Questa pagina è stata tradotta dall'API Cloud Translation.

Abilita le chiavi di crittografia gestite dal cliente per Secret Manager

Questo argomento illustra il supporto per le chiavi di crittografia gestite dal cliente (CMEK) in tramite Secret Manager.

Panoramica

Secret Manager fornisce strumenti per archiviare, gestire e accedere i dati sensibili nelle tue applicazioni.

Per impostazione predefinita, i secret archiviati in Secret Manager sono criptati Crittografia predefinita di Google. Con la crittografia predefinita di Google, i payload dei secret sono criptati da chiavi gestite da Google prima di essere scritte nello spazio di archiviazione permanente senza necessità di configurazione.

Puoi personalizzare la crittografia utilizzata da Secret Manager per le tue risorse fornendo chiavi di crittografia delle chiavi. Le chiavi di crittografia della chiave non criptano direttamente i tuoi dati, ma criptano Chiavi generate da Google utilizzate per criptare i tuoi dati. Puoi creare chiavi CMEK oppure puoi usare Cloud KMS Autokey (Anteprima) per crearli per tuo conto. Per Per saperne di più, consulta la panoramica di Autokey.

Per saperne di più sulle opzioni di crittografia in Google Cloud, consulta Crittografia at-rest predefinita. Per per informazioni specifiche su CMEK, inclusi vantaggi e limiti, vedi Chiavi di crittografia gestite dal cliente.

Come funziona CMEK in Secret Manager

Prima di scrivere una versione del secret nell'archiviazione permanente in una determinata località, Secret Manager cripta i dati con una chiave di crittografia univoca dei dati (DEK). Questa DEK viene quindi criptata con una chiave specifica per la replica, chiamata chiave chiave di crittografia (KEK) di proprietà del servizio Secret Manager.

Quando si utilizza una CMEK per Secret Manager, la KEK viene chiamata chiave CMEK ed è una chiave simmetrica da te gestita all'interno di Cloud KMS. La chiave CMEK deve essere in nella stessa località Google Cloud della replica della versione del secret che cripta. Puoi anche utilizza una chiave Cloud EKM nel criterio CMEK per la crittografia e la decriptazione.

Questa guida illustra come configurare Secret Manager per utilizzare CMEK. Per ulteriori informazioni su CMEK in generale, inclusi quando e perché abilitarla, consulta la documentazione di Cloud Key Management Service.

Limitazioni

CMEK è disponibile solo in Secret Manager API di v1 e gCloud.

Prima di iniziare

Puoi scegliere di archiviare tutte le risorse nello stesso progetto o di archiviare secret e chiavi in progetti separati. Leggi la separazione di Cloud KMS doveri per migliorare per capire la decisione.

Completa i seguenti prerequisiti per configurare Secret Manager e Cloud KMS:

Secret Manager:
- Crea o utilizza un progetto esistente per conservare Secret Manager Google Cloud.
- Se necessario, completa i passaggi nella Configurazione di Secret Manager della guida rapida di Secret Manager.
Cloud KMS:
- Crea o utilizza un progetto esistente per conservare Cloud KMS Google Cloud.
- Se necessario, abilitare l'API Cloud KMS.

Imposta le seguenti variabili sugli ID progetto di Secret Manager e progetti Cloud KMS.

This is an editable variable. Set it to your Secret Manager project ID and the
value will be used in all commands on this page.
SM_PROJECT_ID

This is an editable variable. Set it to your Cloud KMS project ID and the value
will be used in all commands on this page.
KMS_PROJECT_ID

Autenticazione in Google Cloud:

gcloud

Per utilizzare Secret Manager nella riga di comando, devi prima Installa o esegui l'upgrade alla versione 378.0.0 o successive di Google Cloud CLI. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.

gcloud auth login

Creazione manuale o automatica delle chiavi

Puoi creare le chiavi Cloud KMS manualmente o utilizzare Cloud KMS Autokey (anteprima). Autokey semplifica la creazione e la gestione delle chiavi Cloud KMS automatizzando il provisioning e l'assegnazione. Con Autokey, non è necessario eseguire il provisioning anelli, chiavi e account di servizio. Vengono generati invece come parte della creazione delle risorse di Secret Manager. Per ulteriori informazioni informazioni, consulta la panoramica di Autokey. Per attivare Autokey per Secret Manager, consulta Attiva Autokey. Per utilizzare Autokey con i tuoi secret, consulta Utilizzo di Autokey con le risorse di Secret Manager.

Le istruzioni in questa pagina riguardano la creazione e l'assegnazione manuali di Chiavi Cloud KMS.

Creazione di un'identità dell'agente di servizio

Devi creare un'identità agente di servizio per ogni che richiede chiavi di crittografia gestite dal cliente.

Per creare un'identità di servizio con Google Cloud CLI, esegui questo comando:

gcloud

gcloud beta services identity create \
    --service "secretmanager.googleapis.com" \
    --project "SM_PROJECT_ID"

che restituirà un nome identità di servizio nel seguente formato:

service-PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com

Salva il nome dell'identità del servizio:

The following variable is editable. Click on it to update the value, and it will
be reflected throughout this documentation page.

SM_SERVICE_IDENTITY

Concederai a questa identità di servizio l'accesso alle chiavi Cloud KMS CMEK utilizzata per criptare e decriptare i tuoi secret.

CMEK con replica automatica

Questa sezione illustra i secret configurati tramite una replica automatica .

Per i secret che utilizzano il criterio di replica automatica, la chiave CMEK deve essere situato nell'area multiregionale di Cloud KMS global. Se utilizzi un chiave Cloud EKM, non puoi configurare il secret per l'utilizzo automatico replica perché le chiavi Cloud EKM non sono disponibili in global regione. Per saperne di più sull'utilizzo delle chiavi Cloud EKM, consulta Aggiungi una chiave Cloud EKM a un criterio CMEK.

Crea una chiave Cloud KMS simmetrica in Cloud KMS global regione o utilizza una chiave esistente. Questo esempio crea un nuovo keyring denominato secret-manager-cmek, quindi crea una nuova chiave denominata my-cmek-key.

gcloud

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "global"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Concedi l'identità del servizio per l'accesso a Secret Manager per criptare e decriptare utilizzando la chiave CMEK. Questo comando concede al criptatore di Cloud KMS / Ruolo di decrittografia (roles/cloudkms.cryptoKeyEncrypterDecrypter) nella my-cmek-key chiave Cloud KMS all'identità del servizio.

gcloud

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crea un secret con replica automatica. Il nome risorsa della chiave CMEK è archiviati come metadati sul secret.

gcloud

gcloud secrets create "SECRET_ID" \
    --replication-policy "automatic" \
    --kms-key-name "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key" \
    --project "SM_PROJECT_ID"

API

In questi esempi viene utilizzato curl per dimostrare l'utilizzo dell'API. Puoi generare token di accesso con gcloud auth stampa-access-token. In Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.

Imposta il valore di replication.automatic.customerManagedEncryption.kmsKeyName al nome della risorsa per la chiave CMEK.

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets?secretId=SECRET_ID" \
    --request "POST" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
      }
    }
  }
}
EOF

Ora, ogni volta che viene creata una versione del secret in quel secret, il payload viene criptato automaticamente tramite la chiave prima di essere scritto spazio di archiviazione permanente, purché l'identità del servizio abbia accesso alla chiave CMEK. Se l'identità del servizio perde l'accesso o se la chiave non è più disponibile, di creare una nuova versione del secret o di accedervi a una versione esistente restituisce un .

Aggiungi una nuova versione del secret. Tieni presente che non specifichi Cloud KMS il nome risorsa della chiave; viene letto dai metadati del secret.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "SECRET_ID" \
    --project "SM_PROJECT_ID" \
    --data-file -

Viene creata la versione del secret, anche se il chiamante non ha accesso diretto a usare la chiave CMEK. L'identità del servizio per Secret Manager, anziché il chiamante, è responsabile della crittografia e della decrittografia dei secret durante la lettura a scriverli.

Analogamente, non è necessario l'accesso diretto alla chiave CMEK per accedere al il secret. L'identità del servizio accede alla chiave e cripta o decripta il secret per tuo conto.

Accedi alla versione del secret che hai appena creato:

gcloud

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "SECRET_ID"

Aggiorna configurazione CMEK

Crea una nuova chiave KMS simmetrica nell'area multiregionale di Cloud KMS global.

gcloud

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Concedi l'identità del servizio per l'accesso a Secret Manager per criptare e decriptare utilizzando la nuova chiave CMEK. Questo comando concede a Cloud KMS Ruolo di criptatore / decriptatore (roles/cloudkms.cryptoKeyEncrypterDecrypter) in my-other-key chiave Cloud KMS all'identità del servizio.

gcloud

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Modifica la configurazione CMEK su un secret aggiornando la replica nel con i nuovi nomi delle risorse della chiave Cloud KMS.

gcloud

gcloud secrets replication update "SECRET_ID" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication": {
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
      }
    }
  }
}
EOF

CMEK con replica gestita dall'utente

Questa sezione illustra i secret configurati con una replica gestita dall'utente . Con un criterio di replica gestita dall'utente, puoi controllare la località di Google Cloud in cui è archiviato il secret. I secret sono sempre accessibili da ogni località Google Cloud.

I secret con un criterio di replica gestita dall'utente devono utilizzare chiavi Cloud KMS che mappano esattamente alle località in cui sono archiviate le versioni dei secret. La esempi in questa guida memorizzano un secret in due posizioni separate: us-east1, us- central1. Le richieste di accesso al secret vengono indirizzate a una di queste località.

In ciascuna delle due regioni, crea un keyring e una chiave Cloud KMS con lo scopo della crittografia o usare una chiave esistente. Questo esempio crea una nuova il keyring denominato "secret-manager-cmek", quindi crea una chiave denominata "my-cmek-key" in ogni regione.

gcloud

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Concedi l'identità del servizio per l'autorizzazione di Secret Manager per criptare e decriptare utilizzando la chiave CMEK concedendo al servizio di crittografia Cloud KMS / Ruolo di decrittografia (roles/cloudkms.cryptoKeyEncrypterDecrypter) per ciascuno dei Chiavi CMEK singolarmente o per tutte le chiavi nel progetto.

gcloud

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crea un secret abilitato per CMEK con la replica gestita dall'utente. Il nome della risorsa la chiave CMEK è archiviata come metadati sul secret.

gcloud

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-east1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      },
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

Imposta il valore di replication.userManaged.replicas.customerManagedEncryption.kmsKeyNameal i nomi delle risorse per le chiavi CMEK.

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets?secretId=my-ummr-secret" \
--request "POST" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer ACCESS_TOKEN" \
--data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        }
      ]
    }
  }
}
EOF

Aggiungi una nuova versione del secret. Tieni presente che non specifichi Cloud KMS il nome risorsa della chiave; viene letto dai metadati del secret.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Analogamente, non è necessario l'accesso diretto alla chiave CMEK per accedere al il secret. L'identità del servizio accede alla chiave e cripta o decripta il secret per tuo conto.

Accedi alla versione del secret che hai appena creato.

gcloud

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "my-ummr-secret"

Aggiorna configurazione CMEK

Crea due nuove chiavi KMS simmetriche nelle stesse regioni del secret.

gcloud

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Concedi l'identità del servizio per l'accesso a Secret Manager per criptare e decriptare utilizzando le nuove chiavi CMEK. Questo comando concede a Cloud KMS Ruolo di criptatore / decriptatore (roles/cloudkms.cryptoKeyEncrypterDecrypter) in my-other-key chiavi Cloud KMS all'identità del servizio.

gcloud

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Modifica la configurazione CMEK su un secret aggiornando la replica nel con i nuovi nomi delle risorse della chiave Cloud KMS.

gcloud

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-east1 \
    --project "SM_PROJECT_ID"

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-central1 \
    --project "SM_PROJECT_ID"

Per aggiornare più chiavi in un secret contemporaneamente, puoi ottenere e impostare il criterio di replica tramite un file.

gcloud

gcloud secrets replication get "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --format=json > ./replication-policy.json

Aggiorna il file in modo che rifletta la configurazione CMEK desiderata nelle tue app preferite dell'editor. Quindi, imposta il nuovo criterio:

gcloud secrets replication set "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/my-ummr-secret?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        }]
      }
    }
  }
EOF

Visualizza la configurazione CMEK della versione del secret

Per ispezionare i metadati di una versione del secret, incluso se la versione del secret è abilitata per CMEK e il nome della risorsa della versione della chiave CMEK, visualizza i relativi metadati.

gcloud

gcloud secrets versions describe "latest" \
    --secret "SECRET_ID" \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets/SECRET_ID/versions/latest" \
    --request "GET" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json"

Restituisce il nome completo della risorsa Cloud KMS della versione della chiave utilizzata per criptare la versione del secret.

{
  "name": "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/1",
  "createTime": "2021-07-...",
  "state": "ENABLED",
  "replicationStatus": {
    "automatic": {
      "customerManagedEncryption": {
        "kmsKeyVersionName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key/cryptoKeyVersions/1"
      }
    }
  }
}

Aggiungi una chiave Cloud EKM a un criterio CMEK

Questa sezione illustra l'aggiunta di una chiave Cloud EKM a un criterio CMEK. Questi i passaggi consentono di utilizzare una chiave Cloud EKM per criptare o decriptare i secret.

Poiché al momento Cloud EKM non supporta l'area multiregionale global, Le chiavi Cloud EKM possono essere utilizzate solo con i secret configurati per l'utente replica gestita.

Crea una chiave simmetrica nella regione Cloud KMS us-central1 (o qualsiasi regione tranne global). Questo esempio crea un nuovo keyring denominato secret-manager-cmek-ekm, quindi crea una nuova chiave denominata my-ekm-key sulla chiave suonano.

gcloud

Crea un nuovo keyring:

gcloud kms keyrings create "secret-manager-cmek-ekm" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1"

Crea una chiave nel keyring:

gcloud kms keys create "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --purpose "encryption" \
  --protection-level "external" \
  --skip-initial-version-creation \
  --default-algorithm "external-symmetric-encryption"

A questo punto, crea una nuova versione di my-ekm-key utilizzando l'URI esterno della chiave. Per ulteriori informazioni sugli URI esterni per le chiavi Cloud EKM, consulta Creare una chiave esterna.

gcloud

gcloud kms keys versions create \
  --key "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --external-key-uri EXTERNAL_KEY_URI \
  --primary

Concedi l'identità del servizio per l'accesso a Secret Manager per criptare e con la chiave esterna. Questo comando concede a Cloud KMS Ruolo di crittografia / decrittografia (roles/cloudkms.cryptoKeyEncrypterDecrypter) attivo my-ekm-key all'identità del servizio.

gcloud

gcloud kms keys add-iam-policy-binding "my-ekm-key" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1" \
  --keyring "secret-manager-cmek-ekm" \
  --member "serviceAccount:SM_SERVICE_IDENTITY" \
  --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crea un secret abilitato per CMEK che utilizza una chiave Cloud EKM.

gcloud

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek-ekm/cryptoKeys/my-ekm-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ekm-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

Ora, ogni volta che viene creata una versione del secret in my-ekm-secret, il file Il payload viene criptato automaticamente tramite la chiave Cloud EKM prima di essere scritto in spazio di archiviazione permanente, purché l'identità del servizio abbia accesso alla chiave. Se l'identità del servizio perde l'accesso o se la chiave non è più disponibile, di creare una nuova versione del secret o di accedervi a una versione esistente restituisce un .

Aggiungi una nuova versione del secret. Nota che il nome risorsa della chiave viene letto metadati del secret.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ekm-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Viene creata la versione del secret, anche se il chiamante non ha accesso diretto a la chiave. L'identità del servizio per Secret Manager, anziché il chiamante è responsabile della crittografia e della decrittografia dei secret durante la lettura o a scriverli.

Accedi alla versione del secret che hai appena creato. È qui che entra in gioco l'identità del servizio accede alla chiave e cripta o decripta il secret per tuo conto.

gcloud

gcloud secrets versions access "latest" \
  --project "SM_PROJECT_ID" \
  --secret "my-ekm-secret"

Disattiva CMEK

Rimuovi la configurazione CMEK da un secret aggiornando il criterio di replica.

gcloud

gcloud secrets replication update "SECRET_ID" --remove-cmek \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{}
  }
}
EOF

Passaggi successivi

Scopri di più su CMEK.