WebLogicおよびノード・マネージャ資格証明にOCIシークレットを使用するための要件
OCI Vaultは、暗号化キーとシークレットを格納および管理してリソースに安全にアクセスする暗号化管理サービスです。セキュリティとは、パスワード、証明書、SSHキー、OCIサービスで使用する認証トークンなどの資格証明です。WebLogicユーザー名とパスワードまたはノード・マネージャのユーザー名とパスワードのシークレットを作成する場合、WebLogic管理では、WebLogicサーバーの起動や停止などの管理資格証明が必要なときにシークレットを使用できます。
WebLogic管理でのドメインの構成の一部として、WebLogicまたはノード・マネージャの資格証明にOCIシークレットを使用することを選択できます。WebLogic管理は、シークレットOCIDsをサービス・データベースに格納し、ライフサイクル操作(ドメインの起動、停止、再起動)およびパッチ適用操作(パッチ適用、ロールバック)のペイロードとして値を送信します。この機能は、プラグインがドメイン自体から資格証明を読み取らないようにする場合に使用します。これは、boot.propertiesが使用されず、WebLogic資格証明がServertStart Mbeanに格納されないセキュアな本番環境で特に役立ちます。
ポリシーの前提条件
WebLogic管理プラグインは、顧客のコンピュート・インスタンスで実行されます。コンピュートがメンバーである動的グループには、シークレットを読み取る権限が必要です。シークレットOCIDsがWebLogicおよびノード・マネージャの資格証明に使用される場合、顧客テナンシには次のポリシーが必要です。
allow dynamic-group <dynamic-group-name> to read secret-family in compartment <compartment-name>特定のシークレット、キーまたはボールトのセットへのアクセスを制限するには、より詳細なポリシーを使用することをお薦めします。詳細は、ボールト、キーおよびシークレットを管理するための共通ポリシーを参照してください。
シークレットの作成
WebLogicのユーザー名とパスワード、およびノード・マネージャのユーザー名とパスワードのシークレットを作成します。Vaultシークレットの管理を参照してください。
WebLogicまたはノード・マネージャ資格証明にこれらのシークレットを使用するには、「ドメインのWebLogic資格証明の定義または編集」および「ドメインのノード・マネージャ資格証明の定義または編集」を参照してください。