Secrets rotieren

Auf dieser Seite wird beschrieben, wie Sie Media CDN-Schlüssel aktualisieren, die für signierte -Anfragen. Sie können bis zu drei öffentliche Schlüssel und drei freigegebene Validierungsschlüssel haben. insgesamt sechs Schlüssel pro Schlüsselsatz. Wenn Sie verhindern möchten, dass diese Limits bei einer Schlüsselrotation überschritten werden, lesen Sie die folgenden Anleitungen zum Löschen eines gemeinsamen Schlüssels für die Bestätigung und zum Hinzufügen eines Schlüssels.

Hinweise

  1. Konfigurieren Sie Ihre freigegebenen Validierungsschlüssel in Secret Manager.

  2. Weisen Sie dem Media CDN-Dienstkonto die Rolle „Secret Manager-Zugriff“ (roles/secretmanager.secretAccessor) zu.

    Console

    1. In der Google Cloud Console Rufen Sie die Seite Secret Manager auf.

      Zu Secret Manager

    2. Wählen Sie das Secret aus.
    3. Klicken Sie im Infofeld auf Hauptkonto hinzufügen.

    4. Geben Sie unter Neue Hauptkonten den Wert „Media CDN“ ein. Dienstkonto so:
      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

      Ersetzen Sie PROJECT_NUMBER durch Ihren Projektnummer.

    5. Wählen Sie unter Rolle auswählen die Option Secret Manager und dann Zugriffsperson für Secret Manager-Secret aus.
    6. Klicken Sie auf Speichern.

    gcloud

    Verwenden Sie die Methode gcloud secrets add-iam-policy-binding-Befehl:

       gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
       --role="roles/secretmanager.secretAccessor"

    Ersetzen Sie Folgendes:

    • PROJECT_NUMBER: Ihre Projektnummer
    • SECRET_ID: die ID des Secrets

Secret löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Media CDN auf.

    Zum Media CDN

  2. Klicken Sie auf den Tab Schlüsselsätze.

  3. Wählen Sie das Schlüsselset mit dem Secret aus, das Sie löschen möchten, und klicken Sie dann auf Bearbeiten.

  4. So löschen Sie ein Secret im Bereich Schlüssel > Freigegebene Validierungsschlüssel: Klicken Sie auf . Löschen.

  5. Klicken Sie auf Schlüsselsatz aktualisieren.

gcloud

Verwenden Sie den Befehl gcloud edge-cache keysets update, um einen geheimen Schlüssel aus einem Schlüsselsatz zu löschen. Lassen Sie die Keyset, das Sie löschen möchten, und geben Sie die Keysets an, die Sie behalten möchten.

Im folgenden Beispiel ist KEY_VERSION_1 nicht aufgeführt ist, während KEY_VERSION_2 und KEY_VERSION_3 sind aufgeführt. Auslassen KEY_VERSION_1 löscht sie aus dem Schlüsselsatz.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Ersetzen Sie Folgendes:

  • KEYSET_NAME: der Name des Schlüsselsatzes
  • PROJECT_NUMBER: Ihre Projektnummer
  • SECRET_ID ist die ID des Secrets, das du aktualisierst
  • KEY_VERSION: die Schlüsselversion

Texteditor

  1. Exportieren Sie Ihr Keyset in eine YAML-Datei. Führen Sie den Befehl gcloud edge-cache keysets export aus.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Ersetzen Sie Folgendes:

    • KEYSET_NAME: der Name Ihres Schlüsselsatzes, z. B. prod-vod-keyset
    • FILENAME: der Name der YAML-Datei

  2. Entfernen Sie den geheimen Schlüssel aus der exportierten Schlüsselsatz-Konfigurationsdatei. Im folgenden Beispiel wird der älteste geheime Schlüssel entfernt, der auf KEY_VERSION_1 endet:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

    Ersetzen Sie Folgendes:

    • PROJECT_NUMBER: Ihre Projektnummer
    • SECRET_ID ist die ID des Secrets, das du aktualisierst
    • KEY_VERSION: die Schlüsselversion

    Die bearbeitete Datei sieht in etwa so aus:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

  3. Importieren Sie den bearbeiteten Schlüsselsatz. Führen Sie den Befehl gcloud edge-cache keysets import aus:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml

Secret hinzufügen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Media CDN auf.

    Zum Media CDN

  2. Klicken Sie auf den Tab Schlüsselsätze.

  3. Wählen Sie den Schlüsselsatz aus, für den Sie ein Secret hinzufügen möchten, und klicken Sie auf Bearbeiten:

  4. Wenn Sie ein Secret hinzufügen möchten, klicken Sie im Bereich Schlüssel > Freigegebene Validierungsschlüssel auf Secret. Wählen Sie dann ein Secret aus der Liste aus ein Secret manuell durch Angabe seiner Ressourcen-ID eingeben oder neues Secret erstellen und wählen es dann aus.

  5. Wählen Sie eine Secret-Version aus der Liste aus oder erstellen Sie eine neue Secret-Version.

  6. Klicken Sie auf Schlüsselsatz aktualisieren.

gcloud

Verwenden Sie den Befehl gcloud edge-cache keysets update, um einem Schlüsselsatz einen geheimen Schlüssel hinzuzufügen. Geben Sie die vorhandenen Schlüsselsätze und den Schlüsselsatz an, den Sie hinzufügen möchten.

Im folgenden Beispiel wurde KEY_VERSION_1 zuvor gelöscht und KEY_VERSION_4 ist die Keyset hinzugefügt wird. Wenn Sie KEY_VERSION_4 zusätzlich zu KEY_VERSION_2 und KEY_VERSION_3 angeben, wird es dem Schlüsselsatz hinzugefügt.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Ersetzen Sie Folgendes:

  • KEYSET_NAME: der Name des Schlüsselsatzes
  • PROJECT_NUMBER: Ihre Projektnummer
  • SECRET_ID: die ID des Secrets, das Sie verwenden wird aktualisiert
  • KEY_VERSION: die Schlüsselversion

Texteditor

  1. Exportieren Sie den Schlüsselsatz in eine YAML-Datei. Verwenden Sie die Methode gcloud edge-cache keysets export-Befehl

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Ersetzen Sie Folgendes:

    • KEYSET_NAME: der Name des Schlüsselsatzes
    • FILENAME: der YAML-Dateiname

  2. Fügen Sie der exportierten Schlüsselsatz-Konfigurationsdatei einen neuen secretVersion hinzu. mit einer neuen Schlüsselversion, die in etwa so aussieht:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"

  3. Importieren Sie den bearbeiteten Schlüsselsatz. Führen Sie den Befehl gcloud edge-cache keysets import aus:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml