Cet article explique comment détruire la version d'un secret. Lorsque l'state est détruit, le contenu de la version de secret est supprimé. La destruction d'une version de secret est définitive. Vous ne pourrez plus accéder au secret. Le secret ne peut pas changer d'état.
Avant de détruire une version de secret, essayez de la désactiver et d'observer le comportement de votre application. Vous pouvez réactiver la version du secret si vous rencontrez des problèmes inattendus.
Lorsque vous désactivez ou détruisez une version de secret ou un secret, la modification prend du temps à se propager dans le système. Si nécessaire, vous pouvez révoquer l'accès IAM du secret. Les modifications apportées aux autorisations IAM sont cohérentes en quelques secondes.
Rôles requis
Pour obtenir les autorisations nécessaires pour détruire la version d'un secret, demandez à votre administrateur de vous attribuer le rôle IAM Gestionnaire des versions de secrets de Secret Manager (roles/secretmanager.secretVersionManager
) pour un secret.
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Détruire la version d'un secret
Console
-
Accédez à la page Secret Manager dans la console Google Cloud.
-
Sur la page Secret Manager, cliquez sur le nom d'un secret.
-
Sur la page Informations détaillées sur le secret de la table Versions, repérez la version du secret à laquelle vous souhaitez accéder.
-
Dans la colonne Actions, cliquez sur Afficher plus
. -
Cliquez sur Détruire dans le menu.
-
Dans la boîte de dialogue Détruire la version du secret, saisissez le nom du secret.
-
Cliquez sur le bouton Détruire les versions sélectionnées.
gcloud
Pour utiliser Secret Manager dans la ligne de commande, commencez par installer la Google Cloud CLI ou passer à la version 378.0.0 ou ultérieure. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
$ gcloud secrets versions destroy version-id --secret="secret-id"
C#
Pour exécuter ce code, commencez par configurer un environnement de développement C# et installez le SDK Secret Manager pour C#. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Go
Pour exécuter ce code, commencez par configurer un environnement de développement Go et installez le SDK Secret Manager pour Go. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Java
Pour exécuter ce code, commencez par configurer un environnement de développement Java et installez le SDK Secret Manager pour Java. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Node.js
Pour exécuter ce code, commencez par configurer un environnement de développement Node.js, puis installez le SDK Secret Manager pour Node.js. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
PHP
Pour exécuter ce code, commencez par apprendre à utiliser PHP sur Google Cloud et à installer le SDK Secret Manager pour PHP. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Python
Pour exécuter ce code, commencez par configurer un environnement de développement Python et installez le SDK Secret Manager pour Python. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Ruby
Pour exécuter ce code, commencez par configurer un environnement de développement Ruby et installez le SDK Secret Manager pour Ruby. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
API
Ces exemples utilisent curl pour illustrer l'utilisation de l'API. Vous pouvez générer des jetons d'accès avec gcloud auth print-access-token. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id/versions/version-id:destroy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json"
Destruction différée des versions de secrets
L'administrateur Secret Manager peut configurer la destruction différée des versions d'un secret en activant la fonctionnalité Retarder la version d'un secret. Si cette fonctionnalité est activée, la version du secret n'est pas immédiatement détruite sur demande. Au lieu de cela, la version du secret est désactivée et sa destruction est programmée à une date ultérieure. Pendant ce temps, l'administrateur Secret Manager peut restaurer la version du secret. Pour en savoir plus, consultez la section Retarder la destruction des versions de secrets.
Étapes suivantes
- Découvrez comment garantir l'intégrité des données.
- Découvrez les bonnes pratiques.