シークレット、シークレット詳細、シークレット・タグ、シークレット・タイプおよびシークレット・バージョンを管理します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、シークレットを作成するコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、次のいずれかを実行します。
-
シークレットを作成するボールトの名前をクリックします。
-
新しいボールトを作成するにはの手順に従ってシークレットに新しいボールトを作成し、そのボールトの名前をクリックします。
-
- 「シークレット」をクリックし、「シークレットの作成」をクリックします。
- 「シークレットの作成」ダイアログ・ボックスで、「コンパートメントに作成」リストからコンパートメントを選択します。(シークレットは、ボールトが含まれるコンパートメントの外部に存在できます。)
- 「名前」をクリックし、シークレットを識別する名前を入力します。機密情報の入力は避けてください。
- 「説明」をクリックして、シークレットを識別しやすい簡単な説明を入力します。このフィールドに機密情報を入力しないでください。
- ボールトへのインポート中にシークレット・コンテンツの暗号化に使用するマスター暗号化キーを選択します。(キーは同じボールトに属する必要があります。キーは対称キーである必要もあります。非対称キーでシークレットを暗号化することはできません。)
- 「シークレット・タイプ・テンプレート」リストからテンプレート・タイプを選択することにより、入力するシークレット・コンテンツのフォーマットを指定します。(コンソールを使用してシークレットまたはシークレット・バージョンを作成する場合、シークレット・コンテンツをプレーン・テキストで入力できますが、それをサービスに送信する前にbase64でエンコードする必要があります。このフォーマットを選択すると、コンソールによってプレーン・テキストのシークレット・コンテンツが自動的にエンコードされます。)
- 「シークレット・コンテンツ」をクリックし、シークレット・コンテンツを入力します。(シークレット・バンドルに許容される最大サイズは25 KBです。)
- オプションで、シークレットの使用方法を管理するためのルールを適用することもできます。異なるシークレット・バージョン間でのシークレット・コンテンツの再利用に関するルールを作成することも、シークレット・コンテンツの有効期限を指定するルールを作成することもできます。ルールの詳細は、シークレットのルールを参照してください。
- ルール・タイプ。「シークレット再利用ルール」または「シークレット失効ルール」を指定できます。最大でいずれか1つを指定できます。すでに1つのルールがある場合に別のルールを追加するには、「+別のルール」をクリックします。
ルール構成の再利用: 削除されたシークレット・バージョンにも再利用ルールを強制的に適用したり、削除されたシークレット・バージョンからのシークレット・コンテンツの再利用を許可することができます。
失効ルール構成: シークレット・コンテンツの失効頻度や、シークレットまたはシークレット・バージョンが失効したときにどのようにするかを設定できます。個々のシークレット・バージョンの失効は1日から90日までの期間で表され、これは矢印ボタンか数字の入力により指定できます。シークレットそのものの失効は、現在の日時より1日から365日までの絶対日時で表されます。日付ピッカーを使用してこの日付を指定します。失効値は、シークレット・バージョンとシークレットの両方に対して、または2つのうちいずれか1つのみに対して設定できます。(シークレット・バージョンの失効間隔をクリアすることは可能ですが、シークレットが失効する絶対時間を設定する場合は、失効ルール全体を削除して最初からやり直す必要があります。)
-
リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
- 終了したら、「シークレットの作成」をクリックします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、目的のシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、構成の詳細を表示するシークレットの名前をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更してから、シークレット名をクリックします。)
-
コンソールには、次の情報が表示されます。
- OCID: Oracleによって割り当てられる、シークレットの一意のID。
- 作成: シークレットを最初に作成した日時。
- コンパートメント: シークレットを含むコンパートメントの名前。
- ボールト: シークレットを含むボールトの名前。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、目的のシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- このボールト内のシークレットのリストを表示するには、「シークレット」をクリックします。リスト範囲を変更すると、他のコンパートメント内のシークレットが表示されます。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、目的のシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、シークレット・バージョンのリストを表示するシークレットの名前をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更してから、シークレット名をクリックします。)
- 「シークレット・バージョン・リスト」に、選択したシークレットに存在するすべてのバージョンが表示されます。シークレット・バージョンの詳細は、シークレット・バージョンおよびローテーション状態を参照してください。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、説明を更新するシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、編集するシークレットの名前をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更します。)
- 「編集」をクリックします。
- 「シークレットの編集」ダイアログ・ボックスで、「説明」をクリックして新しい説明を入力します。このフィールドに機密情報を入力しないでください。
- 終了したら、「変更の保存」をクリックします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、新しいシークレット・コンテンツを提供するシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、更新するシークレット・コンテンツのあるシークレットの名前をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更します。)
- 「シークレット・バージョンの作成」をクリックします。(新しいシークレット・バージョンは、削除保留中でないシークレットに対してのみ作成できます。)
- 「シークレット・タイプ・テンプレート」リストからテンプレート・タイプを選択することにより、入力するシークレット・コンテンツのフォーマットを指定します。(コンソールを使用してシークレットまたはシークレット・バージョンを作成する場合、シークレット・コンテンツをプレーン・テキストで入力できますが、それをサービスに送信する前にbase64でエンコードする必要があります。このフォーマットを選択すると、コンソールによってプレーン・テキストのシークレット・コンテンツが自動的にエンコードされます。)
- 「シークレット・コンテンツ」をクリックし、シークレット・コンテンツを入力します。(シークレット・バンドルに許容される最大サイズは25 KBです。)
- 新しいシークレット・バージョンを今すぐ「現在」にプロモートしない場合は、「保留中に設定」チェック・ボックスを選択します。そうしない場合、この新しいシークレットのバージョンは自動的に現在のバージョンとしてプロモートされます。
- 「シークレット・バージョンの作成」をクリックします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、更新するシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、別のシークレット・バージョンを使用するように更新するシークレットの名前をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更します。)
- 次のいずれかを実行して、別のシークレット・バージョンを現在のシークレット・バージョンにします:
- 「編集」をクリックし、「現在のバージョン」をクリックして、プロモートするバージョン番号をクリックします。準備ができたら、「変更の保存」をクリックします。
- 「シークレット・バージョン・リスト」で、プロモートするバージョン番号を見つけ、そのシークレット・バージョンの「アクション」アイコン(3つのドット)をクリックし、「現行にプロモート」をクリックします。「現行にプロモート」をクリックして、プロモーションを確認します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、構成済ルールを表示するシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、表示するルールが含まれるシークレットの名前をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更してから、シークレット名をクリックします。)
- 「シークレット詳細」ページで、「ルール」をクリックして既存のルールを表示します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、ルールを追加または編集するシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、シークレットの名前をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更してから、シークレット名をクリックします。)
- 「シークレット詳細」ページで、「ルール」をクリックし、「ルールの追加/編集」をクリックします。
- ルール・タイプ。「シークレット再利用ルール」または「シークレット失効ルール」を指定できます。最大でいずれか1つを指定できます。すでに1つのルールがある場合に別のルールを追加するには、「+別のルール」をクリックします。
ルール構成の再利用: 削除されたシークレット・バージョンにも再利用ルールを強制的に適用したり、削除されたシークレット・バージョンからのシークレット・コンテンツの再利用を許可することができます。
失効ルール構成: シークレット・コンテンツの失効頻度や、シークレットまたはシークレット・バージョンが失効したときにどのようにするかを設定できます。個々のシークレット・バージョンの失効は1日から90日までの期間で表され、これは矢印ボタンか数字の入力により指定できます。シークレットそのものの失効は、現在の日時より1日から365日までの絶対日時で表されます。日付ピッカーを使用してこの日付を指定します。失効値は、シークレット・バージョンとシークレットの両方に対して、または2つのうちいずれか1つのみに対して設定できます。(シークレット・バージョンの失効間隔をクリアすることは可能ですが、シークレットが失効する絶対時間を設定する場合は、失効ルール全体を削除して最初からやり直す必要があります。)
- ルールの構成中にそれを削除する場合は、次のいずれかを実行します:
シークレット・バージョン・ルールを削除するには、構成された日をクリアします。
ルールを完全に削除するには、ルールの横にある「X」をクリックします。
- 準備ができたら、「変更の保存」をクリックします。
中の場合、そのシークレットに依存するリソースまたはサービスは即時にアクセス不可になります。シークレットのローテーションあるいは更新もできません。シークレットは、削除されると不可逆的に破棄されます。シークレットの使用をリストアする場合、それを完全に削除していなければ、削除を取り消すことができます。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、削除するシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、削除するシークレットを見つけて、そのシークレットの「アクション」アイコン(3つのドット)をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更します。)
- 「アクション」メニューで、「シークレットの削除」をクリックします。
- ボックスをクリックしてシークレット名を入力することにより、そのシークレットを削除することを確認します。
- ボールトによりシークレットを削除する日時をスケジュールします。デフォルトでは、サービスによって、現在の日時から30日間、シークレットの削除がスケジュールされます。1日から30日までの範囲を設定できます。
- 準備ができたら、「シークレットの削除」をクリックします。必要に応じて、スケジュールされている削除を取り消してシークレット・バージョンを再び現在のバージョンにすることにより、シークレットの使用をリストアし、そのシークレットのコンテンツを使用するリソースおよびサービスにアクセスできます。
