En este tema, se describe cómo puedes destruir una versión del secreto. En el state destruido, el contenido de la versión del secreto se descarta. La destrucción de una versión del secreto es permanente. Ya no podrás acceder a él. La versión del secreto no se puede cambiar a otro estado.
Antes de destruir una versión del secreto, intenta inhabilitarla y observa el comportamiento de tu aplicación. Puedes volver a habilitar la versión del secreto si encuentras problemas inesperados.
Cuando inhabilitas o destruyes un secreto o su versión, el cambio tarda en propagarse por el sistema. Si es necesario, puedes revocar el acceso de IAM al secreto. Los cambios en los permisos de IAM son coherentes en cuestión de segundos.
Funciones obligatorias
Si quieres obtener los permisos que necesitas para destruir una versión del secreto, pídele a tu administrador que te otorgue el rol de IAM Administrador de versiones de secretos de Secret Manager (roles/secretmanager.secretVersionManager
) en un secreto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.
Destruye una versión del secreto
Console
-
Ve a la página Secret Manager en la consola de Google Cloud.
-
En la página de Secret Manager, haz clic en el Nombre de un secreto.
-
En la página Detalles del secreto, en la tabla Versiones, busca una versión de secreto que deseas acceder.
-
En la columna Acciones, haz clic en Ver más
. -
Haz clic en Destruir en el menú.
-
En el diálogo Destruir la versión del secreto, ingresa el nombre del secreto.
-
Haz clic en el botón Destruir versiones seleccionadas.
gcloud
Para usar Secret Manager en la línea de comandos, primero instala o actualiza a la versión 378.0.0 o una versión posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
$ gcloud secrets versions destroy version-id --secret="secret-id"
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go e instala el SDK de Go para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java e instala el SDK de Java para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js e instala el SDK de Node.js para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
PHP
Para ejecutar este código, primero obtén información a fin de usar PHP en Google Cloud e instala el SDK de PHP para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python e instala el SDK de Python para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby e instala el SDK de Ruby de Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
API
En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id/versions/version-id:destroy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json"
Destrucción demorada de las versiones del secreto
El administrador de Secret Manager puede configurar la destrucción demorada de las versiones de los secretos mediante la activación del atributo Retrasar la versión del secreto del Secret en el secreto. Si esta función está activada, la versión del secreto no se destruye de inmediato si se solicita. En cambio, la versión del secreto se inhabilita y se programa para su destrucción en una fecha posterior. Durante este tiempo, el administrador de Secret Manager puede restablecer la versión del secreto. Para obtener más información, consulta Cómo retrasar la destrucción de las versiones del secreto
¿Qué sigue?
- Obtén información sobre cómo garantizar la integridad de los datos.
- Obtén más información sobre las prácticas recomendadas.