Se usó la API de Cloud Translation para traducir esta página.

Habilita las claves de encriptación administradas por el cliente para Secret Manager

En este tema, se analiza la compatibilidad con las claves de encriptación administradas por el cliente (CMEK) en Secret Manager.

Descripción general

Secret Manager proporciona herramientas para almacenar, administrar y acceder a datos sensibles en tus aplicaciones.

De forma predeterminada, los Secrets almacenados en Secret Manager se encriptan con la encriptación predeterminada de Google. Con la encriptación predeterminada de Google, las cargas útiles secretas se encriptan con claves administradas por Google antes de que se escriban en el almacenamiento persistente, sin necesidad de configuración.

Puedes personalizar la encriptación que usa Secret Manager para tus recursos si proporcionas claves de encriptación de claves. Las claves de encriptación de claves no encriptan tus datos de forma directa, sino las claves generadas por Google que se usan para encriptar tus datos. Puedes crear claves CMEK directamente o puedes usar la clave automática de Cloud KMS (Vista previa) para crearlas en tu nombre. Para obtener más información, consulta la Descripción general de las claves automáticas.

Para obtener más información sobre las opciones de encriptación en Google Cloud, consulta Encriptación en reposo predeterminada. Para obtener información específica sobre CMEK, incluidas sus ventajas y limitaciones, consulta Claves de encriptación administradas por el cliente.

Cómo funcionan las CMEK en Secret Manager

Antes de escribir una versión del Secret en el almacenamiento persistente en una ubicación particular, Secret Manager encripta los datos con una clave de encriptación de datos (DEK) única. Luego, esta DEK se encripta con una clave específica de réplica, denominada clave de encriptación de claves (KEK) que es propiedad del servicio de Secret Manager.

Cuando se usa CMEK para Secret Manager, la KEK se denomina clave CMEK y es una clave simétrica que administras dentro de Cloud KMS. La clave CMEK debe estar en la misma ubicación de Google Cloud que la réplica de la versión del secreto que encripta. También puedes usar una clave de Cloud EKM en la política de CMEK para la encriptación y desencriptación.

En esta guía, se explica cómo configurar Secret Manager para usar CMEK. Para obtener más información sobre las CMEK en general, incluso cuándo y por qué habilitarlas, consulta la documentación de Cloud Key Management Service.

Limitaciones

Las CMEK solo están disponibles en la API de v1 de Secret Manager y en gcloud.

Antes de comenzar

Puedes optar por almacenar todos los recursos en el mismo proyecto o almacenar secretos y claves en proyectos separados. Lee Separación de obligaciones de Cloud KMS para comprender mejor esta decisión.

Completa los siguientes requisitos previos para configurar Secret Manager y Cloud KMS:

Secret Manager
- Crea o usa un proyecto existente para conservar tus recursos de Secret Manager.
- Si es necesario, completa los pasos de la sección Configura Secret Manager de la guía de inicio rápido de Secret Manager.
Cloud KMS:
- Crea o usa un proyecto existente para conservar tus recursos de Cloud KMS.
- Si es necesario, habilita la API de Cloud KMS.

Configura las siguientes variables para los ID de los proyectos de Secret Manager y Cloud KMS.

This is an editable variable. Set it to your Secret Manager project ID and the
value will be used in all commands on this page.
SM_PROJECT_ID

This is an editable variable. Set it to your Cloud KMS project ID and the value
will be used in all commands on this page.
KMS_PROJECT_ID

Autentica en Google Cloud:

gcloud

Para usar Secret Manager en la línea de comandos, primero instala o actualiza a la versión 378.0.0 o una versión posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud auth login

Creación manual o automática de claves

Puedes crear claves de Cloud KMS de forma manual o usar la clave automática de Cloud KMS (vista previa). Autokey simplifica la creación y la administración de claves de Cloud KMS mediante la automatización del aprovisionamiento y la asignación. Con la clave automática, no necesitas aprovisionar llaveros de claves, claves ni cuentas de servicio con anticipación. En cambio, se generan a pedido como parte de la creación de recursos de Secret Manager. Para obtener más información, consulta la Descripción general de las claves automáticas. Si quieres habilitar la clave automática para Secret Manager, consulta Habilita la clave automática. Para usar la Clave automática con tus secretos, consulta Usa la clave automática con los recursos de Secret Manager.

Las instrucciones de esta página son para la creación y asignación manual de claves de Cloud KMS.

Crea una identidad de agente de servicio

Debes crear una identidad de agente de servicio para cada proyecto que requiera claves de encriptación administradas por el cliente.

Para crear una identidad de servicio con Google Cloud CLI, ejecuta el siguiente comando:

gcloud

gcloud beta services identity create \
    --service "secretmanager.googleapis.com" \
    --project "SM_PROJECT_ID"

Se mostrará un nombre de identidad de servicio con el siguiente formato:

service-PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com

Guarda el nombre de identidad del servicio:

The following variable is editable. Click on it to update the value, and it will
be reflected throughout this documentation page.

SM_SERVICE_IDENTITY

Le otorgarás a esta identidad de servicio acceso a las claves CMEK de Cloud KMS que se usaron para encriptar y desencriptar tus secretos.

CMEK con replicación automática

En esta sección, se abordan los Secrets configurados a través de una política de replicación automática.

Para los secretos que usan la política de replicación automática, tu clave CMEK debe estar ubicada en la multirregión global de Cloud KMS. Si usas una clave de Cloud EKM, no puedes configurar tu secreto para que use la replicación automática porque las claves de Cloud EKM no están disponibles en la región global. Para obtener más información sobre el uso de las claves de Cloud EKM, consulta Agrega una clave de Cloud EKM a una política de CMEK.

Crea una clave simétrica de Cloud KMS en la región global de Cloud KMS o usa una clave existente. En este ejemplo, se crea un llavero de claves nuevo llamado secret-manager-cmek y, luego, se crea una clave nueva llamada my-cmek-key en él.

gcloud

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "global"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga la identidad del servicio para el acceso de Secret Manager para encriptar y desencriptar con la clave CMEK. Este comando otorga la función de encriptador o desencriptador de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave de Cloud KMS my-cmek-key a la identidad del servicio.

gcloud

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crear un Secret con replicación automática El nombre del recurso de la clave CMEK se almacena como metadatos en el secreto.

gcloud

gcloud secrets create "SECRET_ID" \
    --replication-policy "automatic" \
    --kms-key-name "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key" \
    --project "SM_PROJECT_ID"

API

En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

Establece el valor de replication.automatic.customerManagedEncryption.kmsKeyName como el nombre del recurso para la clave CMEK.

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets?secretId=SECRET_ID" \
    --request "POST" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
      }
    }
  }
}
EOF

Ahora, cada vez que se crea una versión del Secret en ese Secret, su carga útil se encripta de forma automática con la clave antes de escribirla en el almacenamiento persistente, siempre que la identidad del servicio tenga acceso a la clave CMEK. Si la identidad del servicio pierde el acceso o si la clave deja de estar disponible, un intento de crear una nueva versión del secreto o de acceder a una existente mostrará un error.

Agrega una nueva versión del secreto. Ten en cuenta que no especificas el nombre del recurso de la clave de Cloud KMS; se lee desde los metadatos del secreto.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "SECRET_ID" \
    --project "SM_PROJECT_ID" \
    --data-file -

Se crea la versión del secreto, incluso si el llamador no tiene acceso directo para usar la clave CMEK. La identidad de servicio de Secret Manager, en lugar de la persona que llama, es responsable de encriptar y desencriptar los secretos cuando se leen o escriben.

Del mismo modo, no necesitas acceso directo a la clave CMEK para acceder al secreto. La identidad del servicio accede a la clave y encripta o desencripta el secreto en tu nombre.

Accede a la versión del Secret que acabas de crear:

gcloud

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "SECRET_ID"

Actualizar la configuración de CMEK

Crea nuevas claves de KMS simétricas en la multirregión global de Cloud KMS.

gcloud

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga la identidad del servicio para el acceso de Secret Manager para encriptar y desencriptar con la nueva clave CMEK. Este comando otorga la función de encriptador o desencriptador de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave de Cloud KMS my-other-key a la identidad del servicio.

gcloud

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Para modificar la configuración de CMEK en un secreto, actualiza la replicación en el secreto con los nombres de recursos de la clave de Cloud KMS nuevos.

gcloud

gcloud secrets replication update "SECRET_ID" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication": {
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
      }
    }
  }
}
EOF

CMEK con replicación administrada por el usuario

En esta sección, se abordan los Secrets configurados con una política de replicación administrada por el usuario. Con una política de replicación administrada por el usuario, puedes controlar la ubicación de Google Cloud en la que se almacena el secreto. Siempre se puede acceder a los Secrets desde cualquier ubicación de Google Cloud.

Los Secrets con una política de replicación administrada por el usuario deben usar claves de Cloud KMS que se asignan con exactitud a las ubicaciones en las que se almacenan las versiones del Secret. En los ejemplos de esta guía, se almacena un secreto en dos ubicaciones distintas: us-east1 y us-central1. Las solicitudes para acceder al Secret se enrutan a una de estas ubicaciones.

En cada una de las dos regiones, crea un llavero de claves y una clave de Cloud KMS con el propósito de encriptación o usa una clave existente. En este ejemplo, se crea un llavero de claves nuevo llamado "secret-manager-cmek" y, luego, se crea una clave llamada "my-cmek-key" en cada región.

gcloud

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga la identidad del servicio a Secret Manager permiso para encriptar y desencriptar con la clave CMEK. Para ello, otorga la función de encriptador o desencriptador de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para cada una de las claves de CMEK de forma individual o para todas las claves del proyecto.

gcloud

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crear un secreto habilitado para CMEK con replicación administrada por el usuario El nombre del recurso de la clave CMEK se almacena como metadatos en el secreto.

gcloud

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-east1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      },
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

Configura el valor de replication.userManaged.replicas.customerManagedEncryption.kmsKeyName como los nombres de los recursos para las claves CMEK.

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets?secretId=my-ummr-secret" \
--request "POST" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer ACCESS_TOKEN" \
--data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        }
      ]
    }
  }
}
EOF

Agrega una nueva versión del secreto. Ten en cuenta que no especificas el nombre del recurso de la clave de Cloud KMS; se lee desde los metadatos del secreto.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Del mismo modo, no necesitas acceso directo a la clave CMEK para acceder al secreto. La identidad del servicio accede a la clave y encripta o desencripta el secreto en tu nombre.

Accede a la versión del Secret que acabas de crear.

gcloud

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "my-ummr-secret"

Actualizar la configuración de CMEK

Crea dos claves de KMS simétricas nuevas en las mismas regiones que el secreto.

gcloud

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga la identidad del servicio para el acceso de Secret Manager a fin de encriptar y desencriptar con las nuevas claves CMEK. Este comando otorga la función de encriptador o desencriptador de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en las claves de Cloud KMS my-other-key a la identidad del servicio.

gcloud

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Para modificar la configuración de CMEK en un secreto, actualiza la replicación en el secreto con los nombres de recursos de la clave de Cloud KMS nuevos.

gcloud

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-east1 \
    --project "SM_PROJECT_ID"

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-central1 \
    --project "SM_PROJECT_ID"

Para actualizar varias claves en un secreto de forma simultánea, puedes obtener y configurar la política de replicación a través de un archivo.

gcloud

gcloud secrets replication get "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --format=json > ./replication-policy.json

Actualiza el archivo para que refleje la configuración de CMEK deseada en el editor que prefieras. Luego, establece la política nueva:

gcloud secrets replication set "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/my-ummr-secret?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        }]
      }
    }
  }
EOF

Ver la configuración de CMEK de la versión del Secret

Para inspeccionar los metadatos de una versión de Secret, incluido si esta está habilitada y el nombre del recurso de la versión de clave CMEK, visualiza sus metadatos.

gcloud

gcloud secrets versions describe "latest" \
    --secret "SECRET_ID" \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets/SECRET_ID/versions/latest" \
    --request "GET" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json"

Esto muestra el nombre completo del recurso de Cloud KMS de la versión de clave que se usó para encriptar la versión del secreto.

{
  "name": "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/1",
  "createTime": "2021-07-...",
  "state": "ENABLED",
  "replicationStatus": {
    "automatic": {
      "customerManagedEncryption": {
        "kmsKeyVersionName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key/cryptoKeyVersions/1"
      }
    }
  }
}

Agregar una clave de Cloud EKM a una política de CMEK

En esta sección, se explica cómo agregar una clave Cloud EKM a una política de CMEK. Estos pasos permiten usar una clave de Cloud EKM para encriptar o desencriptar secretos.

Dado que Cloud EKM actualmente no admite la multirregión global, las claves de Cloud EKM solo se pueden usar con secretos configurados para la replicación administrada por el usuario.

Crea una clave simétrica en la región us-central1 de Cloud KMS (o en cualquier región, excepto global). En este ejemplo, se crea un llavero de claves nuevo llamado secret-manager-cmek-ekm y, luego, se crea una clave nueva llamada my-ekm-key en el llavero de claves.

gcloud

Crea un llavero de claves nuevo:

gcloud kms keyrings create "secret-manager-cmek-ekm" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1"

Crea una clave en ese llavero de claves:

gcloud kms keys create "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --purpose "encryption" \
  --protection-level "external" \
  --skip-initial-version-creation \
  --default-algorithm "external-symmetric-encryption"

A continuación, crea una versión nueva de my-ekm-key mediante el URI externo de la clave. Si quieres obtener más información sobre los URIs externos para las claves de Cloud EKM, consulta Crea una clave externa.

gcloud

gcloud kms keys versions create \
  --key "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --external-key-uri EXTERNAL_KEY_URI \
  --primary

Otorga la identidad del servicio para el acceso de Secret Manager para encriptar y desencriptar con la clave externa. Este comando otorga la función de encriptador o desencriptador de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en my-ekm-key a la identidad del servicio.

gcloud

gcloud kms keys add-iam-policy-binding "my-ekm-key" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1" \
  --keyring "secret-manager-cmek-ekm" \
  --member "serviceAccount:SM_SERVICE_IDENTITY" \
  --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crea un secreto habilitado para CMEK que use una clave de Cloud EKM.

gcloud

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek-ekm/cryptoKeys/my-ekm-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ekm-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

Ahora, cada vez que se crea una versión del Secret en my-ekm-secret, su carga útil se encripta de forma automática con la clave de Cloud EKM antes de escribirse en el almacenamiento persistente, siempre que la identidad del servicio tenga acceso a la clave. Si la identidad del servicio pierde el acceso o si la clave deja de estar disponible, un intento de crear una nueva versión del secreto o de acceder a una existente mostrará un error.

Agrega una nueva versión del secreto. Ten en cuenta que el nombre del recurso de la clave se lee desde los metadatos del secreto.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ekm-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Se crea la versión del secreto, incluso si el emisor no tiene acceso directo para usar la clave. La identidad de servicio de Secret Manager, en lugar del llamador, es responsable de encriptar y desencriptar los secretos cuando se los lee o escribe.

Accede a la versión del Secret que acabas de crear. Aquí es donde la identidad del servicio accede a la clave y encripta o desencripta el secreto por ti.

gcloud

gcloud secrets versions access "latest" \
  --project "SM_PROJECT_ID" \
  --secret "my-ekm-secret"

Inhabilitar CMEK

Actualiza la política de replicación para quitar la configuración de CMEK de un secreto.

gcloud

gcloud secrets replication update "SECRET_ID" --remove-cmek \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{}
  }
}
EOF

¿Qué sigue?

Más información sobre CMEK.