Halaman ini menjelaskan cara memperbarui kunci Media CDN yang digunakan untuk penandatanganan permintaan. Anda dapat memiliki hingga tiga kunci publik dan tiga kunci bersama validasi, untuk total enam kunci per {i>keyset<i}. Agar tidak melampaui batas tersebut selama rotasi kunci, lihat petunjuk berikut tentang cara menghapus validasi kunci bersama dan cara menambahkan kunci.
Sebelum memulai
Memberikan peran Akses Secret Manager (
roles/secretmanager.secretAccessor
) ke Media CDN akun layanan Anda.Konsol
Di Konsol Google Cloud, buka halaman Secret Manager.
- Pilih rahasia.
- Di panel info, klik Tambah akun utama.
Untuk New principals, masukkan Media CDN akun layanan Anda sebagai berikut:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
Ganti
PROJECT_NUMBER
dengan nomor project Anda.- Untuk Select a role, pilih Secret Manager, lalu pilih Secret Manager Secret Accessor.
- Klik Simpan.
gcloud
Gunakan Perintah
gcloud secrets add-iam-policy-binding
:gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"
Ganti kode berikut:
PROJECT_NUMBER
: nomor project AndaSECRET_ID
: ID rahasia
Menghapus secret
Konsol
Di konsol Google Cloud, buka halaman Media CDN.
Klik tab Keysets.
Pilih {i>keyset<i} yang memiliki rahasia yang ingin Anda hapus, lalu Klik Edit.
Untuk menghapus rahasia, di bagian Kunci > Kunci bersama validasi, klik Hapus di samping nama rahasia.
Klik Perbarui kumpulan kunci.
gcloud
Untuk menghapus kunci rahasia dari keyset, gunakan perintah gcloud edge-cache keysets
update
. Hilangkan
yang ingin Anda hapus dan menentukan
kumpulan kunci yang ingin Anda pertahankan.
Dalam contoh berikut, KEY_VERSION_1
tidak tercantum, sedangkan KEY_VERSION_2
dan
KEY_VERSION_3
dicantumkan. Menghilangkan
KEY_VERSION_1
akan menghapusnya dari keyset.
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
Ganti kode berikut:
KEYSET_NAME
: nama keysetPROJECT_NUMBER
: nomor project AndaSECRET_ID
: ID rahasia yang kamu lagi updateKEY_VERSION
: versi kunci
editor teks
Ekspor keyset Anda ke file YAML. Gunakan perintah
gcloud edge-cache keysets export
.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
Ganti kode berikut:
KEYSET_NAME
: nama kumpulan tombol—misalnya,prod-vod-keyset
FILENAME
: nama file YAML
Edit file konfigurasi keyset yang diekspor untuk menghapus kunci rahasia. Contoh berikut menunjukkan cara menghapus kunci rahasia yang paling lama, yang berakhir dengan KEY_VERSION_1:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
Ganti kode berikut:
PROJECT_NUMBER
: nomor project AndaSECRET_ID
: ID rahasia yang kamu lagi updateKEY_VERSION
: versi kunci
File yang diedit terlihat mirip dengan yang berikut ini:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
Impor keyset yang diedit. Gunakan perintah
gcloud edge-cache keysets import
:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml
Tambahkan rahasia
Konsol
Di konsol Google Cloud, buka halaman Media CDN.
Klik tab Keysets.
Pilih {i>keyset<i} yang ingin Anda tambahkan rahasia, lalu klik Edit.
Untuk menambahkan rahasia, di bagian Kunci > Kunci bersama validasi, klik Rahasia. Kemudian, pilih sebuah rahasia dari daftar, memasukkan rahasia secara manual dengan menentukan ID sumber dayanya, atau buat secret baru dan kemudian memilihnya.
Pilih versi secret dari daftar atau buat versi secret baru, dan kemudian memilihnya.
Klik Perbarui kumpulan kunci.
gcloud
Untuk menambahkan kunci rahasia ke keyset, gunakan gcloud edge-cache keysets update
baris perintah. Tentukan
{i>keyset<i} yang Anda miliki dan
{i>keyset<i} yang ingin ditambahkan.
Dalam contoh berikut, KEY_VERSION_1
adalah
sebelumnya dihapus dan KEY_VERSION_4
adalah
{i>keyset <i}yang ditambahkan. Mencantumkan KEY_VERSION_4
di
tambahan ke KEY_VERSION_2
dan
KEY_VERSION_3
menambahkannya ke keyset.
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'
Ganti kode berikut:
KEYSET_NAME
: nama keysetPROJECT_NUMBER
: nomor project AndaSECRET_ID
: ID rahasia yang sedang Anda memperbaruiKEY_VERSION
: versi kunci
editor teks
Ekspor keyset Anda ke file YAML. Gunakan Perintah
gcloud edge-cache keysets export
.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
Ganti kode berikut:
KEYSET_NAME
: nama keyset AndaFILENAME
: nama file YAML
Dalam file konfigurasi keyset yang diekspor, tambahkan
secretVersion
baru yang berisi versi kunci baru, mirip dengan berikut ini:name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"
Impor keyset yang diedit. Gunakan perintah
gcloud edge-cache keysets import
:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml