Nesta página, descrevemos como atualizar as chaves do Media CDN usadas para solicitações assinadas. É possível ter até três chaves públicas e três chaves compartilhadas de validação, totalizando seis chaves por conjunto de chaves. Para evitar exceder esses limites durante uma rotação de chaves, consulte as instruções abaixo sobre como excluir uma chave compartilhada de validação e como adicionar uma chave.
Antes de começar
Configure suas chaves compartilhadas de validação no Secret Manager.
Conceda o papel de acesso do Secret Manager (
roles/secretmanager.secretAccessor
) à conta de serviço do Media CDN.Console
No console do Google Cloud, acesse a página Secret Manager.
- Selecione o secret.
- No painel de informações, clique em Adicionar participante.
Em Novos principais, insira a conta de serviço do Media CDN da seguinte maneira:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
Substitua
PROJECT_NUMBER
pelo número do projeto.- Em Selecionar um papel, escolha Secret Manager e Acessador de secrets do Secret Manager.
- Clique em Salvar.
gcloud
Use o comando
gcloud secrets add-iam-policy-binding
:gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"
Substitua:
PROJECT_NUMBER
: o ID do seu projetoSECRET_ID
: o ID do secret
Excluir um secret
Console
No console do Google Cloud, acesse a página Media CDN.
Clique na guia Conjuntos de chaves.
Selecione o conjunto de chaves que contém a chave secreta que você quer excluir e clique em Editar.
Para excluir um secret, na seção Chaves > Chaves compartilhadas de validação, clique em Excluir ao lado do nome do secret.
Clique em Atualizar conjunto de chaves.
gcloud
Para excluir uma chave secreta de um conjunto de chaves, use o comando gcloud edge-cache keysets
update
. Omita o
conjunto de chaves que você quer excluir e especifique aqueles que você quer manter.
No exemplo a seguir, KEY_VERSION_1
não está listado, mas KEY_VERSION_2
e
KEY_VERSION_3
estão. A omissão de
KEY_VERSION_1
o exclui do conjunto de chaves.
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
Substitua:
KEYSET_NAME
: o nome do conjunto de chaves.PROJECT_NUMBER
: o ID do seu projetoSECRET_ID
: o ID do secret que você está atualizando.KEY_VERSION
: a versão da chave.
editor de texto
Exporte o conjunto de chaves para um arquivo YAML. Use o comando
gcloud edge-cache keysets export
.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
Substitua:
KEYSET_NAME
: o nome do conjunto de chaves, por exemplo,prod-vod-keyset
.FILENAME
: o nome do arquivo YAML
Edite o arquivo de configuração do conjunto de chaves exportado para remover a chave secreta. O exemplo a seguir mostra como remover a chave secreta mais antiga, que termina em KEY_VERSION_1:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
Substitua:
PROJECT_NUMBER
: o ID do seu projetoSECRET_ID
: o ID do secret que você está atualizando.KEY_VERSION
: a versão da chave.
O arquivo editado é semelhante a este:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
Importe o conjunto de chaves editado. Use o comando
gcloud edge-cache keysets import
(em inglês).gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml
Adicionar um secret
Console
No console do Google Cloud, acesse a página Media CDN.
Clique na guia Conjuntos de chaves.
Selecione o conjunto de chaves a que você quer adicionar um secret e clique em Editar.
Para adicionar um secret, na seção Chaves > Chaves compartilhadas de validação, clique em Secret. Em seguida, selecione um secret na lista, insira-o manualmente especificando o ID de recurso ou crie um novo secret e selecione-o.
Selecione uma versão do secret na lista ou crie uma nova e selecione-a.
Clique em Atualizar conjunto de chaves.
gcloud
Para adicionar uma chave secreta a um conjunto de chaves, use o comando
gcloud edge-cache keysets update
. Especifique os
conjuntos de chaves que você tem e o que quer adicionar.
No exemplo a seguir, KEY_VERSION_1
foi
excluído anteriormente e KEY_VERSION_4
é o
conjunto de chaves que está sendo adicionado. A listagem KEY_VERSION_4
além de KEY_VERSION_2
e KEY_VERSION_3
o adiciona ao conjunto de chaves.
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'
Substitua:
KEYSET_NAME
: o nome do conjunto de chaves.PROJECT_NUMBER
: o ID do seu projetoSECRET_ID
: o ID do secret que você está atualizando.KEY_VERSION
: a versão da chave.
editor de texto
Exporte o conjunto de chaves para um arquivo YAML. Use o comando
gcloud edge-cache keysets export
.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
Substitua:
KEYSET_NAME
: o nome do conjunto de chaves.FILENAME
: o nome do arquivo YAML
No arquivo de configuração do conjunto de chaves exportado, adicione uma nova linha
secretVersion
que inclua uma nova versão da chave, semelhante a esta:name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"
Importe o conjunto de chaves editado. Use o comando
gcloud edge-cache keysets import
(em inglês).gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml