O Cloud Key Management Service é um Google Cloud serviço que lhe permite gerir e usar chaves criptográficas. Esta página explica como usar informações encriptadas do Cloud KMS no Cloud Build.
Antes de começar
-
Enable the Cloud Build and Cloud KMS APIs.
Para usar os exemplos de linhas de comando neste guia, instale e configure a CLI Google Cloud.
Encriptar as informações confidenciais através do Cloud KMS. O Cloud KMS guarda o seu conteúdo encriptado num ficheiro.
[OPCIONAL] Para configurar compilações para usar dados encriptados, converta o ENCRYPTED_FILE para base64 (este passo não é necessário para configurações de compilação que usam ficheiros encriptados):
base64 ENCRYPTED_FILE
Autorizações de IAM necessárias
Conceda a função da IAM
desencriptador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyDecrypter)
à conta de serviço de compilação:
Na Google Cloud consola, aceda à página Definições do Cloud Build:
Localize a linha com a função Desencriptador de CryptoKey do Cloud KMS e defina o respetivo Estado como ATIVADO.
Configurar compilações para usar dados encriptados
No diretório raiz do projeto, crie um ficheiro de configuração de compilação do Cloud Build denominado
cloudbuild.yamloucloudbuild.json.No ficheiro de configuração de compilação:
- Depois de criar todos os
steps, adicione um campoavailableSecretspara especificar o valor encriptado como uma variável de ambiente e okmsKeyNamea usar para o desencriptar. Pode usar variáveis de substituição no valor dekmsKeyName. - No passo de compilação onde quer especificar o segredo:
- Adicione um campo
entrypointque aponte parabashpara usar a ferramenta bash no passo de compilação. Isto é necessário para fazer referência à variável de ambiente do segredo. - Adicione um campo
secretEnvque especifique a variável de ambiente para o valor encriptado. - No campo
args, adicione uma flag-ccomo o primeiro argumento. Qualquer string que passe após -c é tratada como um comando. Para mais informações sobre a execução de comandos bash com -c, consulte a documentação do bash. - Quando especificar o valor encriptado no campo
args, especifique-o através da variável de ambiente com o prefixo$$.
- Adicione um campo
The following example build config file shows how to login to Docker and pull a private image:
YAML
steps: - name: 'gcr.io/cloud-builders/docker' entrypoint: 'bash' args: ['-c', 'docker login --username=$$USERNAME --password=$$PASSWORD'] secretEnv: ['USERNAME', 'PASSWORD'] - name: 'gcr.io/cloud-builders/docker' entrypoint: 'bash' args: ['-c', 'docker pull $$USERNAME/IMAGE:TAG'] secretEnv: ['USERNAME'] availableSecrets: inline: - kmsKeyName: projects/PROJECT_ID/locations/global/keyRings/USERNAME_KEYRING_NAME/cryptoKeys/USERNAME_KEY_NAME envMap: USERNAME: 'ENCRYPTED_USERNAME' - kmsKeyName: projects/PROJECT_ID/locations/global/keyRings/PASSWORD_KEYRING_NAME/cryptoKeys/PASSWORD_KEY_NAME envMap: PASSWORD: 'ENCRYPTED_PASSWORD'JSON
{ "steps": [ { "name": "gcr.io/cloud-builders/docker", "entrypoint": "bash", "args": [ "-c", "docker login --username=$$USERNAME --password=$$PASSWORD" ], "secretEnv": [ "USERNAME", "PASSWORD" ] }, { "name": "gcr.io/cloud-builders/docker", "entrypoint": "bash", "args": [ "-c", "docker pull $$USERNAME/REPOSITORY:TAG" ], "secretEnv": [ "USERNAME" ] } ], "availableSecrets": { "inline": [{ "kmsKeyName": "projects/PROJECT_ID/locations/global/keyRings/USERNAME_KEYRING_NAME/cryptoKeys/USERNAME_KEY_NAME", "envMap": { "USERNAME": "ENCRYPTED_USERNAME" } }, { "kmsKeyName": "projects/PROJECT_ID/locations/global/keyRings/PASSWORD_KEYRING_NAME/cryptoKeys/PASSWORD_KEY_NAME", "envMap": { "PASSWORD": "ENCRYPTED_PASSWORD" } }] } }Replace the placeholder values in the above commands with the following:
PROJECT_ID: The ID of the Google Cloud project which contains your Cloud KMS service.USERNAME_KEYRING_NAME: The key ring name of your Docker username.USERNAME_KEY_NAME: The key name of your Docker username.ENCRYPTED_USERNAME: Your encrypted Docker username in base64 format.PASSWORD_KEYRING_NAME: The key ring name of your Docker password.PASSWORD_KEY_NAME: The key name of your Docker password.ENCRYPTED_PASSWORD: Your encrypted Docker password in base64 format.REPOSITORY: The name of your Docker repository from where you're pulling the image.TAG: The tag name of your image.
