Gestionar secretos en la configuración del Collector de OpenTelemetry creado por Google

Para configurar algunos componentes, como receptores o exportadores, es posible que tengas que proporcionar secretos, como contraseñas. Puedes incluir estos secretos como texto sin cifrar en los archivos de configuración del recolector. Sin embargo, estos secretos se incluyen en los registros del sistema que escribe el recopilador y se transmiten a Cloud Logging, lo que expone los secretos más allá del nodo o la máquina virtual en la que se ejecuta el recopilador.

A partir de la versión 0.126.0 del Collector creado por Google, puedes usar un proveedor de OpenTelemetry integrado con Secret Manager para eliminar las claves secretas en texto sin cifrar de tus archivos de configuración.

Un proveedor es un componente de configuración de OpenTelemetry, similar a los componentes de receptor y procesador. Cada proveedor tiene un tipo, y cada tipo de proveedor asigna un identificador específico de la configuración a un valor.

El proveedor googlesecretmanager asigna los identificadores de Secret Manager a los secretos, como contraseñas, tokens y claves de API, que hayas almacenado en Secret Manager. Usar el proveedor googlesecretmanager ofrece las siguientes ventajas:

  • Seguridad mejorada: tus archivos de configuración no contienen información sensible, como contraseñas. Los secretos reales se almacenan en Secret Manager, un servicio diseñado específicamente para almacenar, acceder y gestionar datos sensibles de forma segura.
  • Menor riesgo de exposición: Secret Manager obtiene secretos durante la inicialización del OpenTelemetry Collector creado por Google, lo que evita que los secretos en texto sin formato se registren accidentalmente en los registros.

Antes de empezar

Para usar el proveedor googlesecretmanager, debes habilitar la API Secret Manager y permitir el acceso a la API, tal como se describe en los siguientes pasos:

  1. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

    gcloud init

    Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  2. Define el proyecto predeterminado de Google Cloud CLI:

    gcloud config set project PROJECT_ID

    Antes de ejecutar el comando anterior, sustituye la variable PROJECT_ID por el identificador de tu Google Cloud proyecto.

  3. Enable the Secret Manager API:

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles. 

    gcloud services enable secretmanager.googleapis.com
  4. Actualiza los permisos de acceso de OAuth de tu instancia para incluir el permiso necesario de Secret Manager, https://www.googleapis.com/auth/cloud-platform: 
    gcloud compute instances set-service-account "INSTANCE_ID" \
  --service-account "SERVICE_ACCT_EMAIL" \
  --scopes "https://www.googleapis.com/auth/cloud-platform"

    Antes de ejecutar el comando anterior, sustituya las siguientes variables:

    • INSTANCE_ID: el identificador de tu VM.
    • SERVICE_ACCT_EMAIL: la dirección de la cuenta de servicio asociada a la VM.

    Para obtener más información, consulta Acceder a la API Secret Manager.

  5. Concede al usuario que gestiona las configuraciones de Google-Built OpenTelemetry Collector los permisos necesarios para crear y gestionar secretos. El rol Gestión de identidades y accesos roles/secretManager.secretAdmin incluye los permisos necesarios: 
    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:USER_EMAIL" \
  --role=roles/secretManager.secretAdmin

    Antes de ejecutar el comando anterior, sustituya las siguientes variables:

    • PROJECT_ID: el identificador de tu proyecto de Google Cloud .
    • USER_EMAIL: la dirección del usuario al que se le concede el rol.
  6. Concede a la cuenta de servicio asociada a la VM los permisos que necesita para acceder a los secretos. El rol Gestión de identidades y accesos roles/secretManager.secretAccessor incluye los permisos necesarios: 
    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:SERVICE_ACCT_EMAIL" \
  --role=roles/secretManager.secretAccessor

    Antes de ejecutar el comando anterior, sustituya las siguientes variables:

    • PROJECT_ID: el identificador de tu proyecto de Google Cloud .
    • SERVICE_ACCT_EMAIL: la dirección de la cuenta de servicio asociada a la VM.

    7. Sustituir secretos en texto sin formato por secretos gestionados

    Para eliminar el uso de secretos de texto sin formato en los archivos de configuración mediante Secret Manager y el proveedor googlesecretmanager, haz lo siguiente:

    1. Crea un secreto en Secret Manager para cada secreto de texto sin formato en tus archivos de configuración.
    2. Sustituye cada secreto de texto sin cifrar de tus archivos de configuración por una referencia al secreto correspondiente en Secret Manager.

    Por ejemplo, si usas un http exportador, tu archivo de configuración podría incluir una entrada como la siguiente:

    exporters:
  logging:
    loglevel: debug
  http:
    endpoint: "https://example.com/api/metrics"
    headers:
      X-API-Key: plaintext-secret

    En este ejemplo, quieres colocar la cadena plaintext-secret en Secret Manager y, a continuación, sustituir el secreto en texto sin cifrar por una referencia al secreto gestionado.

    Crear secretos de Secret Manager para secretos de texto sin formato

    Para crear un secreto de Secret Manager que contenga el secreto plaintext-secret en texto sin formato, ejecuta el siguiente comando: 
    echo -n "plaintext-secret" | gcloud secrets create SECRET_NAME \
    --replication-policy="automatic" \
    --data-file=-

    Antes de ejecutar el comando anterior, sustituya las siguientes variables:

    • plaintext-secret: sustitúyelo por tu secreto de texto sin formato.
    • SECRET_NAME: sustitúyelo por un nombre descriptivo para tu secreto.

    El nombre completo del recurso de tu nuevo secreto tiene el siguiente formato, con un VERSION de 1:

    projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION

    Para obtener más información sobre cómo almacenar, versionar y acceder a secretos en Secret Manager, consulta Crear un secreto.

    Sustituir secretos de texto sin formato

    Para actualizar los archivos de configuración, sustituye cada secreto de texto sin cifrar por una referencia al proveedor googlesecretmanager y al nombre del recurso del secreto gestionado, tal como se muestra en el siguiente ejemplo:

    exporters:
  logging:
    loglevel: debug
  http:
    endpoint: "https://example.com/api/metrics"
    headers:
      X-API-Key: ${googlesecretmanager:projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION}

    Más información

    Para obtener más información sobre cómo usar el proveedor googlesecretmanager, visita el opentelemetry-collector-contribrepositorio.