Documentação do Oracle Cloud Infrastructure

Criando um Segredo em um Vault

Crie um segredo em um vault. Segredos são credenciais como senhas, certificados, chaves SSH ou tokens de autenticação que você usa com os serviços do Oracle Cloud Infrastructure.

    1. Abra o menu de navegação, clique em Identidade e Segurança e clique em Vault.
    2. Em Escopo da lista, selecione o compartimento no qual você deseja criar um segredo.

    3. Clique no nome do vault no qual você deseja criar um segredo. Se você precisar criar um novo vault para o segredo, siga as instruções no tópico Criar um Vault e, em seguida, clique no nome do vault.

    4. Em Recursos, clique em Segredos e em Criar Segredo.
    5. No painel Criar Segredo, forneça os seguintes detalhes:
      1. Digite um nome para identificar o segredo. Evite digitar qualquer informação confidencial.
      2. Informe uma breve descrição do segredo para ajudar a identificá-lo. Evite digitar qualquer informação confidencial.
      3. Selecione a chave de criptografia mestre que você deseja usar para criptografar o conteúdo do segredo enquanto ele é importado para o vault. (A chave deve pertencer ao mesmo vault. A chave também deve ser uma chave simétrica. Você não pode criptografar segredos do vault com chaves assimétricas.)
      4. Selecione um dos seguintes métodos para gerar segredo:
        • Geração automática de segredo: Gera segredo automaticamente. Quando ativado, você não precisa fornecer o conteúdo secreto. Além disso, ao criar uma nova versão de segredo, ela é gerada automaticamente com base no tipo de geração de segredo e no modelo de geração.
        • Geração manual de segredo: Permite que você forneça manualmente o conteúdo do segredo.
      5. Se você selecionou Geração automática de segredo, selecione o Tipo de geração.
        • Se você selecionou Frase-senha, selecione o Contexto de geração correspondente. Opcionalmente, forneça o Tamanho da frase-senha e o Formato secreto.
        • Se você selecionou Chave SSH, selecione o contexto de geração correspondente e, opcionalmente, forneça o formato secreto.
        • Se você selecionou Bytes, selecione o Contexto de geração correspondente e, opcionalmente, forneça o Formato secreto.
      6. Se você selecionou Geração de segredo manual, forneça o seguinte:
        1. No Modelo de Tipo de Segredo, especifique o formato do conteúdo do segredo que você está fornecendo selecionando um modelo. Você pode fornecer conteúdo de segredo em texto simples quando usa a Console para criar um segredo de vault ou uma versão de segredo de vault, mas o conteúdo do segredo deve ser codificado em base64 antes de ser enviado ao serviço. A Console codifica automaticamente o conteúdo de segredo em texto sem formatação para você.
        2. Em Conteúdo do Segredo, informe o conteúdo do segredo. (O tamanho máximo permitido para um pacote de segredos é de 25 KB.)
    6. Para aplicar uma regra para gerenciar como os segredos do vault são usados, clique em Mostrar opções avançadas e forneça a seguinte inforação na guia Regras. Você pode criar uma regra referente à reutilização de conteúdo de segredo nas versões de um segredo ou criar uma regra especificando quando o conteúdo do segredo expirará. Para obter mais informações sobre regras, consulte Regras de Segredo.
      • Tipo de Regra: Selecione Regra de Reuso de Segredo ou uma Regra de Vencimento de Segredo. No máximo, você pode ter uma de cada. Se você já tiver uma regra, mas quiser adicionar outra, clique em + Outra Regra.

      • Configuração (para regra de reuso): Selecione para aplicar a regra de reuso para que ela se aplique até mesmo às versões de segredos excluídas ou permitir a reutilização de conteúdo de segredo das versões de segredo excluídas.

      • Configuração (para regra de Expiração): Defina com que frequência você deseja que o conteúdo do segredo expire e o que deseja que aconteça quando o segredo ou a versão do segredo expirar. A expiração de versões de segredos individuais é representada por um período de 1 a 90 dias que você pode especificar com os botões de seta ou informando um número. A expiração do próprio segredo é representada por um tempo absoluto e uma data entre 1 e 365 dias a partir da hora e data atuais. Especifique essa data usando o seletor de data. Você pode configurar valores de expiração para a versão do segredo e para o segredo ou para apenas um dos dois. (É possível limpar o intervalo de expiração da versão do segredo, mas é possível excluir toda a regra de expiração e reiniciar para definir um tempo absoluto para expiração do segredo.)

    7. Na seção Rotação de Segredo, forneça os seguintes detalhes:
      1. Tipo de sistema de destino: Selecione o tipo de sistema de destino como Autonomous Database ou Função e forneça o id do sistema de destino correspondente.
      2. Id do sistema de destino: O id do sistema é preenchido automaticamente para o tipo de sistema de destino selecionado.
      3. Ativar rotação automática: marque a caixa de seleção para ativar a rotação automática.
        Observação

        Se você não especificar o tipo e o id do sistema de destino, a caixa de seleção não será ativada para rotação automática.
      4. Intervalo de rotação: Opcionalmente, selecione o intervalo de rotação para atualizar o segredo periodicamente.
    8. Opcionalmente, para aplicar tags ao segredo, clique em Mostrar opções avançadas e forneça a seguinte inforação na guia Tag. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deve aplicar tags, ignore essa opção (você poderá aplicar tags posteriormente) ou pergunte ao administrador.
    9. Clique em Criar Segredo.

  • Use o comando create-base64 para criar um segredo em um vault.

    Observação

    Especifique uma chave simétrica para criptografar o segredo durante a importação para o vault. Você não pode criptografar segredos com chaves assimétricas. Além disso, a chave deve existir no vault especificado.
    oci vault secret create-base64 --compartment-id <target_compartment_id> --secret-name <secret_name> --vault-id <target_vault_id> --description <secret_description_text> --key-id <encryption_key_id> --secret-content-content <base64_encoded_secret_content> --secret-content-name <unique_content_name> --secret-content-stage <secret_version_rotation_state>

    Por exemplo:

    
oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --secret-content-content bXlwYXNzd29yZA== --secret-content-name testpassword1 --secret-content-stage CURRENT

    Evite digitar informações confidenciais.

    Para ativar a geração e a rotação automáticas de segredos, consulte o seguinte exemplo:

    oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --enable-auto-generation true --secret-generation-context file://sample_generation_file.json --rotation-config file://sample_rotation.json

    Exemplo de conteúdo no arquivo passphrase.json:

    {
	"generation_type": "PASSPHRASE",
	"generation_template": "DBAAS_DEFAULT_PASSWORD",
	"secret_template": {
		"username": "ORACLE",
		"password": "%GENERATED_PASSPHRASE%"
	}	
}

    Exemplo de conteúdo no arquivo sample_rotation.json:

    {
	"rotationInterval": "P30D",
	"isScheduledRotationEnabled": true,
	"target_system_details": {
		"target_system_type": "ADB",
		"adbId": "ocid1.autonomousdatabase.<unique_ID>"
	}
}

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comando da CLI.

  • Execute a operação CreateSecret para criar um segredo no vault.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.