- Depois de criar todos os
Use the build config file to manually start a build or to automate builds using triggers.
Configuring builds to use encrypted files
In your project root directory, create a Cloud Build build config file named
cloudbuild.yamlorcloudbuild.json.In your build config file, before any build steps that interact with the decrypted file, add a
gcloudbuild step to decrypt the encrypted file using the encryption key. The following example build config file shows how to login to Docker using the encrypted file with Docker password:YAML
steps: - name: gcr.io/cloud-builders/gcloud args: - kms - decrypt - "--ciphertext-file=ENCRYPTED_PASSWORD_FILE" - "--plaintext-file=PLAINTEXT_PASSWORD_FILE" - "--location=global" - "--keyring=KEYRING_NAME" - "--key=KEY_NAME" - name: gcr.io/cloud-builders/docker entrypoint: bash args: - "-c" - docker login --username=DOCKER_USERNAME --password-stdin < PLAINTEXT_PASSWORD_FILEJSON
{ "steps": [ { "name": "gcr.io/cloud-builders/gcloud", "args": [ "kms", "decrypt", "--ciphertext-file=ENCRYPTED_PASSWORD_FILE", "--plaintext-file=PLAINTEXT_PASSWORD_FILE", "--location=global", "--keyring=KEYRING_NAME", "--key=KEY_NAME" ] }, { "name": "gcr.io/cloud-builders/docker", "entrypoint": "bash", "args": [ "-c", "docker login --username=DOCKER_USERNAME --password-stdin < PLAINTEXT_PASSWORD_FILE" ] } ] }Replace the placeholder values in the above commands with the following:
KEYRING_NAME: The key ring name of your Docker password.KEY_NAME: The key name of your Docker password.ENCRYPTED_PASSWORD_FILE: Encrypted file with your Docker password.PLAINTEXT_PASSWORD_FILE: Plaintext file with your Docker password.
Use the build config file to manually start a build or to automate builds using triggers.
Configuring builds to use encrypted data (legacy)
To encrypt sensitive data using Cloud KMS and use that data in a build config file:
In your build config file, add a
secretsfield to specify the encrypted value and theCryptoKeyto use to decrypt it. Then, in the build step where you want to use the encrypted variable, add asecretEnvfield to specify the variable as an environment variable. Include the variable's name in thesecretEnvfield. If you specify the variable value, or a non-secret environment variable with the same name, Cloud Build throws an error.YAML
steps: - name: 'gcr.io/cloud-builders/docker' entrypoint: 'bash' args: ['-c', 'docker login --username=user-name --password=$$PASSWORD'] secretEnv: ['PASSWORD'] - name: 'gcr.io/cloud-builders/docker' args: ['push', 'user-name/myubuntu'] secrets: - kmsKeyName: projects/project-id/locations/global/keyRings/keyring-name/cryptoKeys/key-name secretEnv: PASSWORD: 'encrypted-password'JSON
{ "steps": [ { "name": "gcr.io/cloud-builders/docker", "entrypoint": "bash", "args": [ "-c", "docker login --username=user-name --password=$$PASSWORD" ], "secretEnv": [ "PASSWORD" ] }, { "name": "gcr.io/cloud-builders/docker", "args": [ "push", "user-name/myubuntu" ] } ], "secrets": [ { "kmsKeyName": "projects/project-id/locations/global/keyRings/keyring-name/cryptoKeys/key-name", "secretEnv": { "PASSWORD": "encrypted-password" } } ] }O que se segue?
- Saiba como configurar compilações para aceder a segredos do Secret Manager.
- Saiba como aceder a repositórios privados do GitHub.
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-08-21 UTC.