Halaman ini menjelaskan cara memperbarui kunci Media CDN yang digunakan untuk permintaan bertanda tangan. Anda dapat memiliki hingga tiga kunci publik dan tiga kunci validasi bersama, dengan total enam kunci per keyset. Agar tidak melebihi batas tersebut selama rotasi kunci, lihat petunjuk berikut tentang cara menghapus kunci bersama validasi dan cara menambahkan kunci.
Sebelum memulai
Berikan peran Secret Manager Access (
roles/secretmanager.secretAccessor
) ke akun layanan Media CDN.Konsol
Di konsol Google Cloud, buka halaman Secret Manager.
- Pilih rahasia.
- Di panel info, klik Tambah akun utama.
Untuk New Principals, masukkan akun layanan Media CDN sebagai berikut:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
Ganti
PROJECT_NUMBER
dengan nomor project Anda.- Untuk Select a role, pilih Secret Manager, lalu pilih Secret Manager Secret Accessor.
- Klik Save.
gcloud
Gunakan perintah
gcloud secrets add-iam-policy-binding
:gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"
Ganti kode berikut:
PROJECT_NUMBER
: nomor project AndaSECRET_ID
: ID rahasia
Menghapus secret
Konsol
Di konsol Google Cloud, buka halaman Media CDN.
Klik tab Keysets.
Pilih keyset yang memiliki rahasia yang ingin dihapus, lalu klik Edit.
Untuk menghapus rahasia, di bagian Kunci > Kunci bersama validasi, klik Hapus di samping nama rahasia.
Klik Perbarui kumpulan kunci.
gcloud
Untuk menghapus kunci rahasia dari keyset, gunakan perintah gcloud edge-cache keysets
update
. Hapus
keyset yang ingin Anda hapus dan tentukan keyset yang ingin disimpan.
Dalam contoh berikut, KEY_VERSION_1
tidak tercantum, sedangkan KEY_VERSION_2
dan
KEY_VERSION_3
dicantumkan. Menghapus
KEY_VERSION_1
akan menghapusnya dari keyset.
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
Ganti kode berikut:
KEYSET_NAME
: nama keysetPROJECT_NUMBER
: nomor project AndaSECRET_ID
: ID rahasia yang Anda perbaruiKEY_VERSION
: versi kunci
editor teks
Ekspor keyset Anda ke file YAML. Gunakan perintah
gcloud edge-cache keysets export
.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
Ganti kode berikut:
KEYSET_NAME
: nama keyset—misalnya,prod-vod-keyset
FILENAME
: nama file YAML
Edit file konfigurasi keyset yang diekspor untuk menghapus kunci rahasia. Contoh berikut menunjukkan cara menghapus kunci rahasia terlama, yang berakhiran KEY_VERSION_1:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
Ganti kode berikut:
PROJECT_NUMBER
: nomor project AndaSECRET_ID
: ID rahasia yang Anda perbaruiKEY_VERSION
: versi kunci
File yang diedit terlihat mirip dengan yang berikut ini:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
Impor keyset yang diedit. Gunakan
gcloud edge-cache keysets import
perintah:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml
Tambahkan rahasia
Konsol
Di konsol Google Cloud, buka halaman Media CDN.
Klik tab Keysets.
Pilih keyset yang ingin Anda tambahkan rahasia, lalu klik Edit.
Untuk menambahkan rahasia, di bagian Kunci > Kunci bersama validasi, klik Secret. Selanjutnya, pilih secret dari daftar, masukkan secret secara manual dengan menentukan ID resource-nya, atau buat secret baru, lalu pilih rahasia tersebut.
Pilih versi secret dari daftar atau buat versi secret baru, lalu pilih versi tersebut.
Klik Perbarui kumpulan kunci.
gcloud
Untuk menambahkan kunci rahasia ke keyset, gunakan perintah
gcloud edge-cache keysets update
. Tentukan
keyset yang Anda miliki dan keyset yang ingin ditambahkan.
Dalam contoh berikut, KEY_VERSION_1
sebelumnya dihapus dan KEY_VERSION_4
adalah keyset yang ditambahkan. Mencantumkan KEY_VERSION_4
selain KEY_VERSION_2
dan
KEY_VERSION_3
menambahkannya ke keyset.
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'
Ganti kode berikut:
KEYSET_NAME
: nama keysetPROJECT_NUMBER
: nomor project AndaSECRET_ID
: ID rahasia yang Anda perbaruiKEY_VERSION
: versi kunci
editor teks
Ekspor keyset Anda ke file YAML. Gunakan perintah
gcloud edge-cache keysets export
.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
Ganti kode berikut:
KEYSET_NAME
: nama keyset AndaFILENAME
: nama file YAML
Dalam file konfigurasi keyset yang diekspor, tambahkan baris
secretVersion
baru yang menyertakan versi kunci baru, mirip dengan yang berikut ini:name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"
Impor keyset yang diedit. Gunakan
gcloud edge-cache keysets import
perintah:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml