Rotar secretos

En esta página, se describe cómo actualizar las claves de Media CDN que se usan para las solicitudes. Puedes tener hasta tres claves públicas y tres claves compartidas de validación, para un total de seis claves por conjunto de claves. Para evitar superar esos límites durante una rotación de claves, consulta las siguientes instrucciones para borrar una validación clave compartida y cómo agregar una llave.

Antes de comenzar

  1. Configura tus claves compartidas de validación en Secret Manager.

  2. Otorga el rol de acceso de Secret Manager (roles/secretmanager.secretAccessor) a Media CDN cuenta de servicio.

    Console

    1. En la consola de Google Cloud, ve a la página Secret Manager.

      Ir a Secret Manager

    2. Selecciona el secreto.
    3. En el panel de información, haz clic en Agregar principal.

    4. En Principales nuevas, ingresa Media CDN cuenta de servicio de la siguiente manera:
      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

      Reemplaza PROJECT_NUMBER por el número de proyecto.

    5. En Selecciona una función, selecciona Secret Manager y, luego, selecciona Descriptor de acceso a secretos de Secret Manager.
    6. Haz clic en Guardar.

    gcloud

    Utiliza el Comando gcloud secrets add-iam-policy-binding:

       gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
       --role="roles/secretmanager.secretAccessor"

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el número de tu proyecto.
    • SECRET_ID: El ID del secreto

Borra un secreto

Console

  1. En la consola de Google Cloud, ve a la página Media CDN.

    Ir a Media CDN

  2. Haz clic en la pestaña Conjuntos de claves.

  3. Selecciona el conjunto de claves que tiene el Secret que deseas borrar y, luego, haz clic en Editar.

  4. Para borrar un secreto, en la sección Claves > Claves compartidas de validación, Haz clic en . Borrar junto al nombre del secreto.

  5. Haz clic en Actualizar conjunto de claves.

gcloud

Para borrar una clave secreta de un conjunto de claves, usa el comando gcloud edge-cache keysets update. Omite las conjunto de claves que quieres borrar y especifica los conjuntos de claves que deseas conservar.

En el siguiente ejemplo, KEY_VERSION_1 no aparece en la lista, mientras que KEY_VERSION_2 y KEY_VERSION_3 sí. Omitir KEY_VERSION_1 lo borra del conjunto de claves.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Reemplaza lo siguiente:

  • KEYSET_NAME: Es el nombre del conjunto de claves.
  • PROJECT_NUMBER: Es el número de tu proyecto.
  • SECRET_ID: El ID del secreto que te estás actualizando
  • KEY_VERSION: es la versión de la clave.

editor de texto

  1. Exporta tu conjunto de claves a un archivo YAML. Usa el comando gcloud edge-cache keysets export

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Reemplaza lo siguiente:

    • KEYSET_NAME: Es el nombre de tu conjunto de claves, por ejemplo, prod-vod-keyset
    • FILENAME: Es el nombre del archivo YAML.

  2. Edita el archivo de configuración del conjunto de claves exportado para quitar la clave secreta. En el siguiente ejemplo, se muestra cómo quitar la clave secreta más antigua, que termina en KEY_VERSION_1:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el número de tu proyecto.
    • SECRET_ID: El ID del secreto que te estás actualizando
    • KEY_VERSION: es la versión de la clave.

    El archivo editado es similar al siguiente:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

  3. Importa el conjunto de claves editado. Usa el comando gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml

Agregar un secreto

Console

  1. En la consola de Google Cloud, ve a la página Media CDN.

    Ir a Media CDN

  2. Haz clic en la pestaña Conjuntos de claves.

  3. Selecciona el conjunto de claves para el que deseas agregar un secreto y, luego, haz clic en Editar.

  4. Para agregar un secreto, en la sección Claves > Claves compartidas de validación, Haz clic en Secreto. Luego, selecciona un Secret de la lista ingresar un secreto manualmente especificando su ID de recurso, o crear un secreto nuevo y, luego, selecciónalo.

  5. Selecciona una versión del Secret de la lista o crea una nueva y, luego, selecciónala.

  6. Haz clic en Actualizar conjunto de claves.

gcloud

Para agregar una clave secreta a un conjunto de claves, usa el comando gcloud edge-cache keysets update. Especifica el conjuntos de claves que tienes y el conjunto de claves que deseas agregar.

En el siguiente ejemplo, KEY_VERSION_1 era se borró anteriormente y KEY_VERSION_4 es la conjunto de claves nuevo. La enumeración de KEY_VERSION_4, además de KEY_VERSION_2 y KEY_VERSION_3, la agrega al conjunto de claves.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Reemplaza lo siguiente:

  • KEYSET_NAME: Es el nombre del conjunto de claves.
  • PROJECT_NUMBER: Es el número de tu proyecto.
  • SECRET_ID: El ID del secreto que deseas actualizando
  • KEY_VERSION: es la versión de la clave.

editor de texto

  1. Exporta tu conjunto de claves a un archivo YAML. Usa el Comando gcloud edge-cache keysets export

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Reemplaza lo siguiente:

    • KEYSET_NAME: Es el nombre del conjunto de claves.
    • FILENAME: Es el nombre del archivo YAML.

  2. En el archivo de configuración del conjunto de claves exportado, agrega un secretVersion nuevo. línea que incluye una versión de clave nueva, similar a la siguiente:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"

  3. Importa el conjunto de claves editado. Usa el comando gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml