In diesem Dokument wird beschrieben, wie Sie sensible Daten, die Sie für einen Batchjob angeben möchten, mit Secret Manager-Secrets schützen.
Secret Manager-Secrets schützen sensible Daten durch Verschlüsselung. In einem Batchjob können Sie ein oder mehrere vorhandene Secrets angeben, um die darin enthaltenen vertraulichen Daten sicher zu übergeben. Sie können sie dann für Folgendes verwenden:
Definieren Sie benutzerdefinierte Umgebungsvariablen, die sensible Daten enthalten, sicher.
Geben Sie die Anmeldedaten für eine Docker-Registry sicher an, damit die ausführbaren Dateien eines Jobs auf die privaten Container-Images zugreifen können.
Hinweise
- Wenn Sie Batch noch nicht verwendet haben, lesen Sie den Hilfeartikel Batch-Dateien erstellen und ausführen und aktivieren Sie Batch, indem Sie die Voraussetzungen für Projekte und Nutzer erfüllen.
- Erstellen Sie ein Secret oder identifizieren Sie ein Secret für die vertraulichen Daten, die Sie für einen Job sicher angeben möchten.
-
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines Jobs benötigen:
-
Batch-Job-Bearbeiter (
roles/batch.jobsEditor
) für das Projekt -
Dienstkontonutzer (
roles/iam.serviceAccountUser
) im Dienstkonto des Jobs, das standardmäßig das Compute Engine-Standarddienstkonto ist
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
-
Batch-Job-Bearbeiter (
-
Damit das Dienstkonto des Jobs die erforderlichen Berechtigungen zum Zugriff auf Secrets hat, bitten Sie Ihren Administrator, dem Dienstkonto des Jobs die IAM-Rolle Secret Manager Secret Accessor (
roles/secretmanager.secretAccessor
) für das Secret zu erteilen.
Sensible Daten sicher an benutzerdefinierte Umgebungsvariablen übergeben
Wenn Sie vertrauliche Daten sicher von Secret Manager-Secrets an benutzerdefinierte Umgebungsvariablen übergeben möchten, müssen Sie jede Umgebungsvariable im Unterfeld Secret-Variablen (secretVariables
) für eine Umgebung definieren und für jeden Wert ein Secret angeben.
Wenn Sie ein Secret in einem Job angeben, muss es als Pfad zu einer Secret-Version formatiert werden: projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
.
Sie können einen Job erstellen, der geheime Variablen definiert, mit der gcloud CLI, der Batch API, Java, Node.js oder Python.
Im folgenden Beispiel wird beschrieben, wie ein Job erstellt wird, in dem eine Secret-Variable für die Umgebung aller ausführbaren Dateien (environment
-Unterfeld von taskSpec
) definiert und verwendet wird.
gcloud
Erstellen Sie eine JSON-Datei, in der die Konfigurationsdetails des Jobs angegeben sind, und fügen Sie das Unterfeld
secretVariables
für eine oder mehrere Umgebungen hinzu.Wenn Sie beispielsweise einen einfachen Script-Job erstellen möchten, der für alle ausführbaren Dateien eine geheime Variable in der Umgebung verwendet, erstellen Sie eine JSON-Datei mit folgendem Inhalt:
{ "taskGroups": [ { "taskSpec": { "runnables": [ { "script": { "text": "echo This is the secret: ${SECRET_VARIABLE_NAME}" } } ], "environment": { "secretVariables": { "{SECRET_VARIABLE_NAME}": "projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION" } } } } ], "logsPolicy": { "destination": "CLOUD_LOGGING" } }
Ersetzen Sie Folgendes:
SECRET_VARIABLE_NAME
: der Name der geheimen Variablen. Gemäß Konvention werden Namen von Umgebungsvariablen großgeschrieben.Geben Sie diesen Variablennamen in den ausführbaren Dateien dieses Jobs an, um sicher auf die sensiblen Daten aus dem Secret Manager-Secret der Variablen zuzugreifen. Auf die Secret-Variable können alle ausführbaren Dateien zugreifen, die sich in derselben Umgebung befinden, in der Sie die Secret-Variable definieren.
PROJECT_ID
: die Projekt-ID Ihres Projekts.SECRET_NAME
: Der Name eines vorhandenen Secret Manager-Secrets.VERSION
: die Version des angegebenen Secrets, die die Daten enthält, die Sie an den Job übergeben möchten. Dies kann die Versionsnummer oderlatest
sein.
Verwenden Sie den Befehl
gcloud batch jobs submit
, um den Job zu erstellen und auszuführen:gcloud batch jobs submit JOB_NAME \ --location LOCATION \ --config JSON_CONFIGURATION_FILE
Ersetzen Sie Folgendes:
JOB_NAME
: Der Name des Jobs.LOCATION
: den Standort der Stelle.JSON_CONFIGURATION_FILE
: der Pfad zu einer JSON-Datei mit den Konfigurationsdetails des Jobs.
API
Stellen Sie eine POST
-Anfrage an die jobs.create
-Methode, in der das Unterfeld secretVariables
für eine oder mehrere Umgebungen angegeben ist.
Wenn Sie beispielsweise einen einfachen Script-Job erstellen möchten, der für alle ausführbaren Dateien eine geheime Variable in der Umgebung verwendet, stellen Sie folgende Anfrage:
POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME
{
"taskGroups": [
{
"taskSpec": {
"runnables": [
{
"script": {
"text": "echo This is the secret: ${SECRET_VARIABLE_NAME}"
}
}
],
"environment": {
"secretVariables": {
"{SECRET_VARIABLE_NAME}": "projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION"
}
}
}
}
],
"logsPolicy": {
"destination": "CLOUD_LOGGING"
}
}
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID Ihres Projekts.LOCATION
: den Standort der Stelle.JOB_NAME
: Der Name des Jobs.SECRET_VARIABLE_NAME
: der Name der geheimen Variablen. Gemäß Konvention werden Namen von Umgebungsvariablen großgeschrieben.Geben Sie diesen Variablennamen in den ausführbaren Dateien dieses Jobs an, um sicher auf die sensiblen Daten aus dem Secret Manager-Secret der Variablen zuzugreifen. Auf die Secret-Variable können alle ausführbaren Dateien zugreifen, die sich in derselben Umgebung befinden, in der Sie die Secret-Variable definieren.
SECRET_NAME
: Der Name eines vorhandenen Secret Manager-Secrets.VERSION
: die Version des angegebenen Secrets, die die Daten enthält, die Sie an den Job übergeben möchten. Dies kann die Versionsnummer oderlatest
sein.
Java
Node.js
Python
Sicherer Zugriff auf Container-Images, für die Docker-Registry-Anmeldedaten erforderlich sind
Wenn Sie ein Container-Image aus einer privaten Docker-Registry verwenden möchten, müssen Sie für ein ausführbares Programm Anmeldedaten angeben, mit denen es auf diese Docker-Registry zugreifen kann.
Insbesondere müssen Sie für jeden Container, der mit dem Feld Image-URI (imageUri
) ausgeführt werden kann, das auf ein Image aus einer privaten Docker-Registry festgelegt ist, alle für den Zugriff auf diese Docker-Registry erforderlichen Anmeldedaten angeben. Verwenden Sie dazu die Felder Nutzername (username
) und Passwort (password
).
Sie können alle vertraulichen Anmeldedaten für eine Docker-Registrierung schützen, indem Sie vorhandene Secrets angeben, die die Informationen enthalten, anstatt diese Felder direkt zu definieren.
Wenn Sie ein Secret in einem Job angeben, muss es als Pfad zu einer Secret-Version formatiert werden: projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
.
Mit der gcloud CLI oder der Batch API können Sie einen Job erstellen, der Container-Images aus einer privaten Docker-Registry verwendet. Im folgenden Beispiel wird erläutert, wie Sie einen Job erstellen, der ein Container-Image aus einer privaten Docker-Registry verwendet. Dazu geben Sie den Nutzernamen direkt und das Passwort als Secret an.
gcloud
Erstellen Sie eine JSON-Datei mit den Konfigurationsdetails des Jobs. Geben Sie für alle ausführbaren Container, die Images aus einer privaten Docker-Registry verwenden, in den Feldern
username
undpassword
alle Anmeldedaten an, die für den Zugriff erforderlich sind.Wenn Sie beispielsweise einen einfachen Containerauftrag erstellen möchten, der ein Image aus einer privaten Docker-Registry angibt, erstellen Sie eine JSON-Datei mit folgendem Inhalt:
{ "taskGroups": [ { "taskSpec": { "runnables": [ { "container": { "imageUri": "PRIVATE_IMAGE_URI", "commands": [ "-c", "echo This runnable uses a private image." ], "username": "USERNAME", "password": "PASSWORD" } } ], } } ], "logsPolicy": { "destination": "CLOUD_LOGGING" } }
Ersetzen Sie Folgendes:
PRIVATE_IMAGE_URI
: Der Image-URI für ein Container-Image aus einer privaten Docker-Registry. Wenn für dieses Image weitere Containereinstellungen erforderlich sind, müssen Sie auch diese angeben.USERNAME
: Der Nutzername für die private Docker-Registry, der als Secret oder direkt angegeben werden kann.PASSWORD
: das Passwort für die private Docker-Registry, das als Secret (empfohlen) oder direkt angegeben werden kann.Wenn Sie das Passwort beispielsweise als Secret angeben möchten, legen Sie
PASSWORD
auf Folgendes fest:projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID Ihres Projekts.SECRET_NAME
: Der Name eines vorhandenen Secret Manager-Secrets.VERSION
: die Version des angegebenen Secrets, die die Daten enthält, die Sie an den Job übergeben möchten. Dies kann die Versionsnummer oderlatest
sein.
Verwenden Sie den Befehl
gcloud batch jobs submit
, um den Job zu erstellen und auszuführen:gcloud batch jobs submit JOB_NAME \ --location LOCATION \ --config JSON_CONFIGURATION_FILE
Ersetzen Sie Folgendes:
JOB_NAME
: Der Name des Jobs.LOCATION
: den Standort der Stelle.JSON_CONFIGURATION_FILE
: der Pfad zu einer JSON-Datei mit den Konfigurationsdetails des Jobs.
API
Stellen Sie eine POST
-Anfrage an die Methode jobs.create
.
Geben Sie für alle ausführbaren Container, die Images aus einer privaten Docker-Registry verwenden, in den Feldern username
und password
alle Anmeldedaten an, die für den Zugriff erforderlich sind.
Wenn Sie beispielsweise einen einfachen Containerjob erstellen möchten, für den ein Image aus einer privaten Docker-Registry angegeben wird, stellen Sie folgende Anfrage:
POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME
{
"taskGroups": [
{
"taskSpec": {
"runnables": [
{
"container": {
"imageUri": "PRIVATE_IMAGE_URI",
"commands": [
"-c",
"echo This runnable uses a private image."
],
"username": "USERNAME",
"password": "PASSWORD"
}
}
],
}
}
],
"logsPolicy": {
"destination": "CLOUD_LOGGING"
}
}
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID Ihres Projekts.LOCATION
: den Standort der Stelle.JOB_NAME
: Der Name des Jobs.PRIVATE_IMAGE_URI
: Der Image-URI für ein Container-Image aus einer privaten Docker-Registry. Wenn für dieses Image weitere Containereinstellungen erforderlich sind, müssen Sie auch diese angeben.USERNAME
: Der Nutzername für die private Docker-Registry, der als Secret oder direkt angegeben werden kann.PASSWORD
: das Passwort für die private Docker-Registry, das als Secret (empfohlen) oder direkt angegeben werden kann.Wenn Sie das Passwort beispielsweise als Secret angeben möchten, legen Sie
PASSWORD
auf Folgendes fest:projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID Ihres Projekts.SECRET_NAME
: Der Name eines vorhandenen Secret Manager-Secrets.VERSION
: die Version des angegebenen Secrets, die die Daten enthält, die Sie an den Job übergeben möchten. Dies kann die Versionsnummer oderlatest
sein.
Nächste Schritte
Wenn beim Erstellen oder Ausführen eines Jobs Probleme auftreten, lesen Sie den Hilfeartikel Fehlerbehebung.
Weitere Informationen zu Secret Manager