Ruota i secret

Questa pagina descrive come aggiornare le chiavi CDN Media utilizzate per le richieste firmate. Puoi specificare fino a tre chiavi pubbliche e tre chiavi condivise di convalida, per un totale di sei chiavi per set di chiavi. Per evitare di superare questi limiti durante la rotazione della chiave, consulta le seguenti istruzioni su come eliminare una chiave condivisa di convalida e su come aggiungerne una.

Prima di iniziare

  1. Configura le chiavi condivise di convalida in Secret Manager.

  2. Concedi il ruolo di accesso a Secret Manager (roles/secretmanager.secretAccessor) all'account di servizio Media CDN.

    Console

    1. Nella console Google Cloud, vai alla pagina Secret Manager.

      Vai a Secret Manager

    2. Seleziona il secret.
    3. Nel riquadro delle informazioni, fai clic su Aggiungi entità.

    4. In Nuove entità, inserisci l'account di servizio Media CDN come segue:
      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

      Sostituisci PROJECT_NUMBER con il numero del tuo progetto.

    5. In Seleziona un ruolo, seleziona Gestore dei secret e poi Accesso ai secret di Gestore dei secret.
    6. Fai clic su Salva.

    gcloud

    Utilizza il comando gcloud secrets add-iam-policy-binding:

       gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
       --role="roles/secretmanager.secretAccessor"

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero del progetto
    • SECRET_ID: l'ID del segreto

Eliminare un secret

Console

  1. Nella console Google Cloud, vai alla pagina Media CDN.

    Vai a Media CDN

  2. Fai clic sulla scheda Insiemi di chiavi.

  3. Seleziona il set di chiavi contenente il segreto che vuoi eliminare e poi fai clic su Modifica.

  4. Per eliminare un segreto, nella sezione Chiavi > Chiavi condivise di convalida, fai clic su Elimina accanto al nome del segreto.

  5. Fai clic su Aggiorna insieme di chiavi.

gcloud

Per eliminare una chiave segreta da un set di chiavi, utilizza il comando gcloud edge-cache keysets update. Ometti il set di chiavi che vuoi eliminare e specifica quelli che vuoi conservare.

Nell'esempio seguente, KEY_VERSION_1 non è elencato, mentre KEY_VERSION_2 e KEY_VERSION_3 sono elencati. Se ometti KEY_VERSION_1, la chiave viene eliminata dal set di chiavi.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Sostituisci quanto segue:

  • KEYSET_NAME: il nome del set di chiavi
  • PROJECT_NUMBER: il numero del progetto
  • SECRET_ID: l'ID del secret che stai aggiornando
  • KEY_VERSION: la versione chiave

editor di testo

  1. Esporta il set di chiavi in un file YAML. Utilizza il comando gcloud edge-cache keysets export.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Sostituisci quanto segue:

    • KEYSET_NAME: il nome del set di chiavi, ad esempio prod-vod-keyset
    • FILENAME: il nome del file YAML

  2. Modifica il file di configurazione del set di chiavi esportato per rimuovere la chiave segreta. L'esempio seguente mostra come rimuovere la chiave segreta più vecchia, che termina con KEY_VERSION_1:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero del progetto
    • SECRET_ID: l'ID del secret che stai aggiornando
    • KEY_VERSION: la versione chiave

    Il file modificato sarà simile al seguente:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

  3. Importa il set di chiavi modificato. Utilizza il comando gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml

Aggiungi un secret

Console

  1. Nella console Google Cloud, vai alla pagina Media CDN.

    Vai a Media CDN

  2. Fai clic sulla scheda Insiemi di chiavi.

  3. Seleziona il set di chiavi per cui vuoi aggiungere un segreto e poi fai clic su Modifica.

  4. Per aggiungere un segreto, nella sezione Chiavi > Chiavi condivise di convalida, fai clic su Segreto. Quindi, seleziona un segreto dall'elenco, inserisci un segreto manualmente specificandone l'ID risorsa o crea un nuovo segreto e selezionalo.

  5. Seleziona una versione del segreto dall'elenco o creane una nuova, quindi selezionala.

  6. Fai clic su Aggiorna insieme di chiavi.

gcloud

Per aggiungere una chiave segreta a un set di chiavi, utilizza il gcloud edge-cache keysets update comando. Specifica i set di chiavi di cui disponi e quello che vuoi aggiungere.

Nell'esempio seguente, KEY_VERSION_1 è stato precedentemente eliminato e KEY_VERSION_4 è il set di chiavi aggiunto. L'elenco KEY_VERSION_4, oltre a KEY_VERSION_2 e KEY_VERSION_3, viene aggiunto al set di chiavi.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Sostituisci quanto segue:

  • KEYSET_NAME: il nome del set di chiavi
  • PROJECT_NUMBER: il numero del progetto
  • SECRET_ID: l'ID del secret che stai aggiornando
  • KEY_VERSION: la versione chiave

editor di testo

  1. Esporta il set di chiavi in un file YAML. Utilizza il comando gcloud edge-cache keysets export.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Sostituisci quanto segue:

    • KEYSET_NAME: il nome del set di chiavi
    • FILENAME: il nome del file YAML

  2. Nel file di configurazione del set di chiavi esportato, aggiungi una nuova riga secretVersion che includa una nuova versione della chiave, simile alla seguente:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"

  3. Importa il set di chiavi modificato. Utilizza il comando gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml