Secrets in der von Google erstellten OpenTelemetry Collector-Konfiguration verwalten
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Für die Konfiguration einiger Komponenten wie Empfänger oder Exporter müssen Sie möglicherweise Secrets wie Passwörter angeben. Sie können diese Secrets als Klartext in die Konfigurationsdateien des Collectors einfügen. Diese Secrets sind jedoch in den Systemlogs enthalten, die vom Collector geschrieben und an Cloud Logging übertragen werden. Dadurch werden die Secrets über den Knoten oder die VM hinaus verfügbar gemacht, auf der der Collector ausgeführt wird.
Ab der von Google entwickelten Collector-Version 0.126.0 können Sie einen in Secret Manager integrierten OpenTelemetry-Anbieter verwenden, um Secrets im Klartext in Ihren Konfigurationsdateien zu vermeiden.
Ein Anbieter ist eine OpenTelemetry-Konfigurationskomponente, die den Receiver- und Prozessorkomponenten entspricht. Jeder Anbieter hat einen Typ und jeder Anbietertyp ordnet einen bestimmten Bezeichner in der Konfiguration einem Wert zu.
Der googlesecretmanager-Anbieter ordnet Secret Manager-Kennungen den Secrets wie Passwörtern, Tokens und API-Schlüsseln zu, die Sie in Secret Manager gespeichert haben. Die Verwendung des Anbieters googlesecretmanager bietet folgende Vorteile:
Erhöhte Sicherheit: Ihre Konfigurationsdateien enthalten keine vertraulichen Informationen wie Passwörter. Die eigentlichen Secrets werden in Secret Manager gespeichert, einem Dienst, der speziell für das sichere Speichern, Verwalten und Abrufen sensibler Daten entwickelt wurde.
Geringeres Risiko der Offenlegung: Secret Manager ruft Secrets während der Initialisierung des von Google entwickelten OpenTelemetry Collectors ab. So wird verhindert, dass Secrets im Klartext versehentlich in Logs aufgezeichnet werden.
Hinweise
Wenn Sie den googlesecretmanager-Anbieter verwenden möchten, müssen Sie die Secret Manager API aktivieren und den Zugriff auf die API zulassen, wie in den folgenden Schritten beschrieben:
Installieren Sie die Google Cloud CLI.
Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:
Legen Sie das Standardprojekt für die Google Cloud CLI fest:
gcloud config set project PROJECT_ID
Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die Variable PROJECT_ID durch die ID Ihres Google Cloud Projekts.
Enable the Secret Manager API:
gcloudservicesenablesecretmanager.googleapis.com
