Ruota i secret

In questa pagina viene descritto come aggiornare le chiavi Media CDN utilizzate per le chiavi richieste. Puoi avere fino a tre chiavi pubbliche e tre chiavi condivise di convalida, per un totale di sei tasti per set di chiavi. Per evitare di superare questi limiti durante un rotazione della chiave, consulta le seguenti istruzioni su come eliminare una chiave condivisa e come aggiungerne una.

Prima di iniziare

  1. Configura le chiavi condivise di convalida in Secret Manager.

  2. Concedi il ruolo di accesso a Secret Manager (roles/secretmanager.secretAccessor) a Media CDN l'account di servizio.

    Console

    1. Nella console Google Cloud, vai alla pagina Secret Manager.

      Vai a Secret Manager

    2. Seleziona il secret.
    3. Nel riquadro delle informazioni, fai clic su Aggiungi entità.

    4. Per Nuove entità, inserisci il valore di Media CDN di account di servizio come segue:
      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

      Sostituisci PROJECT_NUMBER con del progetto.

    5. In Seleziona un ruolo, seleziona Secret Manager e poi Seleziona Funzione di accesso ai secret di Secret Manager.
    6. Fai clic su Salva.

    gcloud

    Utilizza la Comando gcloud secrets add-iam-policy-binding:

       gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
       --role="roles/secretmanager.secretAccessor"

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero del tuo progetto
    • SECRET_ID: l'ID del secret

Elimina un secret

Console

  1. Nella console Google Cloud, vai alla pagina Media CDN.

    Vai a Media CDN

  2. Fai clic sulla scheda Set di chiavi.

  3. Seleziona il set di chiavi contenente il secret che vuoi eliminare, quindi fai clic su Modifica.

  4. Per eliminare un secret, nella sezione Chiavi > Chiavi condivise di convalida: fai clic su Elimina accanto al nome del secret.

  5. Fai clic su Aggiorna set di chiavi.

gcloud

Per eliminare una chiave segreta da un set di chiavi, utilizza il comando gcloud edge-cache keysets update. Ometti il set di chiavi da eliminare e specificare i set di chiavi da conservare.

Nell'esempio seguente, KEY_VERSION_1 non è presente nell'elenco, mentre KEY_VERSION_2 e KEY_VERSION_3 sono elencati. Omissione KEY_VERSION_1 lo elimina dal set di chiavi.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Sostituisci quanto segue:

  • KEYSET_NAME: nome del set di chiavi
  • PROJECT_NUMBER: il numero del tuo progetto
  • SECRET_ID: l'ID del secret che stai aggiornando
  • KEY_VERSION: la versione della chiave

editor di testo

  1. Esporta il set di chiavi in un file YAML. Utilizza la Comando gcloud edge-cache keysets export.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Sostituisci quanto segue:

    • KEYSET_NAME: il nome del tuo set di chiavi, ad esempio prod-vod-keyset
    • FILENAME: il nome del file YAML

  2. Modifica il file di configurazione del set di chiavi esportato per rimuovere la chiave segreta. L'esempio seguente mostra come rimuovere la chiave segreta meno recente, che termina con KEY_VERSION_1:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero del tuo progetto
    • SECRET_ID: l'ID del secret che stai aggiornando
    • KEY_VERSION: la versione della chiave

    Il file modificato è simile al seguente:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

  3. Importa il set di chiavi modificato. Utilizza la Comando gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml

Aggiungi un secret

Console

  1. Nella console Google Cloud, vai alla pagina Media CDN.

    Vai a Media CDN

  2. Fai clic sulla scheda Set di chiavi.

  3. Seleziona il set di chiavi per cui vuoi aggiungere un secret e fai clic su Modifica.

  4. Per aggiungere un secret, nella sezione Chiavi > Chiavi condivise di convalida: fai clic su Secret. Quindi, seleziona un secret dall'elenco inserisci manualmente un secret specificando l'ID risorsa, oppure crea un nuovo secret e selezionalo.

  5. Seleziona una versione del secret dall'elenco o creane una nuova, e selezionalo.

  6. Fai clic su Aggiorna set di chiavi.

gcloud

Per aggiungere una chiave segreta a un set di chiavi, utilizza la funzione gcloud edge-cache keysets update un comando kubectl. Specifica i set di tasti che hai e il set di chiavi che vuoi aggiungere.

Nell'esempio seguente, KEY_VERSION_1 era precedentemente eliminato e KEY_VERSION_4 è di chiavi in fase di aggiunta. Scheda KEY_VERSION_4 in oltre a KEY_VERSION_2 e KEY_VERSION_3 lo aggiunge al set di chiavi.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Sostituisci quanto segue:

  • KEYSET_NAME: nome del set di chiavi
  • PROJECT_NUMBER: il numero del tuo progetto
  • SECRET_ID: l'ID del secret che stai aggiornamento in corso
  • KEY_VERSION: la versione della chiave

editor di testo

  1. Esporta il set di chiavi in un file YAML. Utilizza la Comando gcloud edge-cache keysets export.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Sostituisci quanto segue:

    • KEYSET_NAME: il nome del set di chiavi
    • FILENAME: il nome del file YAML

  2. Aggiungi un nuovo secretVersion nel file di configurazione del set di chiavi esportato che include una nuova versione della chiave, simile alla seguente:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"

  3. Importa il set di chiavi modificato. Utilizza la Comando gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml