Se usó la API de Cloud Translation para traducir esta página.

Habilita las claves de encriptación administradas por el cliente para Secret Manager

En este tema, se analiza la compatibilidad con las claves de encriptación administradas por el cliente (CMEK) en Secret Manager.

Descripción general

Secret Manager proporciona herramientas para almacenar, administrar y acceder a datos sensibles en tus aplicaciones.

De forma predeterminada, los secretos almacenados en Secret Manager se encriptan con la encriptación predeterminada de Google. Con la encriptación predeterminada de Google, las cargas útiles de los secretos se encriptan con las claves que administra Google antes de que se escriban en el almacenamiento persistente, sin necesidad de realizar ninguna configuración.

Puedes personalizar la encriptación que usa Secret Manager para tus recursos si proporcionas claves de encriptación de claves. Las claves de encriptación de claves no encriptan tus datos de forma directa, sino que encriptan las claves generadas por Google que se usan para encriptar tus datos. Puedes crear claves CMEK directamente o puedes usar Autokey de Cloud KMS (vista previa) para crearlas en tu nombre. Para obtener más información, consulta la Descripción general de Autokey.

Para obtener más información sobre las opciones de encriptación en Google Cloud, consulta Encriptación en reposo predeterminada. Para obtener información específica sobre CMEK, incluidas sus ventajas y limitaciones, consulta Claves de encriptación administradas por el cliente.

Cómo funcionan las CMEK en Secret Manager

Antes de escribir una versión de un secreto en el almacenamiento persistente de una ubicación determinada, Secret Manager encripta los datos con una clave de encriptación de datos (DEK) única. Luego, esta DEK se encripta con una clave específica de réplica, llamada clave de encriptación de claves (KEK) que es propiedad del servicio de Secret Manager.

Cuando usas CMEK para Secret Manager, la KEK se denomina clave CMEK y es una clave simétrica que administras en Cloud KMS. La clave CMEK debe estar en la misma ubicación de Google Cloud que la réplica de la versión del secreto que encripta. También puedes usar una clave de Cloud EKM en la política de CMEK para la encriptación y desencriptación.

En esta guía, se explica cómo configurar Secret Manager para usar CMEK. Para obtener más información sobre las CMEK en general, incluso cuándo y por qué habilitarlas, consulta la documentación de Cloud Key Management Service.

Limitaciones

CMEK solo está disponible en la API de v1 de Secret Manager y gcloud.

Antes de comenzar

Puedes almacenar todos los recursos en el mismo proyecto o almacenar secretos y claves en proyectos diferentes. Consulta la sección Separación de obligaciones de Cloud KMS para comprender mejor esta decisión.

Completa los siguientes requisitos previos para configurar Secret Manager y Cloud KMS:

Secret Manager
- Crea o usa un proyecto existente para conservar tus recursos de Secret Manager.
- Si es necesario, completa los pasos de la sección Configura Secret Manager de la guía de inicio rápido de Secret Manager.
Cloud KMS:
- Crea o usa un proyecto existente para conservar tus recursos de Cloud KMS.
- Si es necesario, habilita la API de Cloud KMS.

Configura las siguientes variables en los ID de tus proyectos de Secret Manager y de Cloud KMS.

This is an editable variable. Set it to your Secret Manager project ID and the
value will be used in all commands on this page.
SM_PROJECT_ID

This is an editable variable. Set it to your Cloud KMS project ID and the value
will be used in all commands on this page.
KMS_PROJECT_ID

Autentica en Google Cloud:

gcloud

Para usar Secret Manager en la línea de comandos, primero instala la versión 378.0.0 de Google Cloud CLI o actualízala a una versión posterior. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud auth login

Creación manual o automática de claves

Puedes crear claves de Cloud KMS de forma manual o usar la clave automática de Cloud KMS (vista previa). Autokey simplifica la creación y la administración de claves de Cloud KMS mediante la automatización del aprovisionamiento y la asignación. Con Autokey, no necesitas aprovisionar llaveros de claves, claves ni cuentas de servicio con anticipación. En cambio, se generan a pedido como parte de la creación de recursos de Secret Manager. Para obtener más información, consulta la Descripción general de Autokey. Si quieres habilitar Autokey para Secret Manager, consulta Cómo habilitar Autokey. Para usar Autokey con tus secretos, consulta Usa Autokey con recursos de Secret Manager.

Las instrucciones de esta página son para la creación y asignación manual de claves de Cloud KMS.

Crea una identidad de agente de servicio

Debes crear una identidad de agente de servicio para cada proyecto que requiera claves de encriptación administradas por el cliente.

Para crear una identidad de servicio con Google Cloud CLI, ejecuta el siguiente comando:

gcloud

gcloud beta services identity create \
    --service "secretmanager.googleapis.com" \
    --project "SM_PROJECT_ID"

Esto mostrará un nombre de identidad de servicio en el siguiente formato:

service-PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com

Guarda el nombre de identidad del servicio:

The following variable is editable. Click on it to update the value, and it will
be reflected throughout this documentation page.

SM_SERVICE_IDENTITY

Otorgarás a este servicio acceso de identidad a las claves CMEK de Cloud KMS que se usan para encriptar y desencriptar tus secretos.

CMEK con replicación automática

En esta sección, se describen los secretos que se configuran mediante una política de replicación automática.

Para los secretos que usan la política de replicación automática, la clave CMEK debe estar ubicada en la multirregión global de Cloud KMS. Si usas una clave de Cloud EKM, no puedes configurar tu secreto para usar la replicación automática porque las claves de Cloud EKM no están disponibles en la región global. Para obtener más información sobre cómo usar las claves de Cloud EKM, consulta Agrega una clave de Cloud EKM a una política de CMEK.

Crea una clave simétrica de Cloud KMS en la región global de Cloud KMS o usa una clave existente. En este ejemplo, se crea un llavero de claves nuevo llamado secret-manager-cmek y, luego, se genera una clave nueva con el nombre my-cmek-key.

gcloud

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "global"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga a la identidad del servicio el acceso de Secret Manager para encriptar y desencriptar con la clave CMEK. Este comando otorga la función de encriptador o desencriptador de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave my-cmek-key de Cloud KMS a la identidad del servicio.

gcloud

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crear un secreto con replicación automática El nombre del recurso de la clave CMEK se almacena como metadatos en el secreto.

gcloud

gcloud secrets create "SECRET_ID" \
    --replication-policy "automatic" \
    --kms-key-name "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key" \
    --project "SM_PROJECT_ID"

API

En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

Establece el valor de replication.automatic.customerManagedEncryption.kmsKeyName como el nombre del recurso de la clave CMEK.

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets?secretId=SECRET_ID" \
    --request "POST" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
      }
    }
  }
}
EOF

Ahora, cada vez que se crea una versión del secreto en ese secreto, la carga útil de la versión del secreto se encripta de forma automática con la clave antes de escribirse en el almacenamiento persistente, siempre que la identidad del servicio tenga acceso a la clave CMEK. Si la identidad del servicio pierde el acceso o si la clave deja de estar disponible, un intento de crear una versión nueva del secreto o de acceder a una existente mostrará un error.

Agrega una nueva versión del secreto. Ten en cuenta que no especificas el nombre del recurso de la clave de Cloud KMS, ya que se lee desde los metadatos del secreto.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "SECRET_ID" \
    --project "SM_PROJECT_ID" \
    --data-file -

Se crea la versión del secreto, incluso si el llamador no tiene acceso directo para usar la clave CMEK. La identidad del servicio de Secret Manager, y no del emisor, es responsable de encriptar y desencriptar los secretos cuando los lee o los escribe.

Del mismo modo, no necesitas acceso directo a la clave CMEK para acceder al secreto. La identidad del servicio accede a la clave y encripta o desencripta el secreto por ti.

Accede a la versión del secreto que acabas de crear:

gcloud

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "SECRET_ID"

Actualizar configuración de CMEK

Crea nuevas claves simétricas de KMS en la multirregión global de Cloud KMS.

gcloud

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga a la identidad del servicio el acceso de Secret Manager para encriptar y desencriptar con la nueva clave CMEK. Este comando otorga la función de encriptador / desencriptador de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave my-other-key de Cloud KMS a la identidad del servicio.

gcloud

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Para modificar la configuración de CMEK en un secreto, actualiza la replicación en el secreto con los nuevos nombres de recursos de clave de Cloud KMS.

gcloud

gcloud secrets replication update "SECRET_ID" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication": {
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
      }
    }
  }
}
EOF

CMEK con replicación administrada por el usuario

En esta sección, se describen los secretos que se configuran con una política de replicación administrada por el usuario. Con una política de replicación administrada por el usuario, controlas la ubicación de Google Cloud en la que se almacena el secreto. Los Secrets son siempre accesibles desde cada ubicación de Google Cloud.

Los secretos con una política de replicación administrada por el usuario deben usar claves de Cloud KMS que se asignen con exactitud a las ubicaciones en las que se almacenan las versiones del secreto. En los ejemplos de esta guía, se almacena un secreto en dos ubicaciones distintas: us-east1 y us-central1. Las solicitudes para acceder al secreto se enrutan a una de estas ubicaciones.

En cada una de las dos regiones, crea un llavero de claves y una clave de Cloud KMS con el propósito de encriptación o usa una clave existente. En este ejemplo, se crea un llavero de claves nuevo llamado "secret-manager-cmek" y, luego, se crea una clave llamada "my-cmek-key" en cada región.

gcloud

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga a la identidad del servicio permiso de Secret Manager para encriptar y desencriptar con la clave CMEK. Para ello, otorga la función de encriptador o desencriptador de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para cada una de las claves CMEK de forma individual o para todas las claves del proyecto.

gcloud

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crea un Secret con CMEK habilitadas y una replicación administrada por el usuario. El nombre del recurso de la clave CMEK se almacena como metadatos en el secreto.

gcloud

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-east1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      },
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

Establece el valor de replication.userManaged.replicas.customerManagedEncryption.kmsKeyName en los nombres de recursos de las claves CMEK.

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets?secretId=my-ummr-secret" \
--request "POST" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer ACCESS_TOKEN" \
--data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        }
      ]
    }
  }
}
EOF

Agrega una nueva versión del secreto. Ten en cuenta que no especificas el nombre del recurso de la clave de Cloud KMS, ya que se lee desde los metadatos del secreto.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Del mismo modo, no necesitas acceso directo a la clave CMEK para acceder al secreto. La identidad del servicio accede a la clave y encripta o desencripta el secreto por ti.

Accede a la versión del Secret que acabas de crear.

gcloud

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "my-ummr-secret"

Actualizar configuración de CMEK

Crea dos claves simétricas de KMS nuevas en las mismas regiones que el secreto.

gcloud

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga a la identidad del servicio el acceso de Secret Manager para encriptar y desencriptar con las claves CMEK nuevas. Este comando otorga la función de encriptador / desencriptador de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en las claves my-other-key de Cloud KMS a la identidad del servicio.

gcloud

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Para modificar la configuración de CMEK en un secreto, actualiza la replicación en el secreto con los nuevos nombres de recursos de clave de Cloud KMS.

gcloud

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-east1 \
    --project "SM_PROJECT_ID"

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-central1 \
    --project "SM_PROJECT_ID"

Para actualizar varias claves de un secreto de forma simultánea, puedes obtener y configurar la política de replicación a través de un archivo.

gcloud

gcloud secrets replication get "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --format=json > ./replication-policy.json

Actualiza el archivo para que refleje la configuración de CMEK deseada en tu editor preferido. Luego, establece la política nueva:

gcloud secrets replication set "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/my-ummr-secret?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        }]
      }
    }
  }
EOF

Ver la configuración de CMEK de la versión del Secret

Para inspeccionar los metadatos de una versión de secreto, incluido si la versión del secreto está habilitada para CMEK y el nombre del recurso de la versión de la clave de CMEK, consulta sus metadatos.

gcloud

gcloud secrets versions describe "latest" \
    --secret "SECRET_ID" \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets/SECRET_ID/versions/latest" \
    --request "GET" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json"

Esto muestra el nombre completo del recurso de Cloud KMS de la versión de clave que se usó para encriptar la versión del secreto.

{
  "name": "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/1",
  "createTime": "2021-07-...",
  "state": "ENABLED",
  "replicationStatus": {
    "automatic": {
      "customerManagedEncryption": {
        "kmsKeyVersionName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key/cryptoKeyVersions/1"
      }
    }
  }
}

Agrega una clave de Cloud EKM a una política de CMEK

En esta sección, se explica cómo agregar una clave de Cloud EKM a una política de CMEK. Estos pasos habilitan una clave de Cloud EKM para encriptar o desencriptar secretos.

Dado que actualmente Cloud EKM no es compatible con la multirregión global, las claves de Cloud EKM solo se pueden usar con secretos configurados para la replicación administrada por el usuario.

Crea una clave simétrica en la región us-central1 de Cloud KMS (o en cualquier región, excepto global). En este ejemplo, se crea un llavero de claves nuevo llamado secret-manager-cmek-ekm y, luego, se crea una clave nueva con el nombre my-ekm-key en el llavero de claves.

gcloud

Crea un llavero de claves nuevo:

gcloud kms keyrings create "secret-manager-cmek-ekm" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1"

Crea una clave en ese llavero de claves:

gcloud kms keys create "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --purpose "encryption" \
  --protection-level "external" \
  --skip-initial-version-creation \
  --default-algorithm "external-symmetric-encryption"

A continuación, crea una versión nueva de my-ekm-key con el URI externo de la clave. Si quieres obtener más información sobre los URIs externos para las claves de Cloud EKM, consulta Crea una clave externa.

gcloud

gcloud kms keys versions create \
  --key "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --external-key-uri EXTERNAL_KEY_URI \
  --primary

Otorga a la identidad del servicio el acceso de Secret Manager para encriptar y desencriptar con la clave externa. Este comando otorga la función de encriptador / desencriptador de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en my-ekm-key a la identidad del servicio.

gcloud

gcloud kms keys add-iam-policy-binding "my-ekm-key" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1" \
  --keyring "secret-manager-cmek-ekm" \
  --member "serviceAccount:SM_SERVICE_IDENTITY" \
  --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crea un secreto con CMEK habilitadas que use una clave de Cloud EKM.

gcloud

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek-ekm/cryptoKeys/my-ekm-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ekm-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

Ahora, cada vez que se crea una versión del secreto en my-ekm-secret, la carga útil de la versión del secreto se encripta automáticamente con la clave de Cloud EKM antes de escribirse en el almacenamiento persistente, siempre que la identidad del servicio tenga acceso a la clave. Si la identidad del servicio pierde el acceso o si la clave deja de estar disponible, un intento de crear una versión nueva del secreto o de acceder a una existente mostrará un error.

Agrega una nueva versión del secreto. Ten en cuenta que el nombre del recurso de la clave se lee desde los metadatos del secreto.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ekm-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Se crea la versión del secreto, incluso si el llamador no tiene acceso directo para usar la clave. La identidad del servicio de Secret Manager, y no del emisor, es responsable de encriptar y desencriptar los secretos cuando se leen o escriben.

Accede a la versión del Secret que acabas de crear. Aquí es donde la identidad del servicio accede a la clave y encripta o desencripta el secreto por ti.

gcloud

gcloud secrets versions access "latest" \
  --project "SM_PROJECT_ID" \
  --secret "my-ekm-secret"

Inhabilitar CMEK

Actualiza la política de replicación para quitar la configuración de CMEK de un Secret.

gcloud

gcloud secrets replication update "SECRET_ID" --remove-cmek \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{}
  }
}
EOF

¿Qué sigue?

Más información sobre CMEK.