Alterne segredos

Esta página descreve como atualizar as chaves da RFC de multimédia usadas para pedidos assinados. Pode ter até três chaves públicas e três chaves partilhadas de validação, para um total de seis chaves por conjunto de chaves. Para evitar exceder esses limites durante uma rotação de chaves, consulte as seguintes instruções sobre como eliminar uma chave partilhada de validação e como adicionar uma chave.

Antes de começar

  1. Configure as suas chaves partilhadas de validação no Secret Manager.

  2. Conceda a função de acesso ao Secret Manager (roles/secretmanager.secretAccessor) à conta de serviço do Media CDN.

    Consola

    1. Na Google Cloud consola, aceda à página Secret Manager.

      Aceda ao Secret Manager

    2. Selecione o segredo.
    3. No painel de informações, clique em Adicionar diretor.

    4. Para Novos membros, introduza a conta de serviço do Media CDN da seguinte forma:
      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

      Substitua PROJECT_NUMBER pelo seu número do projeto.

    5. Para Selecionar uma função, selecione Secret Manager e, de seguida, selecione Secret Manager Secret Accessor.
    6. Clique em Guardar.

    gcloud

    Use o comando gcloud secrets add-iam-policy-binding:

       gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
       --role="roles/secretmanager.secretAccessor"

    Substitua o seguinte:

    • PROJECT_NUMBER: o número do seu projeto
    • SECRET_ID: o ID do segredo

Elimine um segredo

Consola

  1. Na Google Cloud consola, aceda à página RFC de multimédia.

    Aceda à RFC de multimédia

  2. Clique no separador Conjuntos de chaves.

  3. Selecione o conjunto de chaves que tem o segredo que quer eliminar e, de seguida, clique em Editar.

  4. Para eliminar um segredo, na secção Chaves > Chaves partilhadas de validação, clique em Eliminar junto ao nome do segredo.

  5. Clique em Atualizar conjunto de chaves.

gcloud

Para eliminar uma chave secreta de um conjunto de chaves, use o comando gcloud edge-cache keysets update. Omita o conjunto de chaves que quer eliminar e especifique os conjuntos de chaves que quer manter.

No exemplo seguinte, KEY_VERSION_1 não está listado, enquanto KEY_VERSION_2 e KEY_VERSION_3 estão listados. Omitir KEY_VERSION_1 elimina-o do conjunto de chaves.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Substitua o seguinte:

  • KEYSET_NAME: o nome do conjunto de chaves
  • PROJECT_NUMBER: o número do seu projeto
  • SECRET_ID: o ID da chave secreta que está a atualizar
  • KEY_VERSION: a versão da chave

editor de texto

  1. Exporte o conjunto de chaves para um ficheiro YAML. Use o comando gcloud edge-cache keysets export.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Substitua o seguinte:

    • KEYSET_NAME: o nome do seu conjunto de chaves, por exemplo, prod-vod-keyset
    • FILENAME: o nome do ficheiro YAML

  2. Edite o ficheiro de configuração do conjunto de chaves exportado para remover a chave secreta. O exemplo seguinte mostra como remover a chave secreta mais antiga, que termina em KEY_VERSION_1:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

    Substitua o seguinte:

    • PROJECT_NUMBER: o número do seu projeto
    • SECRET_ID: o ID da chave secreta que está a atualizar
    • KEY_VERSION: a versão da chave

    O ficheiro editado tem um aspeto semelhante ao seguinte:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

  3. Importe o conjunto de teclas editado. Use o comando gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml

Adicione um segredo

Consola

  1. Na Google Cloud consola, aceda à página RFC de multimédia.

    Aceda à RFC de multimédia

  2. Clique no separador Conjuntos de chaves.

  3. Selecione o conjunto de chaves para o qual quer adicionar um segredo e, de seguida, clique em Editar.

  4. Para adicionar um segredo, na secção Chaves > Chaves partilhadas de validação, clique em Segredo. Em seguida, selecione um segredo na lista, introduza um segredo manualmente especificando o respetivo ID do recurso ou crie um novo segredo e, em seguida, selecione-o.

  5. Selecione uma versão secreta na lista ou crie uma nova versão secreta e, de seguida, selecione-a.

  6. Clique em Atualizar conjunto de chaves.

gcloud

Para adicionar uma chave secreta a um conjunto de chaves, use o comando gcloud edge-cache keysets update. Especifique os conjuntos de chaves que tem e o conjunto de chaves que quer adicionar.

No exemplo seguinte, KEY_VERSION_1 foi eliminado anteriormente e KEY_VERSION_4 é o conjunto de chaves que está a ser adicionado. A indicação de KEY_VERSION_4, além de KEY_VERSION_2 e KEY_VERSION_3, adiciona-o ao conjunto de chaves.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Substitua o seguinte:

  • KEYSET_NAME: o nome do conjunto de chaves
  • PROJECT_NUMBER: o número do seu projeto
  • SECRET_ID: o ID da chave secreta que está a atualizar
  • KEY_VERSION: a versão da chave

editor de texto

  1. Exporte o conjunto de chaves para um ficheiro YAML. Use o comando gcloud edge-cache keysets export.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Substitua o seguinte:

    • KEYSET_NAME: o nome do seu conjunto de chaves
    • FILENAME: o nome do ficheiro YAML

  2. No ficheiro de configuração do conjunto de chaves exportado, adicione uma nova linha secretVersion que inclua uma nova versão da chave, semelhante ao seguinte:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"

  3. Importe o conjunto de teclas editado. Use o comando gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml