Cet article explique comment détruire une version de secret. Dans la partie détruite state, le numéro de la version du secret les contenus sont supprimés. La destruction d'une version de secret est définitive. Vous ne pourrez pas ne peut plus accéder au secret. La version du secret ne peut pas être remplacée par un autre état.
Avant de détruire une version de secret, essayez de la désactiver et d'observer le comportement de votre application. Vous pouvez réactiver la version du secret si vous rencontrez des problèmes inattendus.
Lorsque vous désactivez ou détruisez une version de secret ou un secret, la modification prend du temps à se propager dans le système. Si nécessaire, vous pouvez révoquer l'accès IAM du secret. Les modifications apportées aux autorisations IAM sont cohérentes en quelques secondes.
Rôles requis
Pour obtenir les autorisations nécessaires
pour détruire une version de secret,
demandez à votre administrateur de vous accorder le
Rôle IAM Gestionnaire de versions des secrets (roles/secretmanager.secretVersionManager
) sur un secret.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Détruire la version d'un secret
Console
-
Accédez à la page Secret Manager dans la console Google Cloud.
-
Sur la page Secret Manager, cliquez sur le nom d'un secret.
-
Sur la page Informations détaillées sur le secret de la table Versions, repérez la version du secret à laquelle vous souhaitez accéder.
-
Dans la colonne Actions, cliquez sur Afficher plus
. -
Cliquez sur Détruire dans le menu.
-
Dans la boîte de dialogue Détruire la version du secret, saisissez le nom du secret.
-
Cliquez sur le bouton Détruire les versions sélectionnées.
gcloud
Pour utiliser Secret Manager avec la ligne de commande, commencez par Installez la Google Cloud CLI ou passez à la version 378.0.0 ou ultérieure. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
$ gcloud secrets versions destroy version-id --secret="secret-id"
C#
Pour exécuter ce code, commencez par configurer un environnement de développement C# et installez le SDK Secret Manager pour C#. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Go
Pour exécuter ce code, commencez par configurer un environnement de développement Go et installez le SDK Secret Manager pour Go. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Java
Pour exécuter ce code, commencez par configurer un environnement de développement Java et installez le SDK Secret Manager pour Java. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Node.js
Pour exécuter ce code, commencez par configurer un environnement de développement Node.js, puis installez le SDK Secret Manager pour Node.js. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
PHP
Pour exécuter ce code, commencez par apprendre à utiliser PHP sur Google Cloud et à installer le SDK Secret Manager pour PHP. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Python
Pour exécuter ce code, commencez par configurer un environnement de développement Python et installez le SDK Secret Manager pour Python. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Ruby
Pour exécuter ce code, commencez par configurer un environnement de développement Ruby et installez le SDK Secret Manager pour Ruby. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
API
Ces exemples utilisent curl pour illustrer l'utilisation de l'API. Vous pouvez générer des jetons d'accès avec gcloud auth print-access-token. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id/versions/version-id:destroy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json"
Destruction différée des versions de secret
L'administrateur Secret Manager peut configurer la destruction différée des secrets en activant la fonctionnalité Retarder la suppression de la version du secret sur le secret. Si cette fonctionnalité est activée, la version du secret n'est pas immédiatement détruite à la demande. Au lieu de cela, la version du secret est désactivée et sa destruction est programmée à une date ultérieure. la date de début. Pendant ce temps, l'administrateur Secret Manager peut restaurer le la version du secret. Pour en savoir plus, consultez Retarder la destruction des versions de secret.
Étape suivante
- Découvrez comment garantir l'intégrité des données.
- Découvrez les bonnes pratiques.