GCPシークレット・マネージャでボールト・シークレット資格証明を使用するために必要な前提条件について説明します。

1. GCPシークレット・マネージャでシークレットを作成します。

   詳細は、シークレット・マネージャおよびシークレット・マネージャを使用したシークレットの作成およびアクセスを参照してください。

2. Googleサービス・アカウント認証を有効にして、GCPシークレット・マネージャへのアクセスを提供します。

   Google Cloudコンソールで、プリンシパル認証資格証明へのシークレットへの読取りアクセス権を付与する必要があります。

   1. Google Cloudコンソールの「シークレット・マネージャ」ページに移動します。
   2. 「シークレット・マネージャ」ページで、シークレットの名前の横にあるチェック・ボックスを選択します。
   3. まだ開いていない場合は、「情報パネルの表示」をクリックしてパネルを開きます。
   4. 情報パネルで「プリンシパルの追加」をクリックします。
   5. 「新規プリンシパル」テキスト領域に、追加するサービス・アカウント名を入力します。
   6. 「ロールの選択」ドロップダウンで、「シークレット・マネージャ」、「シークレット・マネージャ・シークレット・アクセッサ」の順に選択します。

   詳細は、Googleサービス・アカウントの有効化およびGCPサービス・アカウント名の検索およびシークレットへのアクセスの管理を参照してください。

GCPシークレット・マネージャ・シークレットを使用して、クラウド・リソースへのアクセスに使用する資格証明で使用するシークレットを格納するステップについて説明します。

1. シークレット・マネージャ・シークレット・アクセッサを作成して、Autonomous DatabaseプリンシパルがGCPシークレット・マネージャのシークレットにアクセスできるようにします。
   詳細は、「GCPシークレット・マネージャでVaultシークレット資格証明を作成するための前提条件」を参照してください。
2. Googleサービス・アカウント・ベースの認証を有効にして、GCPシークレット・マネージャでシークレットへのアクセスを提供します。

   詳細は、「Googleサービス・アカウントの有効化とGCPサービス・アカウント名の検索」を参照してください。

3. DBMS_CLOUD.CREATE_CREDENTIALを使用して、GCPシークレット・マネージャ・シークレットにアクセスするためのボールト・シークレット資格証明を作成します。

   たとえば:

   BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
       credential_name      => 'GCP_SECRET_CRED',
       params               => JSON_OBJECT( 
             'username'   value 'gcp_user1',
             'secret_id'  value 'my-secret',
             'gcp_project_id' value 'my-sample-project-191923' ));
   END;
   /

   説明:

   • username: 元の資格証明のユーザー名。任意のタイプのユーザー名/パスワード資格証明のユーザー名を指定できます。

   • secret_id: シークレット名。ボールトにパスワードmysecretを格納する場合は、secret_idパラメータの値としてシークレット名を使用します。

   • gcp_project_id: シークレットがあるプロジェクトのIDです。

   詳細は「CREATE_CREDENTIALプロシージャ」を参照してください。

4. 資格証明を使用してクラウド・リソースにアクセスします。

   たとえば:

   SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
              'GCP_SECRET_CRED',
              'https://bucketname.storage.googleapis.com/' );