Usar Credencial de Segredo do Vault com o Key Vault do Azure

Descreve o uso de credenciais de segredo do vault, em que o segredo da credencial (senha) é armazenado no Azure Key Vault.

Você pode usar credenciais secretas do vault para acessar recursos da nuvem, acessar outros bancos de dados com links de banco de dados ou usar em qualquer lugar que as credenciais do tipo de nome de usuário/senha sejam necessárias.

Pré-requisitos para Criar a Credencial do Segredo do Vault com o Vault de Chaves do Azure

Descreve os pré-requisitos necessários para usar credenciais de segredo do vault com o Azure Key Vault.

Para criar credenciais de segredo do vault nas quais o segredo está armazenado no Azure Key Vault, primeiro execute os pré-requisitos necessários.

  1. Ative a autenticação do controlador de serviços do Azure para fornecer acesso à chave (senha) no Azure Key Vault.

    Consulte Ativar Azure Service Principal para obter mais informações.

  2. Crie um Azure Key Vault e um segredo (senha) no vault.

    Consulte Sobre o Serviço Key Vault do Azure para obter mais informações.

  3. Configure e permita que o Azure Service Principal forneça acesso ao segredo no Azure Key Vault.

    No portal do Azure, você deve conceder acesso de leitura para que um controlador de serviços acesse o segredo.

    1. No portal do Azure, navegue até o recurso "Key Vault" que contém o segredo que você criou.
    2. Selecione "Políticas de acesso", em seguida, selecione Criar.
    3. Em Permissões, selecione a permissão Obter na seção Permissões secretas.
    4. Em Principal, insira o nome do principal de serviço no campo de pesquisa e selecione o resultado apropriado.
    5. Clique em Próximo.
    6. Em Review + create, revise as alterações da política de acesso e clique em Create para salvar a política de acesso.
    7. De volta à página Políticas de acesso, verifique se sua política de acesso está listada.

    Consulte Designar uma política de acesso ao Key Vault para obter mais informações.

Criar Credencial de Segredo do Vault com o Azure Key Vault

Descreve as etapas para usar um Azure Key Vault com credenciais de segredo do vault.

Isso permite que você armazene um segredo no Azure Key Vault e use o segredo com as credenciais criadas para acessar recursos de nuvem ou acessar outros bancos de dados.

Para criar credenciais de segredo do vault em que o segredo está armazenado no Azure Key Vault:

  1. Crie o Azure Key Vault, o segredo e as políticas de acesso para permitir que o seu Autonomous Database acesse segredos em um Azure Key Vault.
  2. Use DBMS_CLOUD.CREATE_CREDENTIAL para criar uma credencial de segredo de vault.

    Por exemplo:

    BEGIN DBMS_CLOUD.CREATE_CREDENTIAL(
        credential_name  => 'AZURE_SECRET_CRED',
        params  => JSON_OBJECT( 
          'username'          value 'azure_user',
          'secret_id'         value 'sales-secret',
          'azure_vault_name'  value 'azure_keyvault_name' ));
    END;
    /

    Onde:

    • username: é o nome de usuário da credencial original. Pode ser o nome de usuário de qualquer tipo de credencial de nome de usuário/senha.

    • secret_id: é o nome do segredo.

    • azure_vault_name: é o nome do vault no qual o segredo está localizado.

    Para criar uma credencial de segredo do vault, você deve ter o privilégio EXECUTE no pacote DBMS_CLOUD.

    Consulte CREATE_CREDENTIAL Procedures para obter mais informações.

  3. Use a credencial para acessar um recurso de nuvem.

    Por exemplo:

    SELECT count(*) FROM DBMS_CLOUD.LIST_OBJECTS(
         'AZURE_SECRET_CRED', 
         'https://adb_user.blob.core.windows.net/adb/' );
Observação

A cada 12 horas, o segredo (senha) é atualizado com base no conteúdo do Azure Key Vault. Se você alterar o valor do segredo no Azure Key Vault, poderá levar até 12 horas para a instância do Autonomous Database selecionar o valor do segredo mais recente.

Execute DBMS_CLOUD.REFRESH_VAULT_CREDENTIAL para atualizar imediatamente uma credencial de segredo do vault. Este procedimento obtém a versão mais recente do segredo do vault do Azure Key Vault. Consulte REFRESH_VAULT_CREDENTIAL Procedures para obter mais informações.