Configure notificações num segredo

Esta página explica como configurar e usar notificações de eventos para os seus segredos no Secret Manager.

Vista geral

O Secret Manager integra-se com o Pub/Sub para fornecer notificações de eventos sobre alterações aos Secrets e às versões dos Secrets. Pode usar estas notificações para iniciar fluxos de trabalho, como reiniciar uma aplicação quando é adicionada uma nova versão secreta ou notificar os engenheiros de segurança quando um segredo é eliminado. Para mais informações sobre como usar estas notificações para iniciar fluxos de trabalho, consulte a documentação do Pub/Sub.

Como funcionam as notificações de eventos no Secret Manager

Os segredos podem ser configurados com uma lista de até 10 tópicos do Pub/Sub. Sempre que é realizada uma operação que modifica o segredo ou uma das respetivas versões, o Secret Manager publica automaticamente uma mensagem em cada um dos tópicos do Pub/Sub nesse segredo. As chamadas Get, List e Access não resultam em publicações de mensagens.

As mensagens do Pub/Sub têm um conjunto de pares de chave-valor de atributos que contêm metadados sobre o evento, bem como um campo data que contém uma serialização JSON completa do recurso Secret ou SecretVersion que foi criado ou modificado. Este JSON é uma string codificada em UTF-8 que representa o recurso Secret ou SecretVersion exatamente no formato especificado pela API pública Secret Manager, codificada em JSON, conforme especificado no mapeamento JSON proto3.

Tipos de eventos

Segue-se uma lista dos tipos de eventos suportados pelo Secret Manager.

Formato de notificação

As notificações enviadas para o tópico do Pub/Sub são compostas por duas partes:

• Atributos: um conjunto de pares de chave-valor que descrevem o evento.

• Dados: uma string que contém os metadados do objeto alterado.

Atributos

Os atributos são pares de chaves-valores contidos nas notificações enviadas pelo Secret Manager para o seu tópico do Pub/Sub. Todas as notificações, exceto as TOPIC_CONFIGUREDmensagens de teste contêm sempre o seguinte conjunto de pares chave:valor, independentemente dos dados da notificação:

Além disso, as notificações contêm, por vezes, o seguinte conjunto de pares de chave-valor:

Dados

O campo de dados é uma string UTF-8 que contém os metadados do objeto alterado. Os dados são um segredo ou uma versão do segredo.

Para notificações SECRET_DELETE, os metadados contidos no campo de dados representam os metadados do objeto tal como estavam antes da eliminação. Para todas as outras notificações, os metadados incluídos no campo de dados representam os metadados do objeto após a ocorrência da alteração.

Limitações

As notificações de eventos só estão disponíveis na API Secret Manager v1 e na CLI Google Cloud.

Antes de começar

Pode optar por armazenar todos os recursos no mesmo projeto ou armazenar segredos e tópicos do Pub/Sub em projetos separados.

1. Para configurar o Gestor Secreto, conclua o seguinte:

   • Crie ou use um projeto existente para alojar os recursos do Secret Manager.

   • Se necessário, conclua os passos mencionados na página Ative a API Secret Manager.

2. Para configurar o Pub/Sub, conclua o seguinte:

   • Crie ou use um projeto existente para alojar os seus recursos do Pub/Sub.

   • Se necessário, ative a API Pub/Sub.

3. Autentique-se no Google Cloud com o seguinte comando:

       $ gcloud auth login --update-adc
       

Crie uma identidade de agente de serviço

Para criar uma identidade de agente de serviço para cada projeto que exija segredos com notificações de eventos, siga estes passos:

1. Para criar uma identidade de serviço com a CLI gcloud, execute o seguinte comando:

         $ gcloud beta services identity create \
             --service "secretmanager.googleapis.com" \
             --project "PROJECT_ID"
       

   Este comando devolve um nome de conta de serviço, com o seguinte formato:

       service-PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
       

2. Conceda a esta conta de serviço autorização para publicar nos tópicos do Pub/Sub configurados nos seus segredos.

3. Guarde o nome da conta de serviço como uma variável de ambiente através do seguinte comando:

       # This is from the output of the command above
       $ export SM_SERVICE_ACCOUNT="service-...."
       

As variáveis de ambiente para o projeto do Secret Manager, o projeto do Pub/Sub e a conta de serviço do Secret Manager têm de ser definidas durante todo o procedimento.

Crie tópicos do Pub/Sub

Siga o início rápido do Pub/Sub para criar tópicos no seu projeto do Pub/Sub na Google Cloud consola. Em alternativa, crie tópicos na CLI do Google Cloud com o seguinte comando:

gcloud pubsub topics create "projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_NAME"

gcloud pubsub topics create "projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_NAME"

gcloud pubsub topics create "projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_NAME"

Repita este passo várias vezes se quiser criar vários tópicos do Pub/Sub no segredo.

Conceda à conta de serviço do Secret Manager autorização para publicar nos tópicos

Pode conceder autorizações à conta de serviço do Secret Manager através da Google Cloud consola ou da CLI do Google Cloud.

Para conceder a função de publicador do Pub/Sub (roles/pubsub.publisher) no tópico do Pub/Sub, use o seguinte comando:

gcloud pubsub topics add-iam-policy-binding PUBSUB_TOPIC_NAME \
    --member "serviceAccount:${SM_SERVICE_ACCOUNT}" \
    --role "roles/pubsub.publisher"

gcloud pubsub topics add-iam-policy-binding PUBSUB_TOPIC_NAME `
    --member "serviceAccount:${SM_SERVICE_ACCOUNT}" `
    --role "roles/pubsub.publisher"

gcloud pubsub topics add-iam-policy-binding PUBSUB_TOPIC_NAME ^
    --member "serviceAccount:${SM_SERVICE_ACCOUNT}" ^
    --role "roles/pubsub.publisher"

Crie subscrições do Pub/Sub

Para ver as mensagens publicadas num tópico, também tem de criar uma subscrição para o tópico. Siga o início rápido do Pub/Sub para criar subscrições no seu projeto do Pub/Sub na Google Cloud consola. Em alternativa, crie tópicos na CLI do Google Cloud com o seguinte comando:

gcloud pubsub subscriptions create projects/PUBSUB_PROJECT_ID/subscriptions/PUBSUB_SUBSCRIPTION_NAME \
  --topic projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_NAME

gcloud pubsub subscriptions create projects/PUBSUB_PROJECT_ID/subscriptions/PUBSUB_SUBSCRIPTION_NAME `
  --topic projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_NAME

gcloud pubsub subscriptions create projects/PUBSUB_PROJECT_ID/subscriptions/PUBSUB_SUBSCRIPTION_NAME ^
  --topic projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_NAME

Crie um segredo com tópicos configurados

Crie um segredo com uma lista de até 10 tópicos configurados. Todos os tópicos configurados num segredo recebem notificações de eventos quando o segredo ou uma das respetivas versões é alterado.

gcloud secrets create SECRET_ID --topics PUBSUB_TOPIC_NAME

gcloud secrets create SECRET_ID --topics PUBSUB_TOPIC_NAME

gcloud secrets create SECRET_ID --topics PUBSUB_TOPIC_NAME

POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID

{
  "replication":{
    "automatic":{}
  },
  "topics":{
    "name": "TOPIC_NAME"
  }
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID" | Select-Object -Expand Content

{
  "name": "/projects/my-project/locations/me-central2/secrets/my-drz-secret",
  "createTime": "2024-03-25T08:24:13.153705Z",
  "etag": "\"161477e6071da9\""
}

Atualize tópicos secretos

Modifique os tópicos Pub/Sub configurados num segredo atualizando o segredo com os novos nomes de recursos de tópicos Pub/Sub. Com a CLI do Google Cloud, pode adicionar ou remover um ou mais tópicos de um segredo, bem como limpar todos os tópicos do segredo.

Adicione tópicos

Para adicionar um ou mais tópicos a um segredo, use o seguinte comando:

gcloud secrets update SECRET_ID \
  --project PROJECT_ID \
  --add-topics projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_1_NAME,projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_2_NAME

gcloud secrets update SECRET_ID `
  --project PROJECT_ID `
  --add-topics projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_1_NAME,projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_2_NAME

gcloud secrets update SECRET_ID ^
  --project PROJECT_ID ^
  --add-topics projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_1_NAME,projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_2_NAME

Remova tópicos

Para remover um ou mais tópicos de um segredo, use o seguinte comando:

gcloud secrets update SECRET_ID \
  --project PROJECT_ID \
  --remove-topics projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_1_NAME,projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_2_NAME

gcloud secrets update SECRET_ID `
  --project PROJECT_ID `
  --remove-topics projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_1_NAME,projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_2_NAME

gcloud secrets update SECRET_ID ^
  --project PROJECT_ID ^
  --remove-topics projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_1_NAME,projects/PUBSUB_PROJECT_ID/topics/PUBSUB_TOPIC_2_NAME

Limpar tópicos

Para remover todos os tópicos de um segredo, use o seguinte comando:

gcloud secrets update SECRET_ID \
  --project PROJECT_ID \
  --clear-topics

gcloud secrets update SECRET_ID `
  --project PROJECT_ID `
  --clear-topics

gcloud secrets update SECRET_ID ^
  --project PROJECT_ID ^
  --clear-topics

Consuma notificações de eventos com funções do Cloud Run

As notificações de eventos podem ser usadas para iniciar fluxos de trabalho através da criação de funções do Cloud Run para consumir as mensagens do Pub/Sub. Consulte a documentação das funções do Cloud Run para mais informações. O seguinte exemplo de código destina-se a uma função do Cloud Run que imprime eventType, secretId e metadados sempre que um evento é publicado no tópico.

using CloudNative.CloudEvents;
using Google.Cloud.Functions.Framework;
using Google.Events.Protobuf.Cloud.PubSub.V1;
using System;
using System.Threading;
using System.Threading.Tasks;

// Triggered from a message on a Cloud Pub/Sub topic.
// The printed value will be visible in Cloud Logging
// (https://cloud.google.com/functions/docs/monitoring/logging).
namespace PubSubSample
{
    public class Function : ICloudEventFunction<MessagePublishedData>
    {
        public Task HandleAsync(CloudEvent cloudEvent, MessagePublishedData data, CancellationToken cancellationToken)
        {
          string eventType = data.Message.Attributes["eventType"];
          string secretId = data.Message.Attributes["secretId"];
          string secretMetadata = data.Message.TextData;
          Console.WriteLine($"Received {eventType} for {secretId}. New metadata: {secretMetadata}.");
          return Task.CompletedTask;
        }
    }
}

import (
	"context"
	"fmt"
)

// PubSubMessage is the payload of a Pub/Sub event.
type PubSubMessage struct {
	Attributes PubSubAttributes `json:"attributes"`
	Data       []byte           `json:"data"`
}

// PubSubAttributes are attributes from the Pub/Sub event.
type PubSubAttributes struct {
	SecretId  string `json:"secretId"`
	EventType string `json:"eventType"`
}

// ConsumeEventNotification demonstrates how to consume and process the Pub/Sub
// notification from Secret Manager.
func ConsumeEventNotification(ctx context.Context, m PubSubMessage) (string, error) {
	// The printed value will be visible in Cloud Logging:
	//
	//     https://cloud.google.com/functions/docs/monitoring/logging
	//
	eventType := m.Attributes.EventType
	secretID := m.Attributes.SecretId
	data := m.Data

	return fmt.Sprintf("Received %s for %s. New metadata: %q.",
		eventType, secretID, data), nil
}

import java.util.Base64;
import java.util.Map;
import java.util.logging.Logger;
import lombok.Data;

// Demonstrates how to consume and process a Pub/Sub notification from Secret Manager. Triggered
// by a message on a Cloud Pub/Sub topic.
// Ideally the class should implement a background function that accepts a Pub/Sub message.
// public class ConsumeEventNotification implements BackgroundFunction<PubSubMessage> { }
public class ConsumeEventNotification {

  // You can configure the logs to print the message in Cloud Logging.
  private static final Logger logger = Logger.getLogger(ConsumeEventNotification.class.getName());

  // Accepts a message from a Pub/Sub topic and writes it to logger.
  public static String accept(PubSubMessage message) {
    String eventType = message.attributes.get("eventType");
    String secretId = message.attributes.get("secretId");
    String data = new String(Base64.getDecoder().decode(message.data));
    String log = String.format("Received %s for %s. New metadata: %s", eventType, secretId, data);
    logger.info(log);
    return log;
  }

  // Event payload. Mock of the actual Pub/Sub message.
  @Data
  public static class PubSubMessage {

    byte[] data;
    Map<String, String> attributes;
    String messageId;
    String publishTime;
    String orderingKey;
  }
}

/**
* Triggered from a message on a Cloud Pub/Sub topic.
* The printed value will be visible in Cloud Logging
* (https://cloud.google.com/functions/docs/monitoring/logging).
*
* @param {!Object} event Event payload.
* @param {!Object} context Metadata for the event.
*/
exports.smEventsFunction = (event, context) => {
  const eventType = event.attributes.eventType;
  const secretID = event.attributes.secretId;
  const secretMetadata = Buffer.from(event.data, 'base64').toString();
  console.log(`Received ${eventType} for ${secretID}. New metadata: ${secretMetadata}.`);
};

import base64


def consume_event_notification(event: dict, unused_context: None) -> str:
    """
    consume_event_notification demonstrates how to consume and process a
    Pub/Sub notification from Secret Manager.
    Args:
          event (dict): Event payload.
          unused_context (google.cloud.functions.Context): Metadata for the event.
    """
    event_type = event["attributes"]["eventType"]
    secret_id = event["attributes"]["secretId"]
    secret_metadata = base64.b64decode(event["data"]).decode("utf-8")
    event_notification = (
        f"Received {event_type} for {secret_id}. New metadata: {secret_metadata}"
    )
    print(event_notification)
    return event_notification

require "functions_framework"
require "base64"

# Triggered from a message on a Cloud Pub/Sub topic.
# The printed value will be visible in Cloud Logging
# (https://cloud.google.com/functions/docs/monitoring/logging).
FunctionsFramework.cloud_event "sm_events_function" do |event|
  message = event.data["message"]
  event_type = message["attributes"]["eventType"]
  secret_id = message["attributes"]["secretId"]
  message_data = Base64.decode64 message["data"]
  FunctionsFramework.logger.info "Received %s for %s. New metadata: %s." % [event_type, secret_id, message_data]
end

Para ver uma lista de todos os tipos de eventos, consulte Tipos de eventos.

Tópicos configurados incorretamente

Se forem adicionados tópicos do Pub/Sub a um segredo numa operação de criação ou atualização, mas o Secret Manager não conseguir publicar mensagens no tópico devido a uma configuração incorreta, a operação falha com uma mensagem de erro a indicar o motivo da falha na publicação. Isto pode acontecer, por exemplo, se o tópico não existir ou se a conta de serviço do Secret Manager não tiver autorização para publicar.

Se forem adicionados tópicos do Pub/Sub a um segredo e, posteriormente, o tópico for alterado para que o Secret Manager já não possa publicar mensagens (por exemplo, o tópico é eliminado ou as autorizações da conta de serviço do Secret Manager são removidas), o Secret Manager escreve registos no Secret Manager Secret com uma mensagem a indicar o motivo da falha na publicação.

O que se segue?

• Saiba como analisar segredos com o Cloud Asset Inventory.