Documentação do Oracle Cloud Infrastructure

Gerenciando Segredos do Vault

Crie e gerencie segredos do vault, tags de segredo e regras de segredo.

O Gerenciamento de Segredos do Oracle Cloud Infrastructure permite proteger facilmente dados confidenciais, como chaves de API, senhas e chaves de criptografia, usando segredos. Ele oferece uma solução robusta para criar, armazenar, gerenciar e acessar esses segredos com segurança. O armazenamento centralizado que ele fornece aproveita os módulos de segurança de hardware (HSMs) e o controle de acesso granular para proteger a segurança e a integridade das informações críticas. Use o Gerenciamento de Segredos do OCI para eliminar a incorporação de segredos diretamente nos aplicativos, reduzir a superfície de ataque e fortalecer a segurança geral de um aplicativo.

Geração e Rotação Automáticas de Segredos

Os recursos Geração Automática de Segredos e Rotação Automática de Segredos no Gerenciamento de Segredos do OCI eliminam a carga manual de usar scripts para gerenciar a criação e a rotação de segredos. Usando a Console e APIs do OCI, crie e gerencie com eficiência o ciclo de vida de um segredo desde a criação até a rotação e a exclusão, aprimorando assim a segurança e a eficiência operacional.

Com a Geração Automática de Segredos, deixe que o Gerenciamento de Segredos do OCI gere automaticamente segredos em seu nome com algumas etapas simples. A Geração Automática de Segredo suporta três tipos de geração de segredo, como senhas, chaves SSH e bytes aleatórios. Para obter mais informações, consulte Criando um Segredo em um Vault.

Com a Rotação Automática de Segredos, ative a rotação automática de segredos para configurar o intervalo de rotação de segredos de um mês para 12 meses e rotacione periodicamente os segredos. Esse recurso se integra ao Autonomous Database (ADB) e ao OCI Functions para rotacionar facilmente segredos usados no ADB ou em um código de função. Quando a opção Rotação Automática de Segredo está ativada, os aplicativos começam a usar o novo segredo imediatamente. No OCI Functions, você pode alternar facilmente qualquer credencial e executar o código como parte do processo de rotação. A rotação automática também está disponível para segredos criados manualmente. Para rotacionar segredos do seu banco de dados usando as funções pré-criadas no OCI Functions, consulte Rotação de Segredo do Banco de Dados sem Função Wallet e Rotação de Segredo do Banco de Dados com Função Wallet.

Versões de Segredo e Estados de Rotação

Saiba mais sobre versões de segredo do vault, estados de rotação e o impacto da limitação de versão de segredo.

O entendimento das versões e dos estados de rotação do segredo do vault o ajudará a rastrear e gerenciar o conteúdo do segredo para ficar em conformidade com qualquer limite, rotação ou outras regras ou regulamentações.

Para obter uma definição básica de conceitos de segredos, incluindo versões de segredo e estados de rotação, consulte Conceitos de Gerenciamento de Chaves e Segredos. Para obter informações sobre como trabalhar com versões de segredos, consulte Gerenciando Segredos do Vault.

Estados de Rotação

As versões de segredo podem ter mais de um estado de rotação por vez. Onde existe somente uma versão de segredo, como quando você cria um segredo pela primeira vez, a versão do segredo é marcada automaticamente como "atual" e "mais recente". A versão "mais recente" de um segredo contém o conteúdo do segredo que foi submetido a upload pela última vez para o vault, caso você queira acompanhar isso.

Quando rotacionar um segredo para fazer upload de um novo conteúdo de segredo, você poderá marcá-lo como "pendente". Marcar o estado de rotação de uma versão de segredo como "pendente" permite fazer upload do conteúdo do segredo para o vault sem colocá-lo imediatamente em uso ativo. Você pode continuar usando a versão de segredo "atual" até que esteja pronto para promover uma versão de segredo pendente para o status "atual". Isso normalmente acontece depois que você rotaciona as credenciais no recurso ou serviço de destino primeiro. Você não deseja alterar uma versão de segredo inesperadamente. Alterar a versão de segredo atual impede o aplicativo que precisa dela de recuperar a versão de segredo esperada do vault.

Para fazer rollback facilmente para uma versão anterior, como quando você cometeu um erro na atualização do conteúdo do segredo ou quando restaurou um backup de um recurso mais antigo e precisa retomar usando conteúdo de segredo mais antigo, as versões de segredo também podem ser marcadas como "anterior". Uma versão de segredo marcada como "anterior" foi anteriormente uma versão de segredo marcada como "atual". Para fazer rollback para uma versão anterior, atualize o segredo para especificar o número da versão de segredo que você deseja.

Desde que uma versão de segredo não tenha sido excluída, você poderá atualizar o segredo para usar essa versão de segredo anterior. Quando você atualiza o segredo, o número da versão de segredo escolhido é marcado como "atual". Isso tem o mesmo efeito que promover uma versão de segredo para "atual".

Você só pode excluir versões de segredo que foram marcadas como "obsoletas". Uma versão de segredo descontinuada é aquela que não está marcada como "atual", "pendente" ou "anterior". Isso ajuda a evitar circunstâncias em que você pode excluir uma versão de segredo que precisará posteriormente (por exemplo, ao restaurar um banco de dados do qual você fez backup anteriormente). Uma versão de segredo que é marcada como qualquer outra que não seja "preterida" pode ser marcada como "atual" para retornar ao uso ativo.

Limitação de Versão

Os limites de versões de segredo se aplicam às versões de um segredo que estão em uso e às versões obsoletas, inclusive aquelas que foram programadas para exclusão. Para obter informações sobre limites do número de versões para um determinado segredo e para versões de segredo em uma tenancy, consulte Limites do Serviço.

Política Obrigatória do Serviço IAM

Para usar o Oracle Cloud Infrastructure, você deve receber de um administrador o acesso de segurança em uma política . Esse acesso é necessário, quer você esteja usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem de que não tem permissão ou que não está autorizado, verifique com o administrador qual tipo de acesso você tem e em qual compartimento vai trabalhar.

Para administradores:

Se você ainda não conhece as políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns.

Recursos de Tags

Aplique tags aos seus recursos para ajudar a organizá-los de acordo com as necessidades da sua empresa. Aplique tags no momento da criação de um recurso ou atualize-o posteriormente com as tags desejadas. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.

Recursos do Serviço Monitoring

Você pode monitorar a integridade, a capacidade e o desempenho dos recursos do Oracle Cloud Infrastructure usando métricas, alarmes e notificações. Para obter mais informações, consulte os serviços Monitoring e Notifications.

Mover Recursos para Outro Compartimento

Você pode mover segredos de um compartimento para outro. Depois de mover um segredo para um novo compartimento, as políticas inerentes serão aplicadas imediatamente e afetarão o acesso ao segredo e às versões de segredo. Mover um segredo não afeta o acesso ao vault ao qual um segredo está associado. Da mesma forma, você pode mover um vault de um compartimento para outro independentemente de mover qualquer um de seus segredos. Para obter mais informações, consulte Gerenciando Compartimentos.