보안 비밀 순환

이 페이지에서는 서명된 요청에 사용되는 Media CDN 키를 업데이트하는 방법을 설명합니다. 공개 키 3개, 검증 공유 키 3개(키 세트당 총 6개)까지 지정할 수 있습니다. 키 순환 중 이러한 한도를 초과하지 않도록 방지하려면 다음 안내에서 검증 공유 키를 삭제하고 키를 추가하는 방법을 참조하세요.

시작하기 전에

  1. Secret Manager에서 검증 공유 키를 구성합니다.

  2. Media CDN 서비스 계정에 Secret Manager 액세스 역할(roles/secretmanager.secretAccessor)을 부여합니다.

    콘솔

    1. Google Cloud 콘솔에서 Secret Manager 페이지로 이동합니다.

      Secret Manager로 이동

    2. 보안 비밀을 선택합니다.
    3. 정보 패널에서 주 구성원 추가를 클릭합니다.
    4. 새 주 구성원에 다음과 같이 Media CDN 서비스 계정을 입력합니다.
      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

      여기에서 PROJECT_NUMBER를 프로젝트 번호로 바꿉니다.

    5. 역할 선택에 대해 Secret Manager를 선택한 후 Secret Manager 보안 비밀 접근자를 선택합니다.
    6. 저장을 클릭합니다.

    gcloud

    gcloud secrets add-iam-policy-binding 명령어를 사용합니다.

       gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
           --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
           --role="roles/secretmanager.secretAccessor"
        

    다음을 바꿉니다.

    • PROJECT_NUMBER: 프로젝트 번호
    • SECRET_ID: 보안 비밀의 ID

보안 비밀 삭제

콘솔

  1. Google Cloud 콘솔에서 Media CDN 페이지로 이동합니다.

    Media CDN으로 이동

  2. 키 세트 탭을 클릭합니다.

  3. 삭제하려는 보안 비밀이 있는 키 세트를 선택하고 수정을 클릭합니다.

  4. 보안 비밀을 삭제하려면 > 검증 공유 키 섹션에서 보안 비밀 이름 옆에 있는 삭제를 클릭합니다.

  5. 키 세트 업데이트를 클릭합니다.

gcloud

키 세트에서 보안 비밀 키를 삭제하려면 gcloud edge-cache keysets update 명령어를 사용합니다. 삭제하려는 키 세트를 생략하고 유지하려는 키 세트는 지정합니다.

다음 예시에서 KEY_VERSION_1은 나열되지 않고 KEY_VERSION_2KEY_VERSION_3은 나열됩니다. KEY_VERSION_1을 생략하면 키 세트에서 삭제됩니다.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

다음을 바꿉니다.

  • KEYSET_NAME: 키 세트의 이름
  • PROJECT_NUMBER: 프로젝트 번호
  • SECRET_ID: 업데이트하려는 보안 비밀의 ID
  • KEY_VERSION: 키 버전

텍스트 편집기

  1. 키 세트를 YAML 파일로 내보냅니다. gcloud edge-cache keysets export 명령어를 사용합니다.

    gcloud edge-cache keysets export KEYSET_NAME \
        --destination=FILENAME.yaml
    

    다음을 바꿉니다.

    • KEYSET_NAME: 키 세트의 이름(예: prod-vod-keyset)
    • FILENAME: YAML 파일 이름
  2. 내보낸 키 세트 구성 파일을 수정하여 보안 비밀 키를 삭제합니다. 다음 예시에서는 KEY_VERSION_1로 끝나는 가장 오래된 보안 비밀 키를 삭제하는 방법을 보여줍니다.

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
    validationSharedKeys:
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    

    다음을 바꿉니다.

    • PROJECT_NUMBER: 프로젝트 번호
    • SECRET_ID: 업데이트하려는 보안 비밀의 ID
    • KEY_VERSION: 키 버전

    수정된 파일은 다음과 유사합니다.

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
    validationSharedKeys:
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    
  3. 수정된 키 세트를 가져옵니다. gcloud edge-cache keysets import 명령어를 사용합니다.

    gcloud edge-cache keysets import KEYSET_NAME \
        --source=FILENAME.yaml
    

보안 비밀 추가

콘솔

  1. Google Cloud 콘솔에서 Media CDN 페이지로 이동합니다.

    Media CDN으로 이동

  2. 키 세트 탭을 클릭합니다.

  3. 보안 비밀을 추가하려는 키 세트를 선택한 후 수정을 클릭합니다.

  4. 보안 비밀을 추가하려면 > 검증 공유 키 섹션에서 보안 비밀을 클릭합니다. 그런 후 목록에서 보안 비밀을 선택하고 리소스 ID를 지정하여 보안 비밀을 수동으로 입력하거나 새 보안 비밀을 만들고 선택합니다.

  5. 목록에서 보안 비밀 버전을 선택하거나 새 보안 비밀 버전을 만든 후 선택합니다.

  6. 키 세트 업데이트를 클릭합니다.

gcloud

키 세트에 보안 비밀 키를 추가하려면 gcloud edge-cache keysets update 명령어를 사용합니다. 갖고 있는 키 세트와 추가하려는 키 세트를 지정합니다.

다음 예시에서는 KEY_VERSION_1이 이전에 삭제되었고 KEY_VERSION_4가 현재 추가 중인 키 세트입니다. KEY_VERSION_2KEY_VERSION_3 외에도 KEY_VERSION_4을 나열하면 키 세트에 추가됩니다.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

다음을 바꿉니다.

  • KEYSET_NAME: 키 세트의 이름
  • PROJECT_NUMBER: 프로젝트 번호
  • SECRET_ID: 업데이트하려는 보안 비밀의 ID
  • KEY_VERSION: 키 버전

텍스트 편집기

  1. 키 세트를 YAML 파일로 내보냅니다. gcloud edge-cache keysets export 명령어를 사용합니다.

    gcloud edge-cache keysets export KEYSET_NAME \
        --destination=FILENAME.yaml
    

    다음을 바꿉니다.

    • KEYSET_NAME: 키 세트의 이름
    • FILENAME: YAML 파일 이름
  2. 내보낸 키 세트 구성 파일에서 다음과 비슷하게 새 키 버전을 포함하는 새 secretVersion 줄을 추가합니다.

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
    validationSharedKeys:
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
        - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"
    
  3. 수정된 키 세트를 가져옵니다. gcloud edge-cache keysets import 명령어를 사용합니다.

    gcloud edge-cache keysets import KEYSET_NAME \
        --source=FILENAME.yaml