WebLogicおよびノード・マネージャ資格証明にOCIシークレットを使用するための要件
Pre-General Availability: 2024-10-11
The following legal notice applies to Oracle pre-GA releases.著作権およびその他の適用される法律に関する情報は、Oracleの法律上の注意点を参照してください。
Pre-General Availability Draft Documentation Notice
このドキュメントはPre-General Availability (一般提供前)版であり、デモおよび暫定使用のみを目的としたものです。このソフトウェアを使用するハードウェアに限定するものではありません。Oracle Corporationおよびその関連会社は、このドキュメントに関して一切の責任を負わず、いかなる保証もいたしません。また、このドキュメントを使用したことによって損失、費用、あるいは損害が発生しても、一切の責任を負いかねます。
OCI Vaultは、暗号化キーとシークレットを格納および管理してリソースに安全にアクセスする暗号化管理サービスです。セキュリティとは、パスワード、証明書、SSHキー、OCIサービスで使用する認証トークンなどの資格証明です。WebLogicユーザー名とパスワードまたはノード・マネージャのユーザー名とパスワードのシークレットを作成する場合、WebLogic管理では、WebLogicサーバーの起動や停止などの管理資格証明が必要なときにシークレットを使用できます。
WebLogic管理でのドメインの構成の一部として、WebLogicまたはノード・マネージャの資格証明にOCIシークレットを使用することを選択できます。WebLogic管理は、シークレットOCIDsをサービス・データベースに格納し、ライフサイクル操作(ドメインの起動、停止、再起動)およびパッチ適用操作(パッチ適用、ロールバック)のペイロードとして値を送信します。この機能は、プラグインがドメイン自体から資格証明を読み取らないようにする場合に使用します。これは、boot.propertiesが使用されず、WebLogic資格証明がServertStart Mbeanに格納されないセキュアな本番環境で特に役立ちます。
ポリシーの前提条件
WebLogic管理プラグインは、顧客のコンピュート・インスタンスで実行されます。コンピュートがメンバーである動的グループには、シークレットを読み取る権限が必要です。シークレットOCIDsがWebLogicおよびノード・マネージャの資格証明に使用される場合、顧客テナンシには次のポリシーが必要です。
allow dynamic-group <dynamic-group-name> to read secret-family in compartment <compartment-name>特定のシークレット、キーまたはボールトのセットへのアクセスを制限するには、より詳細なポリシーを使用することをお薦めします。詳細は、ボールト、キーおよびシークレットを管理するための共通ポリシーを参照してください。
シークレットの作成
WebLogicのユーザー名とパスワード、およびノード・マネージャのユーザー名とパスワードのシークレットを作成します。Vaultシークレットの管理を参照してください。
これらのシークレットをWebLogicまたはノード・マネージャ資格証明に使用するには、「ドメインのWebLogic資格証明の定義または編集」および「ドメインのノード・マネージャ資格証明の定義または編集」を参照してください。