Replicando Segredos
Saiba mais sobre como replicar segredos entre regiões.
Talvez você queira replicar segredos entre regiões pelos seguintes motivos:
- Recuperação de desastres: A replicação de segredos garante sua acessibilidade em caso de interrupções regionais. Sistemas com recursos de stand-by, failover e switchover podem precisar de segredos disponíveis para sistemas stand-by.
- Disponibilidade: Se você usar um segredo em mais de uma região, a replicação do segredo em regiões extras facilitará o acesso e a atualização do segredo nas regiões em que ele é necessário. Certifique-se de seguir as diretrizes de segurança da sua organização em relação ao uso de um segredo em mais de uma região.
Como a Replicação Funciona
Quando você cria um segredo em um vault, tem a opção de replicar o segredo em até 3 outras regiões. Você também pode ativar a replicação depois de criar um segredo editando-o. Ao criar réplicas de um segredo, você especifica a região de destino, o vault de destino dentro dessa região e a chave de criptografia a ser usada para o segredo. Os segredos de réplica e as versões de segredo usam os mesmos OCIDs das versões de segredo e segredo de origem. Os segredos de réplica são contados juntamente com os segredos de origem para efeitos dos limites regionais de segredos da sua tenancy.
Quando você ativa a replicação, o OCI replica o seguinte:
- O conteúdo do segredo
- Metadados e definições do segredo
- Versões do segredo
A réplica é somente para leitura e não pode ser editada. Quando você edita ou exclui um segredo de origem, a operação de alteração ou exclusão também é aplicada às réplicas do segredo. A desativação do recurso em um segredo que tem réplicas exclui as réplicas. Você também pode excluir réplicas individualmente ao reter o segredo de origem editando o segredo de origem.
Você pode usar solicitações de serviço para monitorar as operações de replicação entre regiões em andamento. Consulte Solicitações de Serviço Secretas para obter detalhes sobre o uso de solicitações de serviço com o serviço Secret.
Use as seguintes instruções para gerenciar réplicas de segredo:
- Criando um Segredo: Para criar um novo segredo e réplicas entre regiões ao mesmo tempo.
- Configurando a Replicação de Segredo entre Regiões: Para criar réplicas entre regiões de um segredo existente.
- Listando Réplicas Secretas: Para ver uma lista de réplicas de um segredo de origem.
- Exibindo Detalhes de um Segredo: Para ver os detalhes de uma réplica de segredo.
- Editando um Segredo: Para editar os detalhes de um segredo de origem. Observe que as réplicas de segredo são somente leitura e as atualizações feitas no segredo de origem são passadas para as réplicas.
- Atualizando o Conteúdo de um Segredo: Para atualizar o conteúdo de um segredo de origem. Observe que as réplicas de segredo são somente leitura e as atualizações feitas no segredo de origem são passadas para as réplicas.
- Excluindo uma Réplica de Segredo: Para excluir uma ou mais réplicas de segredo enquanto mantém o segredo de origem.
- Excluindo um Segredo: Para excluir um segredo de origem e todas as suas réplicas ao mesmo tempo.
Os segredos não são replicados automaticamente durante a replicação do vault. Você deve gerenciar a replicação de segredo no nível do recurso de segredo. Consulte Replicando Vaults e Chaves para obter informações sobre replicação do vault.
Encaminhamento de Gravação para Operações de Atualização em Segredos de Réplica
Opcionalmente, você pode ativar o "encaminhamento de gravação" para segredos replicados usando a API ou a CLI. Embora os segredos replicados sejam somente leitura, o encaminhamento de gravação permite que você direcione um segredo replicado para uma operação de gravação e faça com que a operação seja aplicada automaticamente primeiro ao segredo de origem e, por meio de atualizações assíncronas, aplicada a todas as réplicas do segredo de origem.
Por exemplo, se você tiver um segredo de origem na região Leste dos EUA (Ashburn) replicado na região Leste do Japão (Tóquio), poderá direcionar o segredo de réplica no Leste do Japão (Tóquio) para uma atualização. A solicitação de atualização é então encaminhada para o segredo de origem no Leste dos EUA (Ashburn) e executada nesse segredo automaticamente. Após a atualização do segredo de origem, a solicitação de atualização é aplicada automaticamente a todas as réplicas do segredo de origem, incluindo a réplica no Leste do Japão (Tóquio).
Limitações
As seguintes limitações se aplicam ao recurso de encaminhamento de gravação para garantir a segurança e a segurança dos segredos:
-
Não é possível usar o encaminhamento de gravação para as seguintes operações:
- programando uma exclusão de segredo
- cancelando uma exclusão de segredo
- atualizando a configuração de replicação do segredo de origem
- Ao criar um novo segredo, você pode ativar o encaminhamento de gravação, mas não pode especificar o vault de uma região remota para armazenar o segredo de origem usando a funcionalidade de encaminhamento de gravação.
- Como a operação de gravação acontece de forma assíncrona e as atualizações são aplicadas primeiro ao segredo de origem, espere um atraso entre quando você iniciar a atualização na réplica e quando a atualização for concluída na região da réplica. Você pode monitorar o andamento da atualização usando solicitações de serviço. Consulte Solicitações de Serviço Secretas para obter detalhes sobre o uso de solicitações de serviço com o serviço Secret.
- A entidade que está solicitando a atualização na região da réplica deve estar autorizada a executar a atualização na região do segredo de origem e na região em que a réplica reside.
- Não é possível ativar o encaminhamento de gravação na Console do OCI. Use as APIs CreateSecret e UpdateSecret ou os comandos da CLI para essas operações a fim de permitir o encaminhamento de gravação. Nas APIs, defina o
isWriteForwardEnabledcomotruepara ativar o recurso.
Política Obrigatória do Serviço IAM
Use as informações de permissões nesta seção para permitir que usuários ou controladores de recursos configurem a replicação entre regiões de segredos.
Permissões Necessárias para Configurar a Replicação
Para criar ou atualizar uma configuração de replicação secreta (replicationConfig), um usuário ou um controlador de recursos deve ter a permissão SECRET_REPLICATE_CONFIGURE. Isso está incluído no verbo manage secrets.
Para criar um segredo com a replicação ativada, certifique-se de que você ou o controlador de recursos tenham todas as seguintes permissões:
SECRET_CREATE,KEY_ENCRYPT,KEY_DECRYPT,VAULT_CREATE_SECRET(para usar a API CreateSecret ou criar segredos na Console ou em outras interfaces.SECRET_REPLICATE_CONFIGURE
Para atualizar (ou remover) uma configuração de replicação, certifique-se de que você ou o controlador de recursos tenham todas as seguintes permissões:
SECRET_UPDATE(para usar a API UpdateSecret ou atualizar segredos na Console ou em outras interfaces).SECRET_REPLICATE_CONFIGURE
Política de Amostra
A seguinte política de amostra tem instruções que abrangem todos os recursos necessários para ativar a replicação entre regiões para segredos novos ou existentes:
Allow group Admins to manage secrets in compartment CompartmentName # for granting SECRET_CREATE, SECRET_UPDATE, SECRET_REPLICATE_CONFIGURE
Allow group Admins to use keys in compartment CompartmentName # for granting KEY_ENCRYPT, KEY_DECRYPT
Allow group Admins to use vaults in compartment CompartmentName # for granting VAULT_CREATE_SECRETOs verbos de autenticação na política de amostra (
manage secrets, use keys, use vaults) também contêm mais permissões não listadas neste tópico. Revise Detalhes para Combinações de Verbo + Tipo de Recurso ao gravar políticas do IAM para segredos.Permissões Necessárias pelos Controladores de Recursos para Permitir Replicação de Segredo entre Regiões
Quando a replicação está ativada em um segredo, você precisa fornecer ao controlador de recursos permissões relevantes no contexto da região de destino para que a replicação ocorra.
Configurando um Grupo Dinâmico
Recomendamos a configuração de um grupo dinâmico para os segredos que você replicará para facilitar o gerenciamento de políticas. Veja a seguir um exemplo de regra de correspondência:
All {resource.type = 'vaultsecret', resource.compartment.id = '<compartment ID>'}Para obter mais informações sobre regras de correspondência de grupos dinâmicos, consulte Escrevendo Regras de Correspondência para Definir Grupos Dinâmicos.
Escrevendo a Política
A replicação de segredo requer que o controlador de recursos vaultsecret pertencente ao seu segredo tenha permissões para criar e gerenciar o segredo de réplica na região de destino. Essas permissões são SECRET_CREATE, KEY_ENCRYPT, KEY_DECRYPT, VAULT_CREATE_SECRET e SECRET_REPLICATE.
Observe que SECRET_REPLICATE é uma permissão usada apenas para o recurso de replicação entre regiões. Quando concedido, o SECRET_REPLICATE permite que um controlador de recursos vaultsecret crie uma réplica na região de destino.
Política de Amostra para Controlador de Recursos vaultsecret
Allow dynamic-group VaultSecretDG to use secret-replication in compartment CompartmentName # for granting SECRET_REPLICATE
Allow dynamic-group VaultSecretDG to manage secrets in compartment CompartmentName # for granting SECRET_CREATE
Allow dynamic-group VaultSecretDG to use vaults in compartment CompartmentName # for granting VAULT_CREATE_SECRET
Allow dynamic-group VaultSecretDG to use keys in compartment CompartmentName # for granting KEY_ENCRYPT, KEY_DECRYPT- Os verbos de autenticação na política de amostra (
manage secrets,use keys,use vaults) também contêm mais permissões não listadas neste tópico. Revise Detalhes para Combinações de Verbo + Tipo de Recurso ao gravar políticas do IAM para segredos. - Essas permissões precisam ser concedidas dentro do contexto da região de destino. Por exemplo, se você restringir o acesso usando a variável de contexto do ID do vault, certifique-se de que a variável especificada seja o ID do vault da região de destino.
- Se o seu compartimento ou segredo usar tags definidas, certifique-se de também conceder a permissão
use tag-namespacesao seu grupo dinâmico vaultsecret.