Merotasi secret

Halaman ini menjelaskan cara memperbarui kunci Media CDN yang digunakan untuk penandatanganan permintaan. Anda dapat memiliki hingga tiga kunci publik dan tiga kunci bersama validasi, untuk total enam kunci per {i>keyset<i}. Agar tidak melampaui batas tersebut selama rotasi kunci, lihat petunjuk berikut tentang cara menghapus validasi kunci bersama dan cara menambahkan kunci.

Sebelum memulai

  1. Konfigurasi kunci validasi bersama Anda di Secret Manager.

  2. Memberikan peran Akses Secret Manager (roles/secretmanager.secretAccessor) ke Media CDN akun layanan Anda.

    Konsol

    1. Di Konsol Google Cloud, buka halaman Secret Manager.

      Buka Secret Manager

    2. Pilih rahasia.
    3. Di panel info, klik Tambah akun utama.
    4. Untuk New principals, masukkan Media CDN akun layanan Anda sebagai berikut:
      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

      Ganti PROJECT_NUMBER dengan nomor project Anda.

    5. Untuk Select a role, pilih Secret Manager, lalu pilih Secret Manager Secret Accessor.
    6. Klik Simpan.

    gcloud

    Gunakan Perintah gcloud secrets add-iam-policy-binding:

       gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
           --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
           --role="roles/secretmanager.secretAccessor"
        

    Ganti kode berikut:

    • PROJECT_NUMBER: nomor project Anda
    • SECRET_ID: ID rahasia

Menghapus secret

Konsol

  1. Di konsol Google Cloud, buka halaman Media CDN.

    Buka Media CDN

  2. Klik tab Keysets.

  3. Pilih {i>keyset<i} yang memiliki rahasia yang ingin Anda hapus, lalu Klik Edit.

  4. Untuk menghapus rahasia, di bagian Kunci &gt; Kunci bersama validasi, klik Hapus di samping nama rahasia.

  5. Klik Perbarui kumpulan kunci.

gcloud

Untuk menghapus kunci rahasia dari keyset, gunakan perintah gcloud edge-cache keysets update. Hilangkan yang ingin Anda hapus dan menentukan kumpulan kunci yang ingin Anda pertahankan.

Dalam contoh berikut, KEY_VERSION_1 tidak tercantum, sedangkan KEY_VERSION_2 dan KEY_VERSION_3 dicantumkan. Menghilangkan KEY_VERSION_1 akan menghapusnya dari keyset.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Ganti kode berikut:

  • KEYSET_NAME: nama keyset
  • PROJECT_NUMBER: nomor project Anda
  • SECRET_ID: ID rahasia yang kamu lagi update
  • KEY_VERSION: versi kunci

editor teks

  1. Ekspor keyset Anda ke file YAML. Gunakan perintah gcloud edge-cache keysets export.

    gcloud edge-cache keysets export KEYSET_NAME \
        --destination=FILENAME.yaml
    

    Ganti kode berikut:

    • KEYSET_NAME: nama kumpulan tombol—misalnya, prod-vod-keyset
    • FILENAME: nama file YAML
  2. Edit file konfigurasi keyset yang diekspor untuk menghapus kunci rahasia. Contoh berikut menunjukkan cara menghapus kunci rahasia yang paling lama, yang berakhir dengan KEY_VERSION_1:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
    validationSharedKeys:
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    

    Ganti kode berikut:

    • PROJECT_NUMBER: nomor project Anda
    • SECRET_ID: ID rahasia yang kamu lagi update
    • KEY_VERSION: versi kunci

    File yang diedit terlihat mirip dengan yang berikut ini:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
    validationSharedKeys:
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    
  3. Impor keyset yang diedit. Gunakan perintah gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
        --source=FILENAME.yaml
    

Tambahkan rahasia

Konsol

  1. Di konsol Google Cloud, buka halaman Media CDN.

    Buka Media CDN

  2. Klik tab Keysets.

  3. Pilih {i>keyset<i} yang ingin Anda tambahkan rahasia, lalu klik Edit.

  4. Untuk menambahkan rahasia, di bagian Kunci &gt; Kunci bersama validasi, klik Rahasia. Kemudian, pilih sebuah rahasia dari daftar, memasukkan rahasia secara manual dengan menentukan ID sumber dayanya, atau buat secret baru dan kemudian memilihnya.

  5. Pilih versi secret dari daftar atau buat versi secret baru, dan kemudian memilihnya.

  6. Klik Perbarui kumpulan kunci.

gcloud

Untuk menambahkan kunci rahasia ke keyset, gunakan gcloud edge-cache keysets update baris perintah. Tentukan {i>keyset<i} yang Anda miliki dan {i>keyset<i} yang ingin ditambahkan.

Dalam contoh berikut, KEY_VERSION_1 adalah sebelumnya dihapus dan KEY_VERSION_4 adalah {i>keyset <i}yang ditambahkan. Mencantumkan KEY_VERSION_4 di tambahan ke KEY_VERSION_2 dan KEY_VERSION_3 menambahkannya ke keyset.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Ganti kode berikut:

  • KEYSET_NAME: nama keyset
  • PROJECT_NUMBER: nomor project Anda
  • SECRET_ID: ID rahasia yang sedang Anda memperbarui
  • KEY_VERSION: versi kunci

editor teks

  1. Ekspor keyset Anda ke file YAML. Gunakan Perintah gcloud edge-cache keysets export.

    gcloud edge-cache keysets export KEYSET_NAME \
        --destination=FILENAME.yaml
    

    Ganti kode berikut:

    • KEYSET_NAME: nama keyset Anda
    • FILENAME: nama file YAML
  2. Dalam file konfigurasi keyset yang diekspor, tambahkan secretVersion baru yang berisi versi kunci baru, mirip dengan berikut ini:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
    validationSharedKeys:
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"
    
  3. Impor keyset yang diedit. Gunakan perintah gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
        --source=FILENAME.yaml