の場合、そのシークレット・バージョンに依存するリソースまたはサービスは即時にアクセス不可になります。シークレット・バージョンのローテーションあるいは更新もできません。シークレット・バージョンが削除されると、そのコンテンツは不可逆的に破棄されます。シークレット・バージョンの使用をリストアする場合、それを完全に削除していなければ、削除を取り消すことができます。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、シークレット・バージョンを削除するシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、シークレット名をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更します。)
- 「シークレット・バージョン・リスト」でシークレット・バージョンを見つけ、そのシークレット・バージョンの「アクション」アイコン(3つのドット)をクリックします。
- 「アクション」メニューで、「シークレット・バージョンの削除」をクリックします。
- ボックスをクリックしてシークレット・バージョン番号を入力することにより、そのシークレット・バージョンを削除することを確認します。
- ボールトによりシークレット・バージョンを削除する日時をスケジュールします。デフォルトでは、サービスによって、現在の日時から30日間、シークレット・バージョンの削除がスケジュールされます。1日から30日までの範囲を設定できます。
- 準備ができたら、「シークレット・バージョンの削除」をクリックします。必要に応じて、スケジュールされている削除を取り消してシークレット・バージョンを再び現在のバージョンにすることにより、シークレット・バージョンの使用をリストアし、そのシークレット・バージョンのコンテンツを使用するリソースまたはサービスにアクセスできます。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、削除する必要がなくなったシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、削除を取り消すシークレットを見つけて、そのシークレットの「アクション」アイコン(3つのドット)をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更します。)
- 「アクション」メニューで、「削除の取消」をクリックします。
- 「削除の取消」をクリックして、シークレットの削除を取り消すことを確認します。シークレット、およびそのシークレットのコンテンツを使用していたリソースまたはサービスへのアクセスは、そのシークレットが再びアクティブに現行で使用されるようになるとリストアできます。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
- 「リスト範囲」の「コンパートメント」リストで、シークレット・バージョンを削除する必要がなくなったシークレットのあるボールトが含まれるコンパートメントの名前をクリックします。
-
コンパートメント内のボールトのリストから、ボールト名をクリックします。
- 「シークレット」をクリックし、削除を取り消すシークレット・バージョンのシークレットを見つけて、シークレット名をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更します。)
- 「シークレット・バージョン・リスト」でシークレット・バージョンを見つけ、そのシークレット・バージョンの「アクション」アイコン(3つのドット)をクリックします。
- 「アクション」メニューで、「削除の取消」をクリックします。
- 「削除の取消」をクリックして、シークレット・バージョンの削除を取り消すことを確認します。シークレット・バージョン、およびそのコンテンツを使用していたリソースまたはサービスへのアクセスは、そのシークレット・バージョンが再びアクティブに現行で使用されるようになるとリストアできます。
-
- 「表範囲」の「コンパートメント」リストで、移動するシークレットのあるボールトが含まれるコンパートメントを選択します。
- 「シークレット」をクリックします。リストでシークレットを検索し、「アクション」メニューをクリックし、「リソースの移動」をクリックします。(必要な場合、まず、リスト範囲をシークレットが含まれるコンパートメントに変更します。)
- リストから宛先コンパートメントを選択します。
- 「リソースの移動」をクリックします。
- シークレットをモニタリングしているアラームが存在する場合、新しいコンパートメントを参照するようにアラームを更新します。詳細は、リソースの移動後にアラームを更新するにはを参照してください。
コマンドライン・インタフェース(CLI)の使用
コマンドライン・インタフェースを使用して、シークレット、シークレット詳細、シークレット・タグ、シークレット・タイプおよびシークレット・バージョンを管理します。
CLIの使用の詳細は、コマンド・ライン・インタフェース(CLI)を参照してください。CLIコマンドで使用できるフラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。
各リージョンには、シークレットの作成、更新およびリスト操作のための一意のエンドポイントがあります。このエンドポイントは、コントロール・プレーンURLまたはシークレット管理エンドポイントと呼ばれます。各リージョンには、シークレット・コンテンツの取得に関連する操作に対応する一意のエンドポイントもあります。このエンドポイントは、データ・プレーンURLまたはシークレット取得エンドポイントと呼ばれます。シークレット操作にCLIを使用する場合は、操作のタイプに適したエンドポイントを指定する必要があります。リージョン・エンドポイントの詳細は、APIドキュメントを参照してください。
コマンド・プロンプトを開き、oci vault secret create-base64
を実行して新しいシークレットを作成します:
を指定する必要があります。非対称キーでシークレットを暗号化することはできません。さらに、指定するボールトにキーが存在する必要があります。
oci vault secret create-base64 --compartment-id <target_compartment_id> --secret-name <secret_name> --vault-id <target_vault_id> --description <secret_description_text> --key-id <encryption_key_id> --secret-content-content <base64_encoded_secret_content> --secret-content-name <unique_content_name> --secret-content-stage <secret_version_rotation_state>
例:
oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --secret-content-content bXlwYXNzd29yZA== --secret-content-name testpassword1 --secret-content-stage CURRENT
