Auf dieser Seite wird beschrieben, wie Sie Media CDN-Schlüssel aktualisieren, die für signierte -Anfragen. Sie können bis zu drei öffentliche Schlüssel und drei freigegebene Validierungsschlüssel haben. insgesamt sechs Schlüssel pro Schlüsselsatz. Um eine Überschreitung dieser Begrenzungen während eines Schlüsselrotation finden Sie in den folgenden Anweisungen zum Löschen einer Validierung und wie Sie einen Schlüssel hinzufügen.
Hinweise
Konfigurieren Sie Ihre freigegebenen Validierungsschlüssel in Secret Manager.
Secret Manager-Zugriffsrolle gewähren (
roles/secretmanager.secretAccessor
) an das Media CDN Dienstkonto.Console
In der Google Cloud Console Rufen Sie die Seite Secret Manager auf.
- Wählen Sie das Secret aus.
- Klicken Sie im Infofeld auf Hauptkonto hinzufügen.
Geben Sie unter Neue Hauptkonten den Wert „Media CDN“ ein. Dienstkonto so:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
Ersetzen Sie
PROJECT_NUMBER
durch Ihren Projektnummer.- Wählen Sie unter Rolle auswählen die Option Secret Manager aus und Wählen Sie Zugriffsfunktion für Secret Manager-Secret aus.
- Klicken Sie auf Speichern.
gcloud
Verwenden Sie die Methode
gcloud secrets add-iam-policy-binding
-Befehl:gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"
Ersetzen Sie Folgendes:
PROJECT_NUMBER
: Ihre ProjektnummerSECRET_ID
: die ID des Secrets
Secret löschen
Console
Rufen Sie in der Google Cloud Console die Seite Media CDN auf.
Klicken Sie auf den Tab Schlüsselsätze.
Wählen Sie den Schlüsselsatz mit dem Secret aus, das Sie löschen möchten, und Klicken Sie auf Bearbeiten.
So löschen Sie ein Secret im Bereich Schlüssel > Freigegebene Validierungsschlüssel: Klicken Sie auf Löschen.
Klicken Sie auf Schlüsselsatz aktualisieren.
gcloud
Verwenden Sie den Befehl gcloud edge-cache keysets
update
, um einen geheimen Schlüssel aus einem Schlüsselsatz zu löschen. Lassen Sie die
Keyset, das Sie löschen möchten, und geben Sie die Keysets an, die Sie behalten möchten.
Im folgenden Beispiel ist KEY_VERSION_1
nicht aufgeführt ist, während KEY_VERSION_2
und
KEY_VERSION_3
sind aufgeführt. Auslassen
KEY_VERSION_1
löscht sie aus dem Schlüsselsatz.
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
Ersetzen Sie Folgendes:
KEYSET_NAME
: der Name des SchlüsselsatzesPROJECT_NUMBER
: Ihre ProjektnummerSECRET_ID
ist die ID des Secrets, das du aktualisierstKEY_VERSION
: die Schlüsselversion
Texteditor
Exportieren Sie Ihr Keyset in eine YAML-Datei. Führen Sie den Befehl
gcloud edge-cache keysets export
aus.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
Ersetzen Sie Folgendes:
KEYSET_NAME
: der Name Ihres Keyset, z. B.prod-vod-keyset
FILENAME
: der YAML-Dateiname
Entfernen Sie den geheimen Schlüssel aus der exportierten Schlüsselsatz-Konfigurationsdatei. Das folgende Beispiel zeigt, wie Sie den ältesten geheimen Schlüssel entfernen, endet auf KEY_VERSION_1:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
Ersetzen Sie Folgendes:
PROJECT_NUMBER
: Ihre ProjektnummerSECRET_ID
ist die ID des Secrets, das du aktualisierstKEY_VERSION
: die Schlüsselversion
Die bearbeitete Datei sieht in etwa so aus:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
Importieren Sie den bearbeiteten Schlüsselsatz. Führen Sie den Befehl
gcloud edge-cache keysets import
aus:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml
Secret hinzufügen
Console
Rufen Sie in der Google Cloud Console die Seite Media CDN auf.
Klicken Sie auf den Tab Schlüsselsätze.
Wählen Sie den Schlüsselsatz aus, für den Sie ein Secret hinzufügen möchten, und klicken Sie auf Bearbeiten:
Gehen Sie zum Hinzufügen eines Secrets im Bereich Schlüssel > Freigegebene Validierungsschlüssel so vor: Klicken Sie auf Secret. Wählen Sie dann ein Secret aus der Liste aus ein Secret manuell durch Angabe seiner Ressourcen-ID eingeben oder neues Secret erstellen und wählen es dann aus.
Wählen Sie eine Secret-Version aus der Liste aus oder erstellen Sie eine neue Secret-Version. und wählen es dann aus.
Klicken Sie auf Schlüsselsatz aktualisieren.
gcloud
Verwenden Sie zum Hinzufügen eines geheimen Schlüssels zu einem Schlüsselsatz die Methode gcloud edge-cache keysets update
. Geben Sie die
Schlüsselsätze und den Schlüsselsatz, den Sie hinzufügen möchten.
Im folgenden Beispiel wurde KEY_VERSION_1
zuvor gelöscht und KEY_VERSION_4
ist die
Keyset hinzugefügt wird. Eintrag KEY_VERSION_4
in
zusätzlich zu KEY_VERSION_2
und
KEY_VERSION_3
fügt sie dem Keyset hinzu.
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'
Ersetzen Sie Folgendes:
KEYSET_NAME
: der Name des SchlüsselsatzesPROJECT_NUMBER
: Ihre ProjektnummerSECRET_ID
: die ID des Secrets, das Sie verwenden wird aktualisiertKEY_VERSION
: die Schlüsselversion
Texteditor
Exportieren Sie Ihr Keyset in eine YAML-Datei. Verwenden Sie die Methode
gcloud edge-cache keysets export
-Befehlgcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
Ersetzen Sie Folgendes:
KEYSET_NAME
: der Name Ihres SchlüsselsatzesFILENAME
: der YAML-Dateiname
Fügen Sie der exportierten Schlüsselsatz-Konfigurationsdatei einen neuen
secretVersion
hinzu. mit einer neuen Schlüsselversion, die in etwa so aussieht:name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"
Importieren Sie den bearbeiteten Schlüsselsatz. Führen Sie den Befehl
gcloud edge-cache keysets import
aus:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml