Descreve os pré-requisitos necessários para usar credenciais de segredo do vault com o AWS Secrets Manager.

1. Crie um segredo com o AWS Secrets Manager e copie o ARN secreto da AWS.

   Consulte Gerenciador de Segredos da AWS para obter mais informações.

2. Executar pré-requisitos de gerenciamento da AWS para usar ARNs (Amazon Resource Names).

   Consulte Executar Pré-requisitos de Gerenciamento da AWS para Usar ARNs (Amazon Resource Names) para obter mais informações.

3. Ative a autenticação principal da AWS para fornecer acesso ao segredo no AWS Secrets Manager.

   Por exemplo, na instância do Autonomous Database, execute:

   BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(                                     
             provider => 'AWS',
             params =>
                JSON_OBJECT( 
                   'aws_role_arn' value 'arn:aws:iam::123456:role/AWS_ROLE_ARN'));
   END; 
   /

   Consulte Procedimento ENABLE_PRINCIPAL_AUTH e Sobre o Uso de ARNs (Amazon Resource Names) para Acessar Recursos da AWS para obter mais informações.

4. Configure a AWS para fornecer permissões para ARNs (Amazon Resource Names) para acessar o segredo no AWS Secrets Manager.

   Na console da AWS, conceda acesso de leitura ao segredo à credencial de autenticação principal.

   1. Na console da AWS, navegue até o serviço IAM e selecione Atribuições no Gerenciamento de Acesso.
   2. Selecionar a atribuição.
   3. Na guia Permissão, clique em Adicionar permissões → criar política em linha.
   4. Na seção Serviço, selecione gerenciador secreto como o serviço.
   5. Na seção Ação, selecione o nível de acesso Leitura.
   6. Na seção Recursos, clique em Adicionar ARN, especifique ARN para segredo e clique em Adicionar → clique em Revisar a política → dê um nome de política → clique em criar política.
   7. Voltar para a guia Permissão, verifique se a política em linha está anexada.

   Consulte Usar ARS (Amazon Resource Names) para Acessar Recursos da AWS e Exemplos de política de permissões para o AWS Secrets Manager para obter mais informações.

Descreve as etapas para usar um segredo do AWS Secrets Manager com credenciais.

1. Crie um segredo no AWS Secrets Manager e crie uma política em linha para permitir que o Autonomous Database acesse segredos no AWS Secrets Manager.
   Consulte Pré-requisitos para Criar uma Credencial de Segredo do Vault com o AWS Secrets Manager para obter mais informações.
2. Use DBMS_CLOUD.CREATE_CREDENTIAL para criar uma credencial de segredo do vault para acessar o segredo do AWS Secrets Manager.

   Por exemplo:

   BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
       credential_name      => 'AWS_SECRET_CRED',
       params               => JSON_OBJECT( 
            'username'   value 'access_key',
            'secret_id'  value 'arn:aws:secretsmanager:region:account-ID:secret:secret_name' ));
   END;
   /

   Onde:

   • username: é o nome do usuário da credencial original. Pode ser o nome de usuário de qualquer tipo de credencial de nome de usuário/senha.

   • secret_id: é o AWS ARN do segredo do vault.

   Para criar uma credencial secreta do vault, você deve ter o privilégio EXECUTE no pacote DBMS_CLOUD.

   Consulte CREATE_CREDENTIAL Procedimento para obter mais informações.

3. Use a credencial para acessar um recurso de nuvem.

   Por exemplo:

   SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
        'AWS_SECRET_CRED', 
        'https://s3-us-west-2.amazonaws.com/adb/' );