I dati secret sono immutabili e la maggior parte delle operazioni si svolge su versioni secret. Una versione secret contiene i dati effettivi del secret, insieme allo state e ai metadati relativi al secret. Questo argomento descrive come aggiungere una versione del secret.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per aggiungere una versione del secret, chiedi all'amministratore di concederti i seguenti ruoli IAM su un secret:
-
Strumento di aggiunta versione secret di Secret Manager (
roles/secretmanager.secretVersionAdder
) -
Gestore versione secret di Secret Manager (
roles/secretmanager.secretVersionManager
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Aggiungi una versione del secret
Console
-
Vai alla pagina Secret Manager nella console Google Cloud.
-
Nella pagina Secret Manager, fai clic su Visualizza altro
e seleziona Aggiungi nuova versione. -
Nella finestra di dialogo Aggiungi nuova versione, inserisci un valore per il secret nel campo Valore secret (ad es.
abcd1234
). -
Fai clic sul pulsante Aggiungi nuova versione.
gcloud
Per utilizzare Secret Manager nella riga di comando, devi prima installare Google Cloud CLI o eseguirne l'upgrade alla versione 378.0.0 o successiva. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.
Aggiungi una versione del secret dai contenuti di un file su disco:
$ gcloud secrets versions add secret-id --data-file="/path/to/file.txt"
Puoi anche aggiungere una versione del secret direttamente dalla riga di comando, ma questa operazione è sconsigliata perché viene visualizzata come testo non crittografato nell'elenco dei processi e potrebbe essere acquisita da altri utenti del sistema. Nota che il comando con testo non crittografato sarà presente anche nella cronologia della shell.
$ echo -n "this is my super secret data" | \
gcloud secrets versions add secret-id --data-file=-
(Facoltativo) Aggiungi una versione dai contenuti di un file alla prima creazione di un secret:
$ gcloud secrets create secret-id --data-file="/path/to/file.txt"
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Secret Manager. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installare l'SDK Secret Manager Go. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.
Java
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Java e installare l'SDK Java di Secret Manager. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Secret Manager. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.
PHP
Per eseguire questo codice, scopri prima di tutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Secret Manager. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Secret Manager. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Secret Manager. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.
API
In questi esempi viene utilizzato curl per dimostrare l'utilizzo dell'API. Puoi generare token di accesso con gcloud auth print-access-token. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.
Applica la codifica Base64 ai dati secret e salvali come variabile shell.
$ SECRET_DATA=$(echo "seCr3t" | base64)
Richiama l'API utilizzando curl.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id:addVersion" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json" \
--data "{\"payload\": {\"data\": \"${SECRET_DATA}\"}}"
Stati delle versioni del secret
Una versione del secret può trovarsi in uno dei seguenti stati in qualsiasi momento:
Abilitata: in questo stato è possibile accedere alla versione del secret e descriverla. Questo è lo stato predefinito per una nuova versione del secret.
Disabilitato: in questo stato, non è possibile accedere alla versione del secret, ma i contenuti del secret esistono ancora. La versione del secret può essere riabilitata per ripristinare l'accesso.
Eliminata: in questo stato, i contenuti della versione del secret vengono eliminati. La versione del secret non può essere impostata su un altro stato.
Passaggi successivi
- Scopri come accedere a una versione del secret.
- Scopri come assegnare un alias a una versione del secret.
- Scopri come elencare le versioni dei secret e visualizzare i dettagli delle versioni.