機密情報の入力は避けてください。
コマンド・プロンプトを開き、oci vault secret get
を実行して、特定のシークレットの詳細を表示します:
oci vault secret get --secret-id <secret_OCID>
例:
oci vault secret get --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample
コマンド・プロンプトを開き、oci vault secret list
を実行して、ボールト内のシークレットをリストします:
oci vault secret list --compartment-id <target_compartment_id>
例:
oci vault secret list --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz
コマンド・プロンプトを開き、oci vault secret-version list
を実行して、特定のシークレットのシークレット・バージョンのリストを表示します:
oci vault secret-version list --secret-id <secret_OCID>
例:
oci vault secret-version list --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample
コマンド・プロンプトを開き、oci vault secret update
を実行して、シークレットの説明を表示します。
しないでください。また、現在のシークレット・バージョン番号、シークレット・コンテンツおよびシークレット・ルールは互いに独立して更新する必要があります。さらに、アクティブなライフサイクル状態のシークレットのみを更新できます。
oci vault secret update --secret-id <secret_OCID> --description <secret_description_text>
例:
oci vault secret update --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample --description "this is a new secret description"
コマンド・プロンプトを開き、oci vault secret update-base64
を実行してシークレットのコンテンツを更新し、新しいシークレット・バージョンを作成します:
oci vault secret update-base64 --secret-id <target_secret_id> --secret-content-content <base64_encoded_secret_content>
例:
oci vault secret update-base64 --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample --secret-content-content bXluZXdwYXNzd29yZA==
コマンド・プロンプトを開き、oci vault secret update
を実行して、シークレット・バージョンを現行のアクティブな使用にプロモートします:
oci vault secret update --secret-id <target_secret_id> --current-version-number <target_secret_version_number>
例:
oci vault secret update --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample --current-version-number 3
コマンド・プロンプトを開き、oci vault secret get
を実行して、シークレットの構成済ルールを表示します:
oci vault secret get --secret-id <target_secret_id>
例:
oci vault secret get --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample
コマンド・プロンプトを開き、oci vault secret update
を実行して、シークレットの構成済ルールを編集します:
oci vault secret update --secret-id <target_secret_id> --secret-rules <secret_rules_in_JSON_format>
例:
oci vault secret update --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample --secret-rules '[{"isEnforcedOnDeletedSecretVersions":"true","ruleType":"SECRET_REUSE_RULE"}]'
シークレット再利用ルールまたはシークレット失効ルールを指定できます。最大で、各ルール・タイプのいずれか1つを指定できます。
中の場合、そのシークレットに依存するリソースまたはサービスは即時にアクセス不可になります。シークレットのローテーションあるいは更新もできません。シークレットが削除されると、シークレット・コンテンツは不可逆的に破棄されます。シークレットの使用をリストアする場合、それを完全に削除していなければ、削除を取り消すことができます。
コマンド・プロンプトを開き、oci vault secret schedule-secret-deletion
を実行して、シークレットの削除をスケジュールします:
oci vault secret schedule-secret-deletion --secret-id <target_secret_id> --time-of-deletion <time_in_rfc3339_format>
例:
oci vault secret schedule-secret-deletion --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample --time-of-deletion 2020-04-30T10:00:00Z
デフォルトでは、サービスによって、現在の日時から30日間、シークレットの削除がスケジュールされます。1日から30日までの範囲を設定できます。
の場合、そのシークレット・バージョンに依存するリソースまたはサービスは即時にアクセス不可になります。シークレット・バージョンのローテーションあるいは更新もできません。シークレット・バージョンが削除されると、そのコンテンツは不可逆的に破棄されます。シークレット・バージョンの使用をリストアする場合、それを完全に削除していなければ、削除を取り消すことができます。
コマンド・プロンプトを開き、oci vault secret-version schedule-deletion
を実行して、シークレット・バージョンの削除をスケジュールします:
oci vault secret-version schedule-deletion --secret-id <target_secret_id> --secret-version-number <target_secret_version_number> --time-of-deletion <time_in_rfc3339_format>
例:
oci vault secret-version schedule-deletion --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample --secret-version-number 1 --time-of-deletion 2020-04-09
デフォルトでは、サービスによって、現在の日時から30日間、シークレット・バージョンの削除がスケジュールされます。1日から30日までの範囲を設定できます。前述の例では、時刻が指定されていないため、デフォルトで削除時刻が協定世界時(UTC)の午前0時に設定されます。
コマンド・プロンプトを開き、oci vault secret cancel-secret-deletion
を実行して、スケジュールされたシークレットの削除を取り消します:
oci vault secret cancel-secret-deletion --secret-id <target_secret_id>
例:
oci vault secret cancel-secret-deletion --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample
コマンド・プロンプトを開き、oci vault secret-version cancel-deletion
を実行して、スケジュールされたシークレット・バージョンの削除を取り消します:
oci vault secret-version cancel-deletion --secret-id <target_secret_id> --secret-version-number <target_secret_version_number>
例:
oci vault secret-version cancel-deletion --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample --secret-version-number 1
コマンド・プロンプトを開き、oci vault secret change-compartment
を実行して、シークレットを別のコンパートメントに移動します:
oci vault secret change-compartment --secret-id <target_secret_id> --compartment-id <new_compartment_id>
例:
oci vault secret change-compartment --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample --compartment-id ocid1.tenancy.oc1..exampleati4wjo6cvbxq4iusld5lsdneskcfy7lr4a6wfauxuwrwed5b3xea
コマンド・プロンプトを開き、oci secrets secret-bundle get
を実行して、現在のシークレット・バージョンのコンテンツおよびプロパティを表示します:
oci secrets secret-bundle get --secret-id <target_secret_id> --stage <target_secret_version_rotation_state>
例:
oci secrets secret-bundle get --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample --stage CURRENT
次のコマンドを使用して、名前とボールトIDを持つシークレットを問い合せることもできます。
oci secrets secret-bundle get-secret-bundle-by-name --secret-name target_secret_name --vault-id target_vault_id --stage target_secret_version_rotation_state
oci secrets secret-bundle get-secret-bundle-by-name --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmtddlexample --stage CURRENT
コマンド・プロンプトを開き、oci secrets secret-bundle-version list-versions
を実行して、シークレットの各シークレット・バージョンに関する情報を表示します:
oci secrets secret-bundle-version list-versions --secret-id <target_secret_id>
例:
oci secrets secret-bundle-version list-versions --secret-id ocid1.vaultsecret.oc1.iad.exampleaz5qacpqahuecvbjqzql4qmpbrtd7pprafhivcfik6wuitexample
APIの使用
API操作を使用して、シークレットおよびシークレット・バージョンを管理します。
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
各リージョンには、シークレットの作成、更新およびリスト操作のための一意のエンドポイントがあります。このエンドポイントは、コントロール・プレーンURLまたはシークレット管理エンドポイントと呼ばれます。各リージョンには、シークレット・コンテンツの取得に関連する操作に対応する一意のエンドポイントもあります。このエンドポイントは、データ・プレーンURLまたはシークレット取得エンドポイントと呼ばれます。リージョン・エンドポイントの詳細は、APIドキュメントを参照してください。
- CreateSecret
- GetSecret
- UpdateSecret
- GetSecretVersion
- ListSecrets
- ListSecretVersions
- ScheduleSecretDeletion
- CancelSecretDeletion
- ScheduleSecretVersionDeletion
- CancelSecretVersionDeletion
- ChangeSecretCompartment
シークレットを取得するには、次の操作を使用します: