Löschen von Secret-Versionen verzögern

Auf dieser Seite wird beschrieben, wie Sie das verzögerte Löschen von Secret-Versionen einrichten, die Verzögerungszeit für das Löschen aktualisieren oder entfernen und Secret-Versionen wiederherstellen, die zum Löschen geplant sind.

Wenn Sie eine Secret-Version löschen, wird das Secret-Material sofort und endgültig gelöscht. Als Secret Manager-Administrator können Sie das verzögerte Löschen von Secret-Versionen so einrichten, dass die Secret-Version nicht sofort auf Anfrage gelöscht wird und für eine konfigurierbare Dauer wiederhergestellt werden kann.

Wenn die verzögerte Vernichtung für das Secret aktiviert ist und Sie eine Secret-Version löschen, geschieht Folgendes:

  • Die Version ist deaktiviert und kann daher nicht verwendet werden.
  • Das System plant das endgültige Löschen der Version am Ende des Verzögerungszeitraums.
  • Nach Ablauf der Verzögerungszeit wird die Secret-Version endgültig und unwiderruflich gelöscht.

Vorteile

Diese Funktion bietet folgende Vorteile:

  • Eine zusätzliche Schutzebene vor versehentlichem oder böswilligem Vernichten kritischer geheimer Materialien. Jeder Nutzer mit der Rolle Secret Manager Secret Version Manager kann eine Secret-Version löschen. Diese Aktion kann nicht rückgängig gemacht werden. Wenn Sie das verzögerte Löschen einrichten, können Sie verhindern, dass Secret-Versionen sofort gelöscht werden. Sie können Nutzern den Mindestzugriff gewähren, der zum Verwalten des Lebenszyklus von Secret-Versionen erforderlich ist, da Sie die versehentliche Zerstörung sensibler Daten überwachen und verhindern können.

  • Wenn eine Secret-Version gelöscht wird, wird eine SECRET_VERSION_DESTROY_SCHEDULED-Benachrichtigung an die für das Secret konfigurierten Pub/Sub-Themen gesendet. Als Secret Manager-Administrator können Sie die geplante Vernichtung abbrechen und die Secret-Version wiederherstellen, indem Sie die Secret-Version entweder aktivieren oder deaktivieren.

Hinweise

  • Enable the Secret Manager API.

    Enable the API

  • Richten Sie die Authentifizierung ein.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Secret Manager Admin (roles/secretmanager.admin) für das Secret zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Einrichten der verzögerten Vernichtung von Secret-Versionen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Verzögertes Löschen einrichten

Sie können das verzögerte Löschen einer Secret-Version beim Erstellen oder Aktualisieren des Secrets aktivieren.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.

    Zu Secret Manager

  2. Folgen Sie der Anleitung zum Erstellen eines Secrets.

  3. Gehen Sie zum Abschnitt Löschen der Secret-Version verzögern.

  4. Aktivieren Sie das Kästchen Dauer der Löschverzögerung festlegen.

  5. Geben Sie im Feld Dauer der Löschverzögerung die Dauer in Tagen ein. Der Mindestwert beträgt 1 Tag und der Maximalwert 1.000 Tage.

  6. Klicken Sie auf Secret erstellen.

Wenn Sie diese Funktion für ein vorhandenes Secret aktivieren möchten, rufen Sie die Seite Secret bearbeiten auf und konfigurieren Sie dann die Dauer der Vernichtungsverzögerung.

gcloud

Verwenden Sie den Befehl gcloud secrets create, um die Dauer der Vernichtungsverzögerung für das Secret zu konfigurieren.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret.
  • TTL_DURATION: Dauer der Verzögerung beim Löschen der Secret-Versionen. Sie können die Dauer in einem beliebigen Format eingeben, z. B. in Tagen, Stunden oder Sekunden. Die Mindestdauer beträgt 1 Tag, die maximale Dauer kann auf 1.000 Tage festgelegt werden.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION

Windows (PowerShell)

gcloud secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION

Windows (cmd.exe)

gcloud secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION

Die Antwort enthält das neu erstellte Secret.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret.
  • TTL_DURATION: Dauer der Verzögerung beim Löschen der Secret-Versionen. Geben Sie die Dauer in Sekunden ein. Die Mindestdauer beträgt 1 Tag, die maximale Dauer kann auf 1.000 Tage festgelegt werden.

HTTP-Methode und URL:

POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID

JSON-Text der Anfrage:

{"replication": {"automatic": {}}, "version_destroy_ttl":"TTL_DURATION"}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
"name":"projects/PROJECT_ID/secrets/SECRET_ID",
"replication":{
   "automatic":{

   }
},
"createTime":"2023-10-16T17:10:16.345401Z",
"etag":"\"1607d90ee3d84c\"",
"versionDestroyTtl":"TTL_DURATION"
}

Die verzögerte Vernichtung gilt nicht in den folgenden Fällen:

  • Wenn ein Secret gelöscht wird, werden alle geheimen Materialien und zugehörigen Secret-Versionen sofort gelöscht.
  • Wenn für das Secret ein Ablaufdatum festgelegt ist und es abläuft, werden alle Secret-Versionen sofort gelöscht, auch wenn das verzögerte Löschen für das Secret aktiviert ist.

Dauer der Löschverzögerung aktualisieren

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.

    Zu Secret Manager

  2. Sie haben folgende Möglichkeiten, Ihr Secret zu bearbeiten:

    • Klicken Sie auf das Dreipunkt-Menü, das mit dem Secret verknüpft ist, das Sie bearbeiten möchten, und wählen Sie dann im Menü Bearbeiten aus.
    • Klicken Sie auf den Namen des Secrets, um die Seite Secret-Details aufzurufen. Klicken Sie auf der Seite Secret-Details auf Secret bearbeiten.

  3. Gehen Sie zum Abschnitt Löschen der Secret-Version verzögern.

  4. Geben Sie im Feld Verzögerung bei der Vernichtung die aktualisierte Dauer ein.

  5. Klicken Sie auf Secret aktualisieren.

gcloud

Verwenden Sie den Befehl gcloud secrets update, um die Dauer der Vernichtungsverzögerung zu aktualisieren.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • TTL_DURATION: Dauer der Verzögerung beim Löschen der Secret-Versionen

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION

Windows (PowerShell)

gcloud secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION

Windows (cmd.exe)

gcloud secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION

Die Antwort enthält das neu erstellte Secret.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Google Cloud-Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • TTL_DURATION: Dauer der Verzögerung beim Löschen der Secret-Versionen

HTTP-Methode und URL:

PATCH https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl

JSON-Text der Anfrage:

{
  "version_destroy_ttl":"TTL_DURATION"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name":"projects/PROJECT_ID/secrets/SECRET_ID",
  "replication":{
     "automatic":{

     }
  },
  "createTime":"2023-10-16T17:10:16.345401Z",
  "etag":"\"1607d90ee3d84c\"",
  "versionDestroyTtl":"TTL_DURATION"
}

Welche Secret-Versionen von der Dauer der Vernichtungsverzögerung betroffen sind, hängt von Folgendem ab:

  • Wenn das verzögerte Löschen zum ersten Mal für das Secret festgelegt wird, wirkt sich die Dauer der Löschverzögerung auf alle aktiven (aktivierten und deaktivierten) Versionen des Secrets aus.
  • Wenn die Dauer der Verzögerung vor dem Löschen aktualisiert oder entfernt wird, wirken sich die Änderungen nur auf neue Secret-Versionen aus, für die die Löschaktion versucht wird. Die Secret-Versionen, die bereits zum Löschen geplant sind, werden weiterhin zum geplanten Zeitpunkt gelöscht.

Verzögertes Löschen deaktivieren

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.

    Zu Secret Manager

  2. Sie haben folgende Möglichkeiten, Ihr Secret zu bearbeiten:

    • Klicken Sie auf das Dreipunkt-Menü, das mit dem Secret verknüpft ist, das Sie bearbeiten möchten, und wählen Sie dann im Menü Bearbeiten aus.
    • Klicken Sie auf den Namen des Secrets, um die Seite Secret-Details aufzurufen. Klicken Sie auf der Seite Secret-Details auf Secret bearbeiten.

  3. Gehen Sie zum Abschnitt Löschen der Secret-Version verzögern.

  4. Entfernen Sie das Häkchen aus dem Kästchen Dauer der Löschverzögerung festlegen.

  5. Klicken Sie auf Secret aktualisieren.

gcloud

Verwenden Sie den Befehl gcloud secrets update, um die Dauer der Vernichtungsverzögerung zu entfernen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets update SECRET_ID --remove-version-destroy-ttl

Windows (PowerShell)

gcloud secrets update SECRET_ID --remove-version-destroy-ttl

Windows (cmd.exe)

gcloud secrets update SECRET_ID --remove-version-destroy-ttl

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Google Cloud-Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

HTTP-Methode und URL:

PATCH https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl

JSON-Text der Anfrage:

{}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name":"projects/PROJECT_ID/secrets/SECRET_ID",
  "replication":{
     "automatic":{

     }
  },
  "createTime":"2023-10-16T17:10:16.345401Z",
  "etag":"\"1607d90ee3d84c\""
}

Verzögertes Löschen von Secret-Versionen testen

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.

    Zu Secret Manager

  2. Klicken Sie auf den Namen des Secrets. Die Seite Secret-Details wird angezeigt.

  3. Wählen Sie auf der Seite Secret-Details in der Tabelle Versionen eine Secret-Version aus.

  4. Klicken Sie in der Spalte Aktionen auf Mehr anzeigen und dann auf Vernichten.

  5. Klicken Sie im angezeigten Dialogfeld auf Löschen der ausgewählten Versionen planen.

gcloud

Verwenden Sie den Befehl gcloud secrets versions destroy, um eine Secret-Version zu löschen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID

Windows (PowerShell)

gcloud secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID

Windows (cmd.exe)

gcloud secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Google Cloud-Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version

HTTP-Methode und URL:

POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:destroy

JSON-Text der Anfrage:

{}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:destroy"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:destroy" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
  "createTime":"2023-10-16T17:21:55.920036Z",
  "state":"DISABLED",
  "replicationStatus":{
     "automatic":{

     }
  },
  "etag":"\"1607d8b2fc1cf4\"",
  "scheduledDestroyTime":"2023-10-16T17:26:57.459395960Z"
}

Die Secret-Version wird sofort deaktiviert und zum Löschen nach Ablauf der Verzögerungszeit für das Löschen eingeplant. Das genaue Datum und die genaue Uhrzeit, zu der die Version gelöscht wird, sehen Sie in der Tabelle Versionen in der Spalte Zum Löschen geplant am.

Secret-Versionen wiederherstellen

Sie können eine Secret-Version, die zum Löschen vorgemerkt wurde, wiederherstellen, indem Sie sie aktivieren oder deaktivieren.

Secret-Version aktivieren, die zum Löschen vorgemerkt wurde

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.

    Zu Secret Manager

  2. Klicken Sie auf den Namen des Secrets. Die Seite Secret-Details wird angezeigt.

  3. Wählen Sie auf der Seite Secret-Details in der Tabelle Versionen eine Secret-Version aus, die gelöscht werden soll.

  4. Klicken Sie in der Spalte Aktionen auf Mehr anzeigen und dann auf Aktivieren.

  5. Klicken Sie im angezeigten Dialogfeld auf Ausgewählte Versionen aktivieren.

gcloud

Verwenden Sie den Befehl gcloud secrets versions enable, um eine Secret-Version zu aktivieren, die zum Löschen geplant ist.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID

Windows (PowerShell)

gcloud secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID

Windows (cmd.exe)

gcloud secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Google Cloud-Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version

HTTP-Methode und URL:

POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:enable

JSON-Text der Anfrage:

{}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:enable"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:enable" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
  "createTime": "2024-09-04T06:41:57.859674Z",
  "state": "ENABLED",
  "etag": "\"1621457b3c1459\""
}

Secret-Version deaktivieren, die zum Löschen vorgemerkt wurde

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.

    Zu Secret Manager

  2. Klicken Sie auf den Namen des Secrets. Die Seite Secret-Details wird angezeigt.

  3. Wählen Sie auf der Seite Secret-Details in der Tabelle Versionen eine Secret-Version aus, die gelöscht werden soll.

  4. Klicken Sie in der Spalte Aktionen auf Mehr anzeigen und dann auf Deaktivieren.

  5. Klicken Sie im angezeigten Dialogfeld auf Ausgewählte Versionen deaktivieren.

gcloud

Verwenden Sie den Befehl gcloud secrets versions disable, um eine Secret-Version zu deaktivieren, die zum Löschen geplant ist.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID

Windows (PowerShell)

gcloud secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID

Windows (cmd.exe)

gcloud secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID

Die Antwort enthält die deaktivierte Version des Secrets.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Google Cloud-Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version

HTTP-Methode und URL:

POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:disable

JSON-Text der Anfrage:

{}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:disable"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:disable" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
  "createTime":"2023-10-16T17:21:55.920036Z",
  "state":"DISABLED",
  "replicationStatus":{
     "automatic":{

     }
  },
  "etag":"\"1607d8b3e8e1bc\""
}

Nächste Schritte