このページでは、署名付きリクエストに使用する Media CDN 鍵を更新する方法について説明します。鍵セットあたり、公開鍵と共有検証鍵をそれぞれ 3 つまで、合計 6 つの鍵を指定できます。鍵のローテーション中にこれらの上限を超えないようにするには、検証共有鍵の削除方法と鍵の追加方法に関する次の手順をご覧ください。
始める前に
Secret Manager アクセスロール(
roles/secretmanager.secretAccessor
)を Media CDN サービス アカウントに付与します。Console
Google Cloud コンソールで、[Secret Manager] ページに移動します。
- シークレットを選択します。
- 情報パネルで [プリンシパルを追加] をクリックします。
[新しいプリンシパル] に、次のように Media CDN サービス アカウントを入力します。
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
PROJECT_NUMBER
は、使用するプロジェクト番号に置き換えます。- [ロールを選択] で [Secret Manager] を選択し、[Secret Manager のシークレット アクセサー] を選択します。
- [保存] をクリックします。
gcloud
gcloud secrets add-iam-policy-binding
コマンドを使用します。gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"
次のように置き換えます。
PROJECT_NUMBER
: プロジェクトの番号SECRET_ID
: シークレットの ID
シークレットを削除する
コンソール
Google Cloud コンソールで、[Media CDN] ページに移動します。
[鍵セット] タブをクリックします。
削除するシークレットがある鍵セットを選択し、[編集] をクリックします。
シークレットを削除するには、[鍵] > [検証共有鍵] セクションで、シークレット名の次の [削除] をクリックします。
[鍵セットを更新] をクリックします。
gcloud
鍵セットから秘密鍵を削除するには、gcloud edge-cache keysets
update
コマンドを使用します。削除する鍵セットを省略し、保持する鍵セットを指定します。
次の例では、KEY_VERSION_1
は一覧表示されず、KEY_VERSION_2
と KEY_VERSION_3
は一覧表示されます。KEY_VERSION_1
を省略すると、鍵セットから削除されます。
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
次のように置き換えます。
KEYSET_NAME
: 鍵セットの名前PROJECT_NUMBER
: プロジェクトの番号SECRET_ID
: 更新するシークレットの IDKEY_VERSION
: 鍵のバージョン
テキスト エディタ
鍵セットを YAML ファイルにエクスポートします。
gcloud edge-cache keysets export
コマンドを使用します。gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
次のように置き換えます。
KEYSET_NAME
: 鍵セットの名前(例:prod-vod-keyset
)FILENAME
: YAML のファイル名
エクスポートした鍵セット構成ファイルを編集して秘密鍵を削除します。次の例は、KEY_VERSION_1 で終わる最も古い秘密鍵を削除する方法を示しています。
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
次のように置き換えます。
PROJECT_NUMBER
: プロジェクトの番号SECRET_ID
: 更新するシークレットの IDKEY_VERSION
: 鍵のバージョン
編集したファイルは、次のようになります。
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
編集した鍵セットをインポートします。
gcloud edge-cache keysets import
コマンドを実行します。gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml
シークレットを追加
コンソール
Google Cloud コンソールで、[Media CDN] ページに移動します。
[鍵セット] タブをクリックします。
シークレットを追加する鍵セットを選択し、[編集] をクリックします。
シークレットを削除するには、[鍵] > [検証共有鍵] セクションで、[シークレット] をクリックします。次に、リストからシークレットを選択し、リソース ID を指定して手動でシークレットを入力するか、新しいシークレットを作成して選択します。
リストからシークレット バージョンを選択するか、新しいシークレット バージョンを作成して選択します。
[鍵セットを更新] をクリックします。
gcloud
秘密鍵を鍵セットに追加するには、gcloud edge-cache keysets update
コマンドを使用します。所有している鍵セットと、追加する鍵セットを指定します。
次の例では、KEY_VERSION_1
がすでに削除されており、KEY_VERSION_4
は追加中の鍵セットです。KEY_VERSION_2
と KEY_VERSION_3
に加えて KEY_VERSION_4
がリストされていると、鍵セットに追加されます。
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'
次のように置き換えます。
KEYSET_NAME
: 鍵セットの名前PROJECT_NUMBER
: プロジェクトの番号SECRET_ID
: 更新するシークレットの IDKEY_VERSION
: 鍵のバージョン
テキスト エディタ
鍵セットを YAML ファイルにエクスポートします。
gcloud edge-cache keysets export
コマンドを使用します。gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
次のように置き換えます。
KEYSET_NAME
: 鍵セットの名前FILENAME
: YAML のファイル名
エクスポートした鍵セットの構成ファイルに、次のような新しい鍵バージョンを含む新しい
secretVersion
行を追加します。name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"
編集した鍵セットをインポートします。
gcloud edge-cache keysets import
コマンドを実行します。gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml