Halaman ini menjelaskan cara memperbarui kunci Media CDN yang digunakan untuk permintaan yang ditandatangani. Anda dapat memiliki maksimal tiga kunci publik dan tiga kunci bersama validasi, sehingga totalnya enam kunci per kumpulan kunci. Untuk mencegah melebihi batas tersebut selama rotasi kunci, lihat petunjuk berikut tentang cara menghapus kunci bersama validasi dan cara menambahkan kunci.
Sebelum memulai
Berikan peran Secret Manager Access (
roles/secretmanager.secretAccessor) ke akun layanan Media CDN.Konsol
Di konsol Google Cloud, buka halaman Secret Manager.
- Pilih secret.
- Di panel info, klik Tambah akun utama.
Untuk New principals, masukkan akun layanan Media CDN sebagai berikut:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.comGanti
PROJECT_NUMBERdengan nomor project Anda.- Untuk Select a role, pilih Secret Manager, lalu pilih Secret Manager Secret Accessor.
- Klik Simpan.
gcloud
Gunakan perintah
gcloud secrets add-iam-policy-binding:gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"Ganti kode berikut:
PROJECT_NUMBER: nomor project AndaSECRET_ID: ID secret
Menghapus secret
Konsol
Di konsol Google Cloud, buka halaman Media CDN.
Klik tab Keyset.
Pilih kumpulan kunci yang memiliki secret yang ingin Anda hapus, lalu klik Edit.
Untuk menghapus secret, di bagian Keys > Validation shared keys, klik Delete di samping nama secret.
Klik Perbarui kumpulan kunci.
gcloud
Untuk menghapus kunci rahasia dari kumpulan kunci, gunakan perintah gcloud edge-cache keysets
update. Hapus
kumpulan kunci yang ingin Anda hapus dan tentukan kumpulan kunci yang ingin Anda simpan.
Dalam contoh berikut, KEY_VERSION_1
tidak tercantum, sedangkan KEY_VERSION_2 dan
KEY_VERSION_3 tercantum. Menghapus
KEY_VERSION_1 akan menghapusnya dari kumpulan kunci.
gcloud edge-cache keysets update KEYSET_NAME \
--validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
--validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
Ganti kode berikut:
KEYSET_NAME: nama kumpulan kunciPROJECT_NUMBER: nomor project AndaSECRET_ID: ID secret yang Anda perbaruiKEY_VERSION: versi kunci
editor teks
Ekspor kumpulan kunci Anda ke file YAML. Gunakan perintah
gcloud edge-cache keysets export.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yamlGanti kode berikut:
KEYSET_NAME: nama kumpulan kunci Anda—misalnya,prod-vod-keysetFILENAME: nama file YAML
Edit file konfigurasi kumpulan kunci yang diekspor untuk menghapus kunci rahasia. Contoh berikut menunjukkan cara menghapus kunci rahasia terlama, yang diakhiri dengan KEY_VERSION_1:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"Ganti kode berikut:
PROJECT_NUMBER: nomor project AndaSECRET_ID: ID secret yang Anda perbaruiKEY_VERSION: versi kunci
File yang diedit terlihat mirip dengan berikut ini:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"Impor kumpulan kunci yang diedit. Gunakan perintah
gcloud edge-cache keysets import:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml
Menambahkan secret
Konsol
Di konsol Google Cloud, buka halaman Media CDN.
Klik tab Keyset.
Pilih kumpulan kunci yang ingin Anda tambahkan secret, lalu klik Edit.
Untuk menambahkan secret, di bagian Kunci > Kunci bersama validasi, klik Secret. Kemudian, pilih secret dari daftar, masukkan secret secara manual dengan menentukan ID resource-nya, atau buat secret baru, lalu pilih secret tersebut.
Pilih versi secret dari daftar atau buat versi secret baru, lalu pilih versi secret tersebut.
Klik Perbarui kumpulan kunci.
gcloud
Untuk menambahkan kunci rahasia ke kumpulan kunci, gunakan perintah
gcloud edge-cache keysets update. Tentukan
kumpulan kunci yang Anda miliki dan kumpulan kunci yang ingin ditambahkan.
Dalam contoh berikut, KEY_VERSION_1 sebelumnya telah dihapus dan KEY_VERSION_4 adalah kumpulan kunci yang ditambahkan. Mencantumkan KEY_VERSION_4 selain
KEY_VERSION_2 dan
KEY_VERSION_3 akan menambahkannya ke kumpulan kunci.
gcloud edge-cache keysets update KEYSET_NAME \
--validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
--validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
--validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'
Ganti kode berikut:
KEYSET_NAME: nama kumpulan kunciPROJECT_NUMBER: nomor project AndaSECRET_ID: ID secret yang Anda perbaruiKEY_VERSION: versi kunci
editor teks
Ekspor kumpulan kunci Anda ke file YAML. Gunakan perintah
gcloud edge-cache keysets export.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yamlGanti kode berikut:
KEYSET_NAME: nama kumpulan kunci AndaFILENAME: nama file YAML
Dalam file konfigurasi kumpulan kunci yang diekspor, tambahkan baris
secretVersionbaru yang menyertakan versi kunci baru, mirip dengan berikut:name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"Impor kumpulan kunci yang diedit. Gunakan perintah
gcloud edge-cache keysets import:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml