Společnost Oracle Cloud Infrastructure (OCI) spustila replikaci tajných klíčů napříč regiony, která je nyní všeobecně dostupná. Tato nová funkce umožňuje zákazníkům replikovat tajné klíče až napříč třemi regiony, což podporuje zotavení po havárii, vysokou dostupnost a nasazení ve více regionech.
Rozšířením OCI Vault o bezproblémovou replikaci tajných dat posiluje replikace napříč regiony odolnost cloudu a zjednodušuje provoz.
Proč na tom záleží
Tajné kódy v úložišti Vault jsou ve výchozím nastavení vázány na region. Zákazníci si dříve museli vytvářet vlastní řešení, aby měli kopie dostupné v jiných regionech, což zvyšovalo riziko a složitost. Díky replikaci mezi regiony lze nyní tajné kódy replikovat automaticky pomocí konzole, API, CLI, SDK nebo Terraformu, což pomáhá zlepšit dostupnost a výkon v blízkosti místa, kde aplikace běží.
Příklad:
- Níže uvedený diagram ukazuje, že tajný klíč lze replikovat na 3 lokality.
- Replikované tajné kódy jsou pouze pro čtení.
- Mohou použít jiný trezor než zdrojovou oblast.
- Klíč pro každý region je jiný.
Co je zahrnuto
Zákazníci nyní mohou:
- Replikujte tajné kódy až ve třech regionech.
- Udržujte konzistentní OCID a metadata napříč replikami.
- Přiřaďte jedinečné trezory a klíče pro každou oblast.
Tajné kódy zůstávají v oblastech replik pouze pro čtení.
Případy použití
Replikace napříč oblastmi podporuje:
- Obnova po havárii pro kritické přihlašovací údaje.
- Přístup s nízkou latencí v aplikacích pro více regionů.
- Bezpečná automatizace napříč vývojem, testováním a produkcí.
- Zjednodušená migrace ze starších nástrojů pro synchronizaci tajných dat.
Oprávnění potřebná ke konfiguraci replikace
Chcete-li vytvořit tajný klíč s povolenou replikací, ujistěte se, že vy nebo objekt prostředku máte všechna následující oprávnění:
- SECRET_CREATE, KEY_ENCRYPT, KEY_DECRYPT, VAULT_CREATE_SECRET (pro použití rozhraní CreateSecret API nebo vytváření tajných klíčů v konzoli či jiných rozhraních).
- KONFIGURACE_TAJEMSTVÍ_REPLIKACE
- Chcete-li aktualizovat (nebo odebrat) konfiguraci replikace, ujistěte se, že vy nebo objekt prostředku máte všechna následující oprávnění:
- SECRET_UPDATE (pro použití rozhraní UpdateSecret API nebo aktualizaci tajných kódů v konzoli nebo jiných rozhraních).
- KONFIGURACE_TAJEMSTVÍ_REPLIKACE
Projděte si prosím dokumentaci k vzorovým zásadám.
Začínáme v konzoli
Tajné klíče lze replikovat během vytváření nebo můžete upravit existující tajný klíč.
Replikace tajného klíče v době jeho vytvoření se provádí pomocí těchto kroků:
- Přejděte do sekce Tajemství pomocí Zabezpečení -> Trezor -> Vybrat trezor -> Tajemství.
- Vyberte akci pro vytvoření tajného kódu.
- Povolte replikaci a můžete vybrat až tři oblasti.
- Vyberte cílové trezory a klíče pro každou oblast.
- Dokončete ostatní pole a vytvořte tajný kód.
Aktualizace vlastností replikace existujícího tajného klíče
- Ve svém trezoru přejděte do sekce Tajemství a vyberte tajemství, které chcete replikovat.
- Na stránce s podrobnostmi o tajném klíči vyhledejte sekci Replikace a klikněte na Povolit replikaci.
- Vyberte až 3 cílové oblasti a pro každou repliku vyberte klíče trezoru.
- Potvrdit.
Tajný kód se synchronizuje automaticky a stav replikace požadavků na práci je možné zobrazit v konzoli.
Podpora automatizace
Replikace mezi regiony je plně podporována prostřednictvím:
- Možnosti SDK a CLI pro definování replik a klíčů.
- Terraform.
- API.
Pro urychlení zaškolení je k dispozici dokumentace a příklady.
Dostupnost a ceny
Replikace napříč regiony je nyní k dispozici ve všech komerčních regionech OCI. Secrets in Vault je bezplatná služba bez dalších nákladů na úložiště, volání API nebo replikaci.
Shrnutí
Replikace tajných klíčů napříč regiony pomáhá zákazníkům dosahovat cílů v oblasti vysoké dostupnosti a obnovy po havárii s menší složitostí. Jedná se o škálovatelné a nenákladové řešení pro odolnou správu tajných klíčů v globálních prostředích OCI.
Chcete-li začít, kontaktujte nás.
Zdroj: Oracle
