11 身份证明存储（预览）

本章介绍如何使用 Oracle AI Data Platform Workbench 中的身份证明存储来创建、管理和预配访问身份证明。

主题：

• 关于身份证明存储（预览）
• 创建身份证明（预览）
• 在记事本中使用存储的身份证明（预览）
• 修改身份证明（预览）
• 共享凭据（预览）
• 删除身份证明（预览）
• 查看身份证明详细信息（预览）
• 查看身份证明存储历史记录（预览）

关于身份证明存储（预览）

Oracle AI Data Platform Workbench 中的身份证明存储允许您创建、管理和预配对身份证明的访问权限。

您可以从 AI 数据平台工作台中的左侧导航面板访问身份证明存储页面。在“身份证明存储”屏幕中，您可以查看 AI 数据平台工作台实例中的所有现有身份证明以及对身份证明存储所做的更改的历史记录，包括身份证明的创建、修改和删除。

利用 AI Data Platform Workbench，您可以创建和存储身份证明，以用作记事本和工作流的一部分。身份证明包括用于访问 AI Data Platform 工作台外部源的密钥、令牌或密码，例如云、数据库或 API。凭证存储提供了一种安全的方式来创建和存储凭证，为可以访问凭证的人员管理权限，以及在何处查看凭证使用方式的审计日志。

凭证通过严格的访问控制进行管理，以确保安全且经授权的使用。身份证明存储上的操作记录在 AI 数据平台工作台的审计日志中，以确保遵守任何适用的法规和合规性要求。

AI Data Platform Workbench 身份证明存储使用以下类型的身份证明：

• 秘密令牌：通过此类别的凭证，您可以访问第三方服务，例如 API。密钥标记类型身份证明本质上是自由形式的，需要您提供密钥和值对来存储字段名称及其值。
• OCI Vault 引用：您可以存储对现有 OCI Vault 密钥的引用，以便他们可以使用实用程序 API 从 Vault 检索密钥。AI Data Platform Workbench 不存储密钥值，但会在必要时安全地访问密钥值。

Prerequisites

要在 AI 数据平台工作台中创建凭证，需要在主目录级别具有 CREATE_CREDENTIAL 权限。有关详细信息，请参阅主目录权限。

您还需要确保在相应的区间中配置了以下 IAM 策略：

对于 Vault 引用：

allow any-user to read secret-bundles in compartment id <Secret_Compartment_OCID> where all { request.principal.type = 'aidataplatform', request.principal.id = target.secret.system-tag.orcl-aidp.governingAidpId }  

对于自定义加密密钥：

allow any-user to use keys in compartment id <Key_Compartment_OCID> where request.principal.type = 'aidataplatform' 

身份证明存储用例

身份证明存储可用于各种方案：

• 外部系统集成：存储连接到第三方系统（例如 SaaS 平台、数据库或数据源）所需的 API 令牌或凭证。
• 管道和工作流验证：在不使用硬编码凭证的情况下安全地引用数据管道、作业或工作流中的密钥。
• 集中式密钥管理：为跨团队和环境使用的凭证维护单一信息源。
• Enterprise Vault 集成：使用 Vault 引用可利用现有企业级密钥管理系统，同时仍与工作流集成。

最佳做法

要确保使用身份证明存储时的安全性和可维护性，请遵循以下最佳做法：

• 避免硬编码密钥：始终将敏感值存储在身份证明存储中，而不是将其嵌入到代码、配置或脚本中。
• 尽可能使用 Vault 引用：对于高度敏感或受监管的数据，首选 Vault 引用。
• 使用最小权限原则限制访问：仅与需要访问的用户共享密钥，并避免使用广泛或不必要的权限。
• 使用描述性命名惯例：明确命名密钥（例如 openai-api-token-prod），以便于识别和管理。
• 定期轮换密钥：定期更新令牌和凭证，以降低泄露风险。
• 按环境划分的机密信息：为开发、暂存和生产环境维护不同的机密信息，以避免意外滥用。
• 审计和查看用法：定期查看谁可以访问密钥以及密钥的使用位置。

通过有效使用凭证存储，团队可以改善安全状况，简化凭证管理，并实现跨 AI 数据平台的可扩展集成。

创建身份证明（预览）

您可以通过选择提供所需详细信息的身份证明类型来创建用于访问其他源的身份证明。

1. 单击左侧导航窗格中的创建，然后选择身份证明。您还可以导航到身份证明存储，然后单击 创建身份证明。
2. 提供名称和说明。
3. 从身份证明类型下拉列表中，选择适当的身份证明类型。
   • 选择密钥令牌可直接存储值。
   • 选择 Vault 引用以引用外部 Vault 密钥。
4. 在提供的字段中提供必要的身份证明。
   • 对于 Secret Token（密钥令牌），提供密钥名称和密钥值。
   • 对于 Vault Reference ，提供 Vault OCID。
5. 配置访问或可见性设置（如果适用）。
6. 单击创建。

在记事本中使用存储的身份证明（预览）

您可以使用 helpptuils 实用程序在记事本的代码中调用存储的凭据。

1. 导航到您的笔记本。
2. 标识需要敏感值的字段。例如，API 密钥或密码。
3. 使用辅助设备获取存储的身份证明：
   • 对于密钥值，请使用 My_key = myKey = aidputils.secrets.get(name=<<cred_name>>, key="key_name")
   • 有关 Vault 引用，请使用 myKey = aidputils.secrets.get(name=<<cred_name>>, key=VaultSecretReference)
4. 运行记事本。AI Data Platform Workbench 在运行时解析密钥。

修改身份证明（预览）

您可以修改身份证明存储中身份证明的名称、说明或配置，以使其保持最新。

1. 在主页上，导航到您的身份证明存储。
2. 在要修改的身份证明旁边，单击 操作，然后单击编辑。还可以单击身份证明名称，然后单击右上角的编辑。
3. 根据需要修改名称、说明或配置详细信息。
4. 单击保存。

共享凭据（预览）

您可以在身份证明存储中共享身份证明并管理可以访问这些身份证明的人员。

1. 在主页上，导航到您的身份证明存储。
2. 单击要共享的身份证明的名称。
3. 单击权限选项卡。
4. 根据需要添加或修改身份证明的权限。
5. 单击保存。

删除身份证明（预览）

您可以从身份证明存储中删除身份证明以删除未使用或过时的身份证明。

1. 在主页上，导航到您的身份证明存储。
2. 在要修改的身份证明旁边，单击 操作，然后单击删除。还可以单击身份证明名称，然后单击右上角的删除。
3. 选择确认删除身份证明。
4. 单击删除。

查看身份证明详细信息（预览）

您可以在身份证明存储中查看身份证明的配置、使用和权限详细信息。

1. 在主页上，单击左侧导航窗格中的身份证明存储。
2. 单击要查看其详细信息的身份证明的名称。
3. 单击用法选项卡可查看凭证的使用方式以及使用时间以及使用者历史记录。
4. 单击权限选项卡以查看哪些用户或角色可以访问此身份证明及其访问级别。

查看身份证明存储历史记录（预览）

您可以在 Oracle AI Data Platform Workbench 实例中查看身份证明的完整历史记录，包括创建、修改和删除。

1. 在主页上，单击左侧导航窗格中的身份证明存储。
2. 单击历史记录选项卡。
3. 使用类型下拉列表或“搜索”字段筛选显示的身份证明事件。
4. 单击事件 ID 可查看该特定事件的更多详细信息。