Usa Secrets de Secret Manager

En esta página, se explica cómo incluir información sensible, como contraseñas y claves de API en Cloud Build.

Secret Manager es un servicio de Google Cloud que almacena de manera segura claves de API, contraseñas y otros datos sensibles. Si deseas incluir información sensible en tus compilaciones, puedes almacenarla en Secret Manager y, luego, configurar tu compilación para acceder a la información desde Secret Manager.

Antes de comenzar

  • Habilita las API de Cloud Build and Secret Manager.

    Habilita las API

  • Para usar los ejemplos de la línea de comandos de esta guía, instala y configura el SDK de Cloud.

  • Asegúrate de haber almacenado el secreto en Secret Manager. Para obtener instrucciones, consulta Crea un secreto.

    • Anota el nombre y la versión del secreto del secreto. Necesitarás esta información para configurar Cloud Build a fin de acceder al secreto.

Permisos de IAM obligatorios

Otorga la función de IAM Administrador y descriptor de acceso a secretos (roles/secretmanager.secretAccessor) para la clave de la cuenta de servicio de Cloud Build:

  1. Abre la página Administrador de secretos en Google Cloud Console:

    Ir a la página Secret Manager

  2. Selecciona la casilla de verificación del secreto que desees usar en tu compilación.

  3. Si no está abierto, haz clic en Mostrar panel de información para abrir el panel.

  4. En el panel, en Permisos, haz clic en Agregar principal.

  5. En el cuadro de texto Principales nuevos, ingresa la dirección de correo electrónico de la cuenta de servicio de Cloud Build con el formato PROJECT_NUMBER@cloudbuild.gserviceaccount.com. PROJECT_NUMBER es el número del proyecto en el que ejecutas compilaciones. Puedes encontrar el número de proyecto en la página de configuración del proyecto.

  6. En el cuadro desplegable Selecciona una función, selecciona Administrador y descriptor de acceso a Secretos.

  7. Haz clic en Guardar.

Configura compilaciones para acceder al secreto desde Secret Manager

  1. En el directorio raíz del proyecto, crea un archivo de configuración de Cloud Build llamado cloudbuild.yaml o cloudbuild.json.

  2. En el archivo de configuración de compilación:

    • Después de toda la compilación steps, agrega un campo availableSecrets para especificar la versión del secreto y las variables de entorno que se usarán en tu secreto. Puedes incluir variables de sustitución en el valor del campo secretVersion. Puedes especificar más de un secreto en una compilación.
    • En el paso de compilación en el que deseas especificar el secreto:
      • Agrega un campo entrypoint que apunte a bash para usar la herramienta bash en el paso de compilación. Esto es necesario para hacer referencia a la variable de entorno del secreto.
      • Agrega un campo secretEnv que especifique la variable de entorno.
      • En el campo args, agrega una marca -c como primer argumento. Cualquier string que pases después de -c se trata como un comando. Para obtener más información sobre la ejecución de comandos de Bash con -c, consulta la documentación de Bash.
      • Cuando especifiques el secreto en el campo args, especifícalo mediante la variable de entorno con el prefijo $$.

    En el siguiente ejemplo de archivo de configuración de compilación, se muestra cómo acceder a Docker con el nombre de usuario y la contraseña de Docker almacenados en Secret Manager.

    YAML

    steps:
    - name: 'gcr.io/cloud-builders/docker'
      entrypoint: 'bash'
      args: ['-c', 'docker login --username=$$USERNAME --password=$$PASSWORD']
      secretEnv: ['USERNAME', 'PASSWORD']
    availableSecrets:
      secretManager:
      - versionName: projects/PROJECT_ID/secrets/DOCKER_PASSWORD_SECRET_NAME/versions/DOCKER_PASSWORD_SECRET_VERSION
        env: 'PASSWORD'
      - versionName: projects/PROJECT_ID/secrets/DOCKER_USERNAME_SECRET_NAME/versions/DOCKER_USERNAME_SECRET_VERSION
        env: 'USERNAME'
    

    JSON

    {
      "steps": [
      {
        "name": "gcr.io/cloud-builders/docker",
        "entrypoint": "bash",
        "args": [
          "-c",
          "docker login --username=$$USERNAME --password=$$PASSWORD"
        ],
        "secretEnv": [
          "USERNAME",
          "PASSWORD"
        ]
      }
      ],
      "availableSecrets": {
        "secretManager": [{
          "versionName": "projects/PROJECT_ID/secrets/DOCKER_PASSWORD_SECRET_NAME/versions/DOCKER_PASSWORD_SECRET_VERSION",
          "env": "PASSWORD"
      }, {
        "versionName": "projects/PROJECT_ID/secrets/DOCKER_USERNAME_SECRET_NAME/versions/DOCKER_USERNAME_SECRET_VERSION",
        "env": "USERNAME"
         }]
      }
    }
    

    Reemplaza los valores de marcador de posición en los comandos anteriores por la siguiente información:

    • PROJECT_ID: Es el ID del proyecto de Cloud en el que almacenaste tus secretos.
    • DOCKER_USERNAME_SECRET_NAME: El nombre del secreto correspondiente a tu nombre de usuario de Docker. Puedes obtener el nombre del secreto en la página Administrador de secretos en Cloud Console.
    • DOCKER_USERNAME_SECRET_VERSION: La versión secreta del nombre de usuario de Docker. Para obtener la versión del secreto, haz clic en el nombre del secreto en la página Administrador de secretos en Cloud Console.
    • DOCKER_PASSWORD_SECRET_NAME: El nombre del secreto correspondiente a tu contraseña de Docker. Puedes obtener el nombre del secreto en la página Administrador de secretos en Cloud Console.
    • DOCKER_PASSWORD_SECRET_VERSION: La versión secreta de tu contraseña de Docker. Para obtener la versión del secreto, haz clic en el nombre del secreto en la página Administrador de secretos en Cloud Console.
  3. Usa el archivo de configuración de compilación para iniciar una compilación de forma manual o automatizar compilaciones mediante activadores.

Ejemplo: Autenticación en Docker

En algunos casos, antes de interactuar con las imágenes de Docker, tu compilación tendría que autenticarse en Docker. Por ejemplo, se requiere la autenticación de Docker para que las compilaciones extraigan imágenes privadas o públicas y envíen imágenes privadas o públicas a Docker Hub. En estos casos, puedes almacenar tu nombre de usuario y contraseña de Docker en Secret Manager y, luego, configurar Cloud Build para acceder al nombre de usuario y la contraseña desde Secret Manager. Para obtener instrucciones sobre cómo hacerlo, consulta Interactúa con las imágenes de Docker Hub.

Ejemplo: Creación de una solicitud de extracción de GitHub

Otro ejemplo en el que te recomendamos configurar tu compilación para que acceda a información sensible de Secret Manager es a fin de crear una solicitud de extracción de GitHub en respuesta a las compilaciones. Para ello, haz lo siguiente:

  • Crea un token de GitHub.
  • Almacena el token de GitHub en Secret Manager.
  • En el archivo de configuración de compilación, haz lo siguiente:
  • Crea un activador de apps de GitHub y usa el archivo de configuración de compilación para invocar el activador.

En el siguiente archivo de configuración de ejemplo, se muestra cómo crear una solicitud de extracción de GitHub mediante el token de GitHub:

YAML

steps:
- name: 'launcher.gcr.io/google/ubuntu1604'
  id: Create GitHub pull request
  entrypoint: bash
  args:
  - -c
  - curl -X POST -H "Authorization:Bearer $$GH_TOKEN" -H 'Accept:application/vnd.github.v3+json' https://api.github.com/repos/GITHUB_USERNAME/REPO_NAME/pulls -d '{"head":"HEAD_BRANCH","base":"BASE_BRANCH", "title":"NEW_PR"}'
  secretEnv: ['GH_TOKEN']
availableSecrets:
  secretManager:
  - versionName: projects/PROJECT_ID/secrets/GH_TOKEN_SECRET_NAME/versions/latest
    env: GH_TOKEN

JSON

{
  "steps": [
  {
    "name": "launcher.gcr.io/google/ubuntu1604",
    "id": "Create GitHub pull request",
    "entrypoint": "bash",
    "args": [
      "-c",
       "curl -X POST -H \"Authorization:Bearer $$GH_TOKEN\" -H 'Accept:application/vnd.github.v3+json' https://api.github.com/repos/GITHUB_USERNAME/REPO_NAME -d '{\"head\":\"HEAD_BRANCH\",\"base\":\"BASE_BRANCH\", \"title\":\"NEW_PR\"}'
    ],
    "secretEnv": ['GH_TOKEN']
}
],
"availableSecrets": {
  "secretManager": [
  {
    "versionName": "projects/PROJECT_ID/secrets/GH_TOKEN_SECRET_NAME/versions/latest",
    "env": "GH_TOKEN"
  }
  ]
}
}

Reemplaza los valores de marcador de posición en los comandos anteriores por la siguiente información:

  • PROJECT_ID: Es el ID del proyecto de Cloud en el que almacenaste tus secretos.
  • GITHUB_USERNAME: Es el nombre de usuario de GitHub del propietario del repositorio.
  • REPO_NAME: Es el nombre del repositorio de GitHub.
  • HEAD_BRANCH: Es el nombre de la rama en la que se implementan los cambios. Para las solicitudes de extracción de varios repositorios en la misma red, el espacio de nombres head con un usuario como username:branch:
  • BASE_BRANCH: El nombre de la rama en la que deseas que se incorporen los cambios. Debe ser una rama existente en el repositorio actual. No puedes enviar una solicitud de extracción a un repositorio que solicite una combinación con una base de otro repositorio.
  • GH_TOKEN_SECRET_NAME: El nombre del secreto correspondiente a tu token de GitHub.
  • NEW_PR: La nueva solicitud de extracción que deseas crear.

¿Qué sigue?