Use o Secret Manager para processar segredos no Cloud SQL

Vista geral

Gerir corretamente as suas informações confidenciais é uma parte essencial da criação de um fluxo de trabalho de desenvolvimento seguro. Para o Cloud SQL, recomendamos que armazene as suas informações confidenciais como segredos que cria no Secret Manager. Os segredos incluem chaves de API, palavras-passe, informações confidenciais ou credenciais que pode usar para aceder a um sistema confidencial.

O Secret Manager oferece conveniência e melhora a segurança. Também pode aplicar o controlo de versões aos seus segredos e partilhá-los com a sua equipa. Para saber como partilhar segredos com a sua equipa, consulte o artigo Controlo de acesso (IAM).

Esta página descreve quatro exemplos de utilização do Secret Manager para gerir segredos com o Cloud SQL:

• Armazenamento de nomes de utilizador e palavras-passe
• A ligar a instâncias do Cloud SQL
• Gerir certificados SSL/TLS
• Coordenar cenários de recuperação de desastres

Antes de começar

Antes de começar a usar o Secret Manager para processar segredos no Cloud SQL:

• Familiarize-se com o Cloud SQL e o Secret Manager.
• Comece a usar o Cloud SQL aprendendo a ligar-se à sua primeira instância do Cloud SQL a partir do computador local.

Nomes de utilizador e palavras-passe

A utilização do Secret Manager para armazenar os nomes de utilizador e as palavras-passe das suas contas de utilizador do Cloud SQL como segredos é uma forma segura e fiável de gerir estas informações confidenciais.

Primeiro, tem de criar um utilizador no Cloud SQL. Como parte da criação deste utilizador, tem de fornecer um nome de utilizador e uma palavra-passe. Para mais informações sobre como criar um utilizador no Cloud SQL, consulte o artigo Gerir utilizadores com autenticação integrada.

Depois de criar o utilizador, crie um segredo no Secret Manager para armazenar o nome de utilizador e a palavra-passe. Isto garante que estas informações confidenciais não são perdidas. Para mais informações sobre como criar e aceder a segredos no Secret Manager, consulte o artigo Criar e aceder a segredos.

Instâncias do Cloud SQL

Quando se liga à sua instância do Cloud SQL, pode usar o Secret Manager para gerir segredos e criar um fluxo de trabalho de desenvolvimento seguro.

Comece por estabelecer ligação à sua instância do Cloud SQL a partir do computador local. Depois de a instância estar em execução, use variáveis de ambiente para estabelecer ligação à mesma. Alguns valores associados às variáveis são mais sensíveis, como o nome da associação da instância. Para cada valor, pode criar um segredo no Secret Manager para armazenar e gerir estas informações. Para saber mais sobre a utilização de variáveis de ambiente para estabelecer ligação à sua instância do Cloud SQL, consulte o artigo Configure e execute a app de exemplo.

Pode obter o nome da ligação da instância armazenado como um segredo diretamente do Secret Manager. Isto oferece um fluxo de trabalho flexível que pode ajudar a sua equipa a partilhar estas informações confidenciais em várias aplicações e a geri-las a partir de uma localização centralizada. Para mais informações sobre como obter secrets do Secret Manager, consulte o artigo Crie um secret com o Secret Manager.

Uma aplicação requer as informações nos segredos para ser iniciada. Estas informações incluem os valores associados às variáveis de ambiente que são usadas para estabelecer ligação à aplicação. A sua aplicação acede aos segredos quando é iniciada e, em seguida, usa os segredos para configurar uma ligação ao Cloud SQL. Se algum segredo relevante for atualizado no Secret Manager, pode ter de reiniciar a aplicação.

Certificados SSL/TLS

Se estabelecer ligação a uma instância do Cloud SQL através de um endereço IP público ou privado, deve usar um certificado de Transport Layer Security (TLS) que proteja os dados enquanto são transmitidos. Cada certificado TLS inclui um certificado de chave pública e uma chave privada. Para mais informações sobre a configuração de certificados TLS, consulte o artigo Configurar certificados SSL/TLS.

Pode guardar o certificado TLS, o certificado de chave pública e a chave privada como segredos para os manter seguros e partilhá-los com a sua equipa. Para mais informações sobre como criar e aceder a segredos, consulte o artigo Crie um segredo com o Secret Manager. Para mais informações sobre a partilha de segredos, consulte o artigo Controlo de acesso (IAM).

Cenários de recuperação de desastres

Se uma instância principal no Cloud SQL falhar, pode promover uma réplica de leitura para a instância principal. Depois de a réplica de leitura se tornar a instância principal, tem de atualizar o nome de ligação da instância para refletir esta promoção. Se o nome da ligação da instância estiver armazenado num segredo, tem de atualizar o segredo com o nome da nova instância principal. Para mais informações, consulte o artigo Edite um segredo.

Uma forma de usar o Secret Manager para as comutações por falha é armazenar o nome da sua instância principal num segredo e, em seguida, configurar o conetor do Cloud SQL para ser atualizado sempre que o segredo for atualizado.

Pode usar o seguinte script wrapper bash com o proxy Auth do Cloud SQL para detetar quando o valor do nome de ligação da instância é atualizado e, em seguida, reiniciar o proxy com o novo valor:

#!/bin/bash

SECRET_ID="my-secret-id" # TODO(developer): replace this value
REFRESH_INTERVAL=5
PORT=5432                # TODO(developer): change this port as needed

# Get the latest version of the secret and start the proxy
INSTANCE=$(gcloud secrets versions access "latest" --secret="$SECRET_ID")
cloud_sql_proxy -instances="$INSTANCE"=tcp:"$PORT" &
PID=$!

# Every 5s, get the latest version of the secret. If it's changed, restart the
# proxy with the new value.
while true; do
    sleep $REFRESH_INTERVAL
    NEW=$(gcloud secrets versions access "latest" --secret="$SECRET_ID")
    if [ "$INSTANCE" != "$NEW" ]; then
        INSTANCE=$NEW
        kill $PID
        wait $PID
        cloud_sql_proxy -instances="$INSTANCE"=tcp:"$PORT" &
        PID=$!
    fi
done

Para mais informações sobre como criar e aceder a um segredo que contém o nome de ligação da instância da réplica principal, consulte o artigo Crie um segredo com o Secret Manager. Para mais informações sobre a utilização do proxy Auth do Cloud SQL, consulte o artigo Ligue-se ao Cloud SQL através do proxy Auth do Cloud SQL.

O que se segue?

• Pode integrar o Secret Manager com outros Google Cloud produtos, como o Cloud Run.
  • Para mais informações sobre como proteger os seus segredos em ambientes de contentores, consulte Usar segredos.
  • Para ver uma lista de outros Google Cloud produtos que se integram com o Secret Manager, consulte o artigo Usar o Secret Manager com outros produtos.
• Para saber como integrar o Secret Manager com o seu ambiente de desenvolvimento, consulte os vários exemplos disponíveis na página Todos os exemplos de código do Secret Manager.