11 자격 증명 저장소(미리보기)
이 장에서는 Oracle AI Data Platform Workbench에서 인증서 저장소를 사용하여 액세스 인증서를 생성, 관리 및 프로비전하는 방법에 대해 설명합니다.
인증서 저장소 정보(미리보기)
Oracle AI Data Platform Workbench의 인증서 저장소를 사용하면 인증서에 대한 액세스를 생성, 관리 및 프로비저닝할 수 있습니다.
AI 데이터 플랫폼 워크벤치의 왼쪽 탐색 패널에서 자격 증명 저장소 페이지에 액세스합니다. [인증서 저장소] 화면에서 AI Data Platform Workbench 인스턴스의 모든 기존 인증서와 인증서 생성, 수정, 삭제 등 인증서 저장소에 대한 변경사항 내역을 볼 수 있습니다.
AI Data Platform Workbench를 사용하면 노트북 및 워크플로우의 일부로 사용할 인증서를 생성하고 저장할 수 있습니다. 자격 증명에는 클라우드, 데이터베이스 또는 API와 같은 AI Data Platform 워크벤치 외부의 소스에 액세스하는 데 사용되는 키, 토큰 또는 비밀번호가 포함됩니다. 인증서 저장소는 인증서를 생성 및 저장하고, 인증서에 액세스할 수 있는 사용자에 대한 권한을 관리하고, 인증서 사용 방법에 대한 감사 로그를 볼 수 있는 안전한 방법을 제공합니다.
인증서는 엄격한 액세스 제어를 통해 관리되므로 안전하고 권한이 부여된 사용을 보장합니다. 인증서 저장소의 작업은 AI 데이터 플랫폼 워크벤치의 감사 로그에 기록되어 적용 가능한 규정 및 규정 준수 요구사항을 준수합니다.
- 비밀 토큰: 이 범주의 인증서를 사용하면 API와 같은 타사 서비스에 액세스할 수 있습니다. 암호 토큰 유형 자격 증명은 기본적으로 자유 형식이며, 필드 이름 및 해당 값을 저장하기 위해 키 및 값 쌍을 제공해야 합니다.
- OCI 저장소 참조:유틸리티 API를 사용하여 저장소에서 암호를 검색할 수 있도록 기존 OCI 저장소 암호에 대한 참조를 저장할 수 있습니다. AI 데이터 플랫폼 워크벤치는 비밀 값을 저장하지 않지만 필요할 때 안전하게 액세스합니다.
필수 조건
AI 데이터 플랫폼 워크벤치에서 인증서를 생성하려면 마스터 카탈로그 레벨에서 CREATE_CREDENTIAL 권한이 필요합니다. 자세한 내용은 마스터 카탈로그 권한을 참조하십시오.
또한 다음 IAM 정책이 적절한 컴파트먼트에 구성되어 있는지 확인해야 합니다.
Vault 참조:allow any-user to read secret-bundles in compartment id <Secret_Compartment_OCID> where all { request.principal.type = 'aidataplatform', request.principal.id = target.secret.system-tag.orcl-aidp.governingAidpId } allow any-user to use keys in compartment id <Key_Compartment_OCID> where request.principal.type = 'aidataplatform' 인증서 저장소에 사용 사례
- 외부 시스템 통합: SaaS 플랫폼, 데이터베이스 또는 데이터 소스와 같은 타사 시스템에 연결하는 데 필요한 API 토큰 또는 자격 증명을 저장합니다.
- 파이프라인 및 워크플로우 인증: 하드 코딩 자격 증명 없이 데이터 파이프라인, 작업 또는 워크플로우의 암호를 안전하게 참조합니다.
- 중앙 집중식 보안 관리: 팀 및 환경 전반에서 사용되는 자격 증명에 대한 단일 정보 소스를 유지합니다.
- Enterprise Vault 통합: Vault 참조를 사용하여 워크플로와 통합하면서 기존의 엔터프라이즈급 보안 관리 시스템을 활용할 수 있습니다.
모범사례
인증서 저장소를 사용할 때 보안 및 유지 관리가 가능하도록 하려면 다음 모범 사례를 따르십시오.
- 하드코딩 암호 방지: 중요한 값을 코드, 구성 또는 스크립트에 포함하는 대신 항상 인증서 저장소에 저장합니다.
- 가능한 경우 저장소 참조 사용: 매우 민감하거나 규제된 데이터의 경우 저장소 참조를 선호합니다.
- 최소 권한의 원칙으로 액세스 제한: 액세스가 필요한 사용자와만 암호를 공유하고 광범위하거나 불필요한 권한을 피합니다.
- 기술적 이름 지정 규칙 사용: 암호의 이름을 명확하게 지정(예: openai-api-token-prod)하여 쉽게 식별하고 관리할 수 있습니다.
- 보안 순환: 토큰 및 자격 증명을 주기적으로 업데이트하여 손상 위험을 줄입니다.
- 환경별 별도의 비밀: 우발적인 오용을 방지하기 위해 개발, 스테이징 및 운영 환경에 대한 고유한 비밀을 유지합니다.
- 감사 및 검토 사용: 암호에 액세스할 수 있는 사용자 및 암호 사용 위치를 정기적으로 검토합니다.
팀은 인증서 저장소를 효과적으로 사용하여 보안 상태를 개선하고, 자격 증명 관리를 간소화하고, AI 데이터 플랫폼 전반에서 확장 가능한 통합을 수행할 수 있습니다.
인증서 생성(미리보기)
필요한 세부정보를 제공하는 인증서 유형을 선택하여 다른 소스에 액세스하기 위한 인증서를 생성할 수 있습니다.
- 왼쪽 탐색 창에서 생성을 누르고 자격 증명을 선택합니다. 인증서 저장소로 이동하고
인증서 생성을 누를 수도 있습니다. - 이름 및 설명을 제공하십시오.
- 자격 증명 유형 드롭다운 목록에서 적합한 자격 증명 유형을 선택합니다.
- 값을 직접 저장하려면 비밀 토큰을 선택합니다.
- 외부 저장소 암호를 참조하려면 저장소 참조를 선택합니다.
- 제공된 필드에 필요한 인증서를 제공합니다.
- 비밀 토큰의 경우 키 이름 및 암호 값을 제공합니다.
- 저장소 참조의 경우 저장소 OCID를 제공합니다.
- 액세스 또는 가시성 설정을 구성합니다(해당하는 경우).
- 생성을 누릅니다.
노트북에 저장된 자격 증명 사용(미리보기)
aidptuils 유틸리티를 사용하여 노트북 코드에서 저장된 자격 증명을 호출할 수 있습니다.
- 노트북으로 이동합니다.
- 중요한 값이 필요한 필드를 나타냅니다. API 키 또는 비밀번호를 예로 들 수 있습니다.
- 보조 도구를 사용하여 저장된 인증서 가져오기:
- 암호 값의 경우
My_key = myKey = aidputils.secrets.get(name=<<cred_name>>, key="key_name")를 사용합니다. - 저장소 참조의 경우
myKey = aidputils.secrets.get(name=<<cred_name>>, key=VaultSecretReference)를 사용합니다.
- 암호 값의 경우
- 노트를 실행합니다. AI Data Platform Workbench는 런타임 시 이를 해결합니다.
자격 증명 수정(미리보기)
인증서 저장소에서 인증서의 이름, 설명 또는 구성을 수정하여 최신 상태로 유지할 수 있습니다.
- Home 페이지에서 Credential Store로 이동합니다.
- 수정할 인증서 옆에 있는
작업을 누른 다음 편집을 누릅니다. 인증서 이름을 누른 다음 오른쪽 상단에서 편집을 누를 수도 있습니다. - 필요에 따라 이름, 설명 또는 구성 세부 정보를 수정합니다.
- 저장을 누릅니다.
인증서 공유(미리보기)
인증서 저장소에서 인증서를 공유하고 액세스할 수 있는 사용자를 관리할 수 있습니다.
- Home 페이지에서 Credential Store로 이동합니다.
- 공유할 인증서의 이름을 누릅니다.
- 권한 탭을 누릅니다.
- 필요에 따라 인증서에 대한 권한을 추가하거나 수정합니다.
- 저장을 누릅니다.
인증서 삭제(미리보기)
인증서 저장소에서 인증서를 삭제하여 사용되지 않거나 오래된 인증서를 제거할 수 있습니다.
- Home 페이지에서 Credential Store로 이동합니다.
- 수정할 인증서 옆에 있는 작업을 누른 다음 삭제를 누릅니다. 인증서 이름을 누른 다음 오른쪽 상단에서 삭제를 누를 수도 있습니다.
- 인증서 삭제 확인을 선택합니다.
- 삭제를 누릅니다.