Documentação do Oracle Cloud Infrastructure

Criando um Segredo

Saiba como criar um segredo em um vault do OCI. Segredos são credenciais como senhas, certificados, chaves SSH ou tokens de autenticação que você usa com os serviços do OCI.

    1. Na página da lista Segredos, selecione Criar Segredo. Se precisar de ajuda para localizar a página da lista, consulte Listando Segredos.
    2. Selecione o Compartimento no qual você deseja criar o segredo.
    3. Informe um Nome para identificar o segredo. Evite inserir qualquer informação confidencial.
    4. Opcionalmente, você pode informar uma Descrição para ajudar a identificar o segredo.

    5. Selecione a Chave de Criptografia principal que você deseja usar para criptografar o conteúdo do segredo enquanto ele for importado para o vault. Se a chave estiver em outro compartimento, use o seletor Compartimento da Chave de Criptografia para especificar o compartimento da chave de criptografia. Observe o seguinte:

      • A chave deve estar no mesmo vault do segredo
      • Você deve selecionar uma chave simétrica para criar o segredo. Chaves assimétricas não são suportadas para criação de segredo.
    6. Selecione um dos seguintes métodos para gerar segredo:
      • Geração automática de segredo: Gera o segredo automaticamente. Quando ativada, você não precisa fornecer o conteúdo do segredo. Além disso, ao criar uma nova versão de segredo, ela é gerada automaticamente com base no tipo de geração de segredo e no modelo de geração.
      • Geração manual de segredo: Permite que você forneça manualmente o conteúdo do segredo.
    7. Se você selecionou Geração automática de segredo, selecione o Tipo de geração.
      • Se você selecionou Frase-senha, selecione o Contexto de geração correspondente. Opcionalmente, forneça o Tamanho da frase-senha e o Formato secreto.
      • Se você selecionou Chave SSH, selecione o contexto de geração correspondente e, opcionalmente, forneça o formato secreto.
      • Se você selecionou Bytes, selecione o Contexto de geração correspondente e, opcionalmente, forneça o Formato secreto.
    8. Se você selecionou Geração de segredo manual, forneça o seguinte:
      • No Modelo de Tipo de Segredo, especifique o formato do conteúdo do segredo que você está fornecendo selecionando um modelo. Você pode fornecer conteúdo de segredo em texto simples ao usar a Console para criar um segredo do vault ou uma versão do segredo do vault, mas o conteúdo do segredo deve ser codificado em base64 antes de ser enviado ao serviço. A Console codifica automaticamente conteúdos de segredo de texto não criptografado para você.
      • Em Conteúdo do Segredo, informe o conteúdo do segredo. (O tamanho máximo permitido para um pacote de segredos é de 25 KB.)

    9. Opcionalmente, você pode ativar a Replicação entre regiões usando a chave de alternância para esse recurso. Você pode replicar o segredo em até 3 regiões de destino. Depois de mover a chave de alternância, forneça as seguintes informações:

      • Região de Destino: Selecione a região que contém o vault de destino para o segredo replicado.
      • Vault de Destino: Selecione o vault de destino para o segredo replicado.
      • Chave: Selecione a chave de criptografia que você deseja usar para criptografar o conteúdo do segredo no vault de destino.

      Para replicar o segredo em mais vaults, selecione Adicionar item e forneça os detalhes da região, do vault e da chave do vault de destino de destino.

    10. Na seção Rotação de segredo, forneça os seguintes detalhes:
      1. Tipo de sistema de destino: Selecione o tipo de sistema de Destino como Autonomous Database ou Função e forneça o id do sistema de Destino correspondente.
      2. Id do sistema de destino: O id do sistema é preenchido automaticamente para o tipo de sistema de destino selecionado.
      3. Ativar rotação automática: Marque a caixa de seleção para ativar a rotação automática.
        Observação

        Se você não especificar o tipo e o id do sistema de destino, a caixa de seleção não será ativada para rotação automática.
      4. Intervalo de rotação: Opcionalmente, selecione o intervalo de Rotação para atualizar o segredo periodicamente.
    11. Para aplicar uma regra para gerenciar como os segredos do vault são usados, selecione Opções avançadas e, em seguida, selecione Outra Regra. Forneça as informações a seguir na guia Regras. Você pode criar uma regra referente à reutilização de conteúdo de segredo nas versões de um segredo ou criar uma regra especificando quando o conteúdo do segredo expirará. Para obter mais informações sobre regras, consulte Regras de Segredo.
      • Tipo de Regra: Selecione Regra de Reutilização de Segredo ou uma Regra de Expiração de Segredo. No máximo, você pode ter uma de cada. Se você já tiver uma regra, mas quiser adicionar outra, selecione Outra Regra.

      • Configuração:

        • Para regra da reutilização: Selecione para impor a regra da reutilização de modo que ela se aplique até mesmo às versões de segredos excluídas ou permita a reutilização do conteúdo de segredo das versões de segredos excluídas.
        • Para regra de expiração: Defina a frequência com que deseja que os conteúdos do segredo expirem e o que deseja que aconteça quando a versão de segredo ou segredo expirar. A expiração de versões de segredos individuais é representada por um período de 1 a 90 dias que você pode especificar com os botões de seta ou informando um número. A expiração do próprio segredo é representada por um tempo absoluto e uma data entre 1 e 365 dias a partir da hora e data atuais. Especifique essa data usando o seletor de data. Você pode configurar valores de expiração para uma ou ambas as versões do segredo e do segredo. Observe que é possível limpar o intervalo da expiração de versão do segredo, mas exclua toda a regra da expiração e inicie novamente para definir um tempo absoluto para expirar o segredo.
    12. Opcionalmente, para aplicar tags ao segredo, selecione Tags e Adicionar tag. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se não tiver certeza de que deseja aplicar tags, ignore esta opção (você poderá aplicar tags posteriormente) ou pergunte ao administrador.
    13. Selecione Criar Segredo.

  • Use o comando oci vault secret create-base64 para criar um segredo em um vault.

    Observação

    Especifique uma chave simétrica para criptografar o segredo durante a importação para o vault. Você não pode criptografar segredos com chaves assimétricas. Além disso, a chave deve existir no vault especificado.
    oci vault secret create-base64 --compartment-id <target_compartment_id> --secret-name <secret_name> --vault-id <target_vault_id> --description <secret_description_text> --key-id <encryption_key_id> --secret-content-content <base64_encoded_secret_content> --secret-content-name <unique_content_name> --secret-content-stage <secret_version_rotation_state> [OPTIONS]

    Por exemplo:

    
oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --secret-content-content bXlwYXNzd29yZA== --secret-content-name testpassword1 --secret-content-stage CURRENT

    Evite digitar informações confidenciais.

    Para ativar a geração e a rotação automáticas de segredos, consulte o seguinte exemplo:

    oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --enable-auto-generation true --secret-generation-context file://sample_generation_file.json --rotation-config file://sample_rotation.json

    Exemplo de conteúdo no arquivo passphrase.json:

    {
	"generation_type": "%GENERATED_PASSPHRASE%",
	"generation_template": "DBAAS_DEFAULT_PASSWORD",
	"secret_template": {
		"username": "ORACLE",
		"password": "<example_password>",
}

    Exemplo de conteúdo no arquivo sample_rotation.json:

    {
	"rotationInterval": "P30D",
	"isScheduledRotationEnabled": true,
	"target_system_details": {
		"target_system_type": "ADB",
		"adbId": "ocid1.autonomousdatabase.<unique_ID>"
	}
}

    Para obter uma lista completa dos parâmetros e valores dos comandos da CLI, consulte a Referência de Comandos da CLI.

  • Use a API CreateSecret com o Ponto Final de Gerenciamento para criar um segredo no vault.

    Observação

    O Ponto Final de Gerenciamento é usado para operações de gerenciamento, incluindo Criar, Atualizar, Listar, Obter e Excluir. O Ponto Final de Gerenciamento também é chamado de URL do plano de controle ou de ponto final KMSMANAGEMENT.

    O Ponto Final Criptográfico é usado para operações criptográficas, incluindo Criptografar, Decriptografar, Gerar Chave de Criptografia de Dados, Assinar e Verificar. O Ponto Final Criptográfico também é chamado de URL do plano de dados ou ponto final KMSCRYPTO.

    Você pode encontrar os pontos finais de gerenciamento e criptografia nos metadados de detalhes de um vault. Consulte Obtendo Detalhes de um Vault para obter instruções.

    Para pontos finais regionais para APIs de Gerenciamento de Chaves, Gerenciamento de Segredos e Recuperação de Segredos, consulte Referência de API e Pontos Finais.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.