Retrasar la destrucción de las versiones del secreto

En esta página, se explica cómo configurar la destrucción demorada de las versiones de los secretos, actualizar o quitar la duración del retraso en la destrucción y restablecer las versiones de los secretos que están programadas para su destrucción.

Cuando destruyes una versión del secreto, el material del secreto se destruye de inmediato y de forma permanente. Como administrador de Secret Manager, puedes configurar la destrucción demorada de las versiones del secreto, de modo que la versión del secreto no se destruya de inmediato cuando se solicite y se pueda recuperar durante un tiempo configurable.

Cuando la destrucción retrasada está habilitada en el secreto y destruyes una versión del secreto, ocurre lo siguiente:

  • La versión está inhabilitada, lo que impide su uso.
  • El sistema programa la versión para su destrucción permanente al final del período de retraso.
  • Una vez que vence el período de retraso, la versión del secreto se destruye de forma irrevocable y permanente.

Ventajas

Esta función proporciona los siguientes beneficios:

  • Una capa adicional de protección contra la destrucción accidental o maliciosa de material secreto crítico. Cualquier usuario con el rol de Secret Manager Secret Version Manager puede destruir una versión del secreto. Esta acción es irreversible. Si configuras la destrucción retrasada, puedes evitar la destrucción inmediata de las versiones del Secret. Puedes otorgar a los usuarios el acceso mínimo necesario para administrar el ciclo de vida de las versiones del Secret, ya que puedes supervisar y evitar cualquier destrucción accidental de datos sensibles.

  • La destrucción de una versión del secreto activa una notificación SECRET_VERSION_DESTROY_SCHEDULED que se envía a los temas de Pub/Sub configurados en el secreto. Como administrador de Secret Manager, puedes cancelar la destrucción programada y restablecer la versión del secreto si habilitas o inhabilitas la versión del secreto.

Antes de comenzar

  • Habilita Secret Manager API.

    Habilita la API

  • Configura la autenticación.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    En la consola de Google Cloud, activa Cloud Shell.

    Activar Cloud Shell

    En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

    REST

    Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

      Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando: 

      gcloud init

    Si deseas obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud.

Funciones obligatorias

Si quieres obtener los permisos que necesitas para configurar la destrucción retrasada de las versiones del secreto, pídele a tu administrador que te otorgue el rol de IAM Administrador de Secret Manager (roles/secretmanager.admin) en el secreto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.

Cómo configurar la destrucción retrasada

Puedes habilitar la destrucción diferida de una versión del secreto cuando creas el secreto o cuando lo actualizas.

Console

  1. En la consola de Google Cloud, ve a la página Secret Manager.

    Ir a Secret Manager

  2. Sigue los pasos necesarios para crear un Secret.

  3. Ve a la sección Retrasar la destrucción de la versión del secreto.

  4. Selecciona la casilla de verificación Establecer destrucción retrasada.

  5. En el campo Duración del retraso de la destrucción, ingresa la duración en días. El valor mínimo que puedes ingresar es 1 día, mientras que el valor máximo es 1,000 días.

  6. Haz clic en Crear secreto.

Para habilitar esta función en un secreto existente, ve a la página Editar secreto y, luego, configura la duración del retraso de la destrucción.

gcloud

Para configurar la duración del retraso de la destrucción en el secreto, usa el comando gcloud beta secret create.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto.
  • TTL_DURATION: Es la duración del retraso de la destrucción de las versiones del Secret. Puedes ingresar la duración en cualquier formato, por ejemplo, días, horas o segundos. La duración mínima requerida es de 1 día, mientras que la duración máxima se puede establecer en 1,000 días.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION

Windows (PowerShell)

gcloud beta secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION

Windows (cmd.exe)

gcloud beta secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION

La respuesta contiene el secreto recién creado.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: El ID del proyecto de Google Cloud en el que deseas crear el secreto
  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto.
  • TTL_DURATION: Es la duración del retraso en la destrucción de las versiones del Secret. Ingresa la duración en segundos. Ten en cuenta que la duración mínima requerida es de 1 día, mientras que la duración máxima se puede establecer en 1,000 días.

Método HTTP y URL: 

POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID

Cuerpo JSON de la solicitud: 

{"replication": {"automatic": {}}, "version_destroy_ttl":"TTL_DURATION"}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name":"projects/PROJECT_ID/secrets/SECRET_ID",
  "replication":{
     "automatic":{

     }
  },
  "createTime":"2023-10-16T17:10:16.345401Z",
  "etag":"\"1607d90ee3d84c\"",
  "versionDestroyTtl":"TTL_DURATION"
}

La destrucción demorada no se aplica en los siguientes casos:

  • Cuando se borra un secreto, se borra de inmediato todo el material del secreto y las versiones relacionadas.
  • Cuando se configura una fecha de vencimiento en el secreto y este vence, todas las versiones de secreto se destruyen de inmediato, incluso si la destrucción retrasada está habilitada en el secreto.

Actualizar la duración del retraso de la destrucción

Console

  1. En la consola de Google Cloud, ve a la página Secret Manager.

    Ir a Secret Manager

  2. Edita tu secreto mediante una de las siguientes opciones:

    • Haz clic en Más acciones asociadas con el secreto que deseas editar y, luego, selecciona Editar en el menú.
    • Haz clic en el nombre del Secret para ir a la página Detalles del Secret. En la página Detalles del secreto, haz clic en Editar secreto.

  3. Ve a la sección Retrasar la destrucción de la versión del secreto.

  4. En el campo Duración del retraso de la destrucción, ingresa la duración actualizada.

  5. Haz clic en Update Secret.

gcloud

Para actualizar la duración del retraso de la destrucción, usa el comando gcloud beta secrets update.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto
  • TTL_DURATION: Es la duración del retraso en la destrucción de las versiones del Secret.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION

Windows (PowerShell)

gcloud beta secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION

Windows (cmd.exe)

gcloud beta secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION

La respuesta contiene el secreto actualizado.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: El ID del proyecto de Google Cloud
  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto
  • TTL_DURATION: Es la duración del retraso en la destrucción de las versiones del Secret.

Método HTTP y URL: 

PATCH https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl

Cuerpo JSON de la solicitud: 

{
  "version_destroy_ttl":"TTL_DURATION"
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name":"projects/PROJECT_ID/secrets/SECRET_ID",
  "replication":{
     "automatic":{

     }
  },
  "createTime":"2023-10-16T17:10:16.345401Z",
  "etag":"\"1607d90ee3d84c\"",
  "versionDestroyTtl":"TTL_DURATION"
}

Las versiones del Secret que se ven afectadas por la duración del retraso de la destrucción dependen de lo siguiente:

  • Cuando la destrucción retrasada se configura por primera vez en el secreto, la duración del retraso en la destrucción afecta a todas las versiones activas (habilitadas e inhabilitadas).
  • Cuando se actualiza o se quita la duración del retraso de la destrucción, los cambios solo se reflejan en versiones nuevas del secreto en las que se intenta realizar la acción de destrucción. Las versiones del Secret que ya están programadas para su destrucción seguirán destruiéndose a la hora de destrucción programada.

Inhabilitar la demora en la destrucción

Console

  1. En la consola de Google Cloud, ve a la página Secret Manager.

    Ir a Secret Manager

  2. Edita tu secreto mediante una de las siguientes opciones:

    • Haz clic en Más acciones asociadas con el secreto que deseas editar y, luego, selecciona Editar en el menú.
    • Haz clic en el nombre del Secret para ir a la página Detalles del Secret. En la página Detalles del secreto, haz clic en Editar secreto.

  3. Ve a la sección Retrasar la destrucción de la versión del secreto.

  4. Desmarca la casilla de verificación Establecer la demora en la destrucción.

  5. Haz clic en Update Secret.

gcloud

Para quitar la duración del retraso de la destrucción, usa el comando gcloud beta secret update.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta secrets update SECRET_ID --remove-version-destroy-ttl

Windows (PowerShell)

gcloud beta secrets update SECRET_ID --remove-version-destroy-ttl

Windows (cmd.exe)

gcloud beta secrets update SECRET_ID --remove-version-destroy-ttl

La respuesta contiene el secreto actualizado.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: El ID del proyecto de Google Cloud
  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto

Método HTTP y URL: 

PATCH https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl

Cuerpo JSON de la solicitud: 

{}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name":"projects/PROJECT_ID/secrets/SECRET_ID",
  "replication":{
     "automatic":{

     }
  },
  "createTime":"2023-10-16T17:10:16.345401Z",
  "etag":"\"1607d90ee3d84c\""
}

Cómo probar la destrucción demorada de las versiones del secreto

Console

  1. En la consola de Google Cloud, ve a la página Secret Manager.

    Ir a Secret Manager

  2. Haz clic en el nombre del Secret. Aparecerá la página Secret details.

  3. En la página Detalles del Secret, en la tabla Versiones, selecciona una versión del Secret.

  4. En la columna Acciones, haz clic en Ver más y, luego, haz clic en Destruir.

  5. En el cuadro de diálogo que aparece, haz clic en Programar destrucción de versiones seleccionadas.

gcloud

Para destruir una versión del secreto, usa el comando gcloud beta secret versions destroy.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • SECRET_VERSION_ID: El ID de la versión o el identificador completamente calificado de la versión
  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID

Windows (PowerShell)

gcloud beta secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID

Windows (cmd.exe)

gcloud beta secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID

La respuesta contiene la versión destruida del secreto.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: El ID del proyecto de Google Cloud
  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto
  • VERSION_ID: El ID de la versión o el identificador completamente calificado de la versión

Método HTTP y URL: 

POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID/:destroy

Cuerpo JSON de la solicitud: 

{}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID/:destroy"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID/:destroy" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
  "createTime":"2023-10-16T17:21:55.920036Z",
  "state":"DISABLED",
  "replicationStatus":{
     "automatic":{

     }
  },
  "etag":"\"1607d8b2fc1cf4\"",
  "scheduledDestroyTime":"2023-10-16T17:26:57.459395960Z"
}

La versión del secreto se inhabilita de inmediato y se programa para su destrucción después de que venza el retraso en la destrucción. Puedes ver la fecha y hora exactas en las que se destruirá la versión en la columna Programada para su destrucción el en la tabla Versiones.

Restablece las versiones de los secretos

Puedes restablecer una versión del secreto que está programada para su destrucción si habilitas o inhabilitas la versión del secreto.

Habilitar una versión del secreto que esté programada para su destrucción

Console

  1. En la consola de Google Cloud, ve a la página Secret Manager.

    Ir a Secret Manager

  2. Haz clic en el nombre del Secret. Aparecerá la página Secret details.

  3. En la página Detalles del secreto, en la tabla Versiones, selecciona una versión del secreto que esté programada para su destrucción.

  4. En la columna Acciones, haz clic en Ver más y, luego, haz clic en Habilitar.

  5. En el cuadro de diálogo que aparece, haz clic en Habilitar las versiones seleccionadas.

gcloud

Si quieres habilitar una versión del secreto programada para su destrucción, usa el comando gcloud beta secret versions enable.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • SECRET_VERSION_ID: El ID de la versión o el identificador completamente calificado de la versión
  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID

Windows (PowerShell)

gcloud beta secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID

Windows (cmd.exe)

gcloud beta secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID

La respuesta contiene la versión habilitada del secreto.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: El ID del proyecto de Google Cloud
  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto
  • VERSION_ID: El ID de la versión o el identificador completamente calificado de la versión

Método HTTP y URL: 

POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID/:enable

Cuerpo JSON de la solicitud: 

{}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID/:enable"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID/:enable" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
  "createTime":"2023-10-16T17:21:55.920036Z",
  "state":"ENABLED",
  "replicationStatus":{
     "automatic":{

     }
  },
  "etag":"\"1607d8b3e8e1bc\""
}

Inhabilitar una versión del secreto programada para su destrucción

Console

  1. En la consola de Google Cloud, ve a la página Secret Manager.

    Ir a Secret Manager

  2. Haz clic en el nombre del Secret. Aparecerá la página Secret details.

  3. En la página Detalles del secreto, en la tabla Versiones, selecciona una versión del secreto que esté programada para su destrucción.

  4. En la columna Acciones, haz clic en Ver más y, luego, en Inhabilitar.

  5. En el cuadro de diálogo que aparece, haz clic en Inhabilitar las versiones seleccionadas.

gcloud

Si quieres inhabilitar una versión del secreto que está programada para su destrucción, usa el comando gcloud beta secrets reportsdisable.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • SECRET_VERSION_ID: El ID de la versión o el identificador completamente calificado de la versión
  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID

Windows (PowerShell)

gcloud beta secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID

Windows (cmd.exe)

gcloud beta secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID

La respuesta contiene la versión inhabilitada del secreto.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: El ID del proyecto de Google Cloud
  • SECRET_ID: El ID del secreto o el identificador completamente calificado del secreto
  • VERSION_ID: El ID de la versión o el identificador completamente calificado de la versión

Método HTTP y URL: 

POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID/:disable

Cuerpo JSON de la solicitud: 

{}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID/:disable"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID/:disable" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
  "createTime":"2023-10-16T17:21:55.920036Z",
  "state":"DISABLED",
  "replicationStatus":{
     "automatic":{

     }
  },
  "etag":"\"1607d8b3e8e1bc\""
}

¿Qué sigue?