In questa pagina viene descritto come aggiornare le chiavi Media CDN utilizzate per le richieste firmate. Puoi avere fino a tre chiavi pubbliche e tre chiavi condivise di convalida, per un totale di sei chiavi per set di chiavi. Per evitare di superare questi limiti durante la rotazione della chiave, consulta le seguenti istruzioni su come eliminare una chiave condivisa di convalida e come aggiungerne una.
Prima di iniziare
Configura le chiavi condivise di convalida in Secret Manager.
Concedi il ruolo di accesso a Secret Manager (
roles/secretmanager.secretAccessor
) all'account di servizio Media CDN.Console
Nella console Google Cloud, vai alla pagina Secret Manager.
- Seleziona il secret.
- Nel riquadro delle informazioni, fai clic su Aggiungi entità.
Per Nuove entità, inserisci l'account di servizio Media CDN come segue:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
Sostituisci
PROJECT_NUMBER
con il numero del tuo progetto.- Per Seleziona un ruolo, seleziona Secret Manager, quindi Funzione di accesso ai secret di Secret Manager.
- Fai clic su Salva.
gcloud
Utilizza il comando
gcloud secrets add-iam-policy-binding
:gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"
Sostituisci quanto segue:
PROJECT_NUMBER
: il numero del tuo progettoSECRET_ID
: l'ID del secret
Elimina un secret
Console
Nella console Google Cloud, vai alla pagina Media CDN.
Fai clic sulla scheda Set di chiavi.
Seleziona il set di chiavi contenente il secret da eliminare, quindi fai clic su Modifica.
Per eliminare un secret, nella sezione Chiavi > Chiavi condivise di convalida, fai clic su Elimina accanto al nome del secret.
Fai clic su Aggiorna set di chiavi.
gcloud
Per eliminare una chiave segreta da un set di chiavi, utilizza il comando gcloud edge-cache keysets
update
. Ometti il set di chiavi che vuoi eliminare e specifica i set di chiavi da conservare.
Nell'esempio seguente, KEY_VERSION_1
non è presente nell'elenco, mentre KEY_VERSION_2
e
KEY_VERSION_3
sono elencati. L'omissione
KEY_VERSION_1
comporta l'eliminazione del set di chiavi.
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
Sostituisci quanto segue:
KEYSET_NAME
: nome del set di chiaviPROJECT_NUMBER
: il numero del tuo progettoSECRET_ID
: l'ID del secret che stai aggiornandoKEY_VERSION
: la versione della chiave
editor di testo
Esporta il set di chiavi in un file YAML. Utilizza il comando
gcloud edge-cache keysets export
.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
Sostituisci quanto segue:
KEYSET_NAME
: il nome del tuo set di chiavi, ad esempioprod-vod-keyset
FILENAME
: il nome del file YAML
Modifica il file di configurazione del set di chiavi esportato per rimuovere la chiave segreta. L'esempio seguente mostra come rimuovere la chiave segreta meno recente, che termina con KEY_VERSION_1:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
Sostituisci quanto segue:
PROJECT_NUMBER
: il numero del tuo progettoSECRET_ID
: l'ID del secret che stai aggiornandoKEY_VERSION
: la versione della chiave
Il file modificato è simile al seguente:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
Importa il set di chiavi modificato. Usa il comando
gcloud edge-cache keysets import
:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml
Aggiungi un secret
Console
Nella console Google Cloud, vai alla pagina Media CDN.
Fai clic sulla scheda Set di chiavi.
Seleziona il set di chiavi per il quale vuoi aggiungere un secret, quindi fai clic su Modifica.
Per aggiungere un secret, fai clic su Secret nella sezione Chiavi > Chiavi condivise di convalida. Quindi, seleziona un secret dall'elenco, inseriscilo manualmente specificando il relativo ID risorsa oppure crea un nuovo secret e selezionalo.
Seleziona una versione del secret dall'elenco o crea una nuova versione del secret, quindi selezionala.
Fai clic su Aggiorna set di chiavi.
gcloud
Per aggiungere una chiave segreta a un set di chiavi, utilizza il comando gcloud edge-cache keysets update
. Specifica i set di chiavi di cui disponi e il set di chiavi che vuoi aggiungere.
Nell'esempio seguente, KEY_VERSION_1
è stato precedentemente eliminato e KEY_VERSION_4
è il set di chiavi aggiunto. La scheda KEY_VERSION_4
oltre a KEY_VERSION_2
e
KEY_VERSION_3
lo aggiunge al set di chiavi.
gcloud edge-cache keysets update KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3' --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'
Sostituisci quanto segue:
KEYSET_NAME
: nome del set di chiaviPROJECT_NUMBER
: il numero del tuo progettoSECRET_ID
: l'ID del secret che stai aggiornandoKEY_VERSION
: la versione della chiave
editor di testo
Esporta il set di chiavi in un file YAML. Utilizza il comando
gcloud edge-cache keysets export
.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yaml
Sostituisci quanto segue:
KEYSET_NAME
: il nome del set di chiaviFILENAME
: il nome del file YAML
Nel file di configurazione del set di chiavi esportato, aggiungi una nuova riga
secretVersion
che includa una nuova versione della chiave, simile alla seguente:name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"
Importa il set di chiavi modificato. Usa il comando
gcloud edge-cache keysets import
:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml