Diese Seite wurde von der Cloud Translation API übersetzt.

Secrets rotieren

Auf dieser Seite wird beschrieben, wie du Media CDN-Schlüssel aktualisierst, die für signierte Anfragen verwendet werden. Sie können bis zu drei öffentliche Schlüssel und drei freigegebene Validierungsschlüssel angeben, also insgesamt sechs Schlüssel pro Schlüsselsatz. Wenn Sie verhindern möchten, dass diese Limits bei einer Schlüsselrotation überschritten werden, lesen Sie die folgenden Anleitungen zum Löschen eines gemeinsamen Schlüssels für die Bestätigung und zum Hinzufügen eines Schlüssels.

Hinweise

Konfigurieren Sie Ihre gemeinsamen Schlüssel für die Bestätigung in Secret Manager.
Weisen Sie dem Media CDN-Dienstkonto die Rolle „Secret Manager-Zugriff“ (roles/secretmanager.secretAccessor) zu.
Console
1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.
  
  Zu Secret Manager
2. Wählen Sie das Secret aus.
3. Klicken Sie im Infofeld auf Hauptkonto hinzufügen.
4. Geben Sie unter Neue Hauptkonten das Media CDN-Dienstkonto folgendermaßen ein:
  service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
  
  Ersetzen Sie PROJECT_NUMBER durch die Projektnummer.
5. Wählen Sie unter Rolle auswählen die Option Secret Manager und dann Zugriffsperson für Secret Manager-Secret aus.
6. Klicken Sie auf Speichern.
gcloud

Führen Sie den Befehl gcloud secrets add-iam-policy-binding aus:
```
   gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
       --role="roles/secretmanager.secretAccessor"
    
```
Ersetzen Sie Folgendes:
- PROJECT_NUMBER: Ihre Projektnummer
- SECRET_ID: die ID des Secrets

Secret löschen

Console

Rufen Sie in der Google Cloud Console die Seite Media CDN auf.

Zum Media CDN
Klicken Sie auf den Tab Schlüsselsätze.
Wählen Sie das Schlüsselset mit dem Secret aus, das Sie löschen möchten, und klicken Sie dann auf Bearbeiten.
Wenn Sie ein Secret löschen möchten, klicken Sie im Bereich Keys > Gemeinsame Schlüssel für die Validierung neben dem Namen des Secrets auf Löschen.
Klicken Sie auf Schlüsselsatz aktualisieren.

gcloud

Verwenden Sie den Befehl gcloud edge-cache keysets update, um einen geheimen Schlüssel aus einem Schlüsselsatz zu löschen. Lassen Sie das Schlüsselset weg, das Sie löschen möchten, und geben Sie die Schlüsselsätze an, die Sie behalten möchten.

Im folgenden Beispiel ist KEY_VERSION_1 nicht aufgeführt, während KEY_VERSION_2 und KEY_VERSION_3 aufgeführt sind. Wenn Sie KEY_VERSION_1 weglassen, wird er aus dem Schlüsselsatz gelöscht.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Ersetzen Sie Folgendes:

KEYSET_NAME: der Name des Schlüsselsatzes
PROJECT_NUMBER: Ihre Projektnummer
SECRET_ID: die ID des Secrets, das Sie aktualisieren
KEY_VERSION: die Schlüsselversion

Texteditor

Exportieren Sie den Schlüsselsatz in eine YAML-Datei. Führen Sie den Befehl gcloud edge-cache keysets export aus.
```
gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml
```
Ersetzen Sie Folgendes:
- KEYSET_NAME: der Name Ihres Schlüsselsatzes, z. B. prod-vod-keyset
- FILENAME: der Name der YAML-Datei

Bearbeiten Sie die exportierte Konfigurationsdatei des Schlüsselsatzes, um den geheimen Schlüssel zu entfernen. Im folgenden Beispiel wird der älteste geheime Schlüssel entfernt, der auf KEY_VERSION_1 endet:

name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

Ersetzen Sie Folgendes:

PROJECT_NUMBER: Ihre Projektnummer
SECRET_ID: die ID des Secrets, das Sie aktualisieren
KEY_VERSION: die Schlüsselversion

Die bearbeitete Datei sieht in etwa so aus:

name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

Importieren Sie das bearbeitete Schlüsselset. Führen Sie den Befehl gcloud edge-cache keysets import aus:
```
gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml
```

Secret hinzufügen

Console

Rufen Sie in der Google Cloud Console die Seite Media CDN auf.

Zum Media CDN
Klicken Sie auf den Tab Schlüsselsätze.
Wählen Sie das Schlüsselset aus, dem Sie ein Geheimnis hinzufügen möchten, und klicken Sie dann auf Bearbeiten.
Wenn Sie ein Secret hinzufügen möchten, klicken Sie im Bereich Schlüssel > Freigegebene Validierungsschlüssel auf Secret. Wählen Sie dann ein Secret aus der Liste aus, geben Sie ein Secret manuell ein, indem Sie die Ressourcen-ID angeben, oder erstellen Sie ein neues Secret und wählen Sie es dann aus.
Wählen Sie eine Secret-Version aus der Liste aus oder erstellen Sie eine neue Secret-Version.
Klicken Sie auf Schlüsselsatz aktualisieren.

gcloud

Verwenden Sie den Befehl gcloud edge-cache keysets update, um einem Schlüsselsatz einen geheimen Schlüssel hinzuzufügen. Geben Sie die vorhandenen Schlüsselsätze und den Schlüsselsatz an, den Sie hinzufügen möchten.

Im folgenden Beispiel wurde KEY_VERSION_1 zuvor gelöscht und KEY_VERSION_4 ist das Schlüsselset, das hinzugefügt wird. Wenn Sie KEY_VERSION_4 zusätzlich zu KEY_VERSION_2 und KEY_VERSION_3 angeben, wird es dem Schlüsselsatz hinzugefügt.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Ersetzen Sie Folgendes:

KEYSET_NAME: der Name des Schlüsselsatzes
PROJECT_NUMBER: Ihre Projektnummer
SECRET_ID: die ID des Secrets, das Sie aktualisieren
KEY_VERSION: die Schlüsselversion

Texteditor

Exportieren Sie den Schlüsselsatz in eine YAML-Datei. Führen Sie den Befehl gcloud edge-cache keysets export aus.
```
gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml
```
Ersetzen Sie Folgendes:
- KEYSET_NAME: der Name des Schlüsselsatzes
- FILENAME: der Name der YAML-Datei

Fügen Sie in der exportierten Konfigurationsdatei für das Schlüsselset eine neue Zeile vom Typ secretVersion mit einer neuen Schlüsselversion hinzu, ähnlich der folgenden:

name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"

Importieren Sie das bearbeitete Schlüsselset. Führen Sie den Befehl gcloud edge-cache keysets import aus:
```
gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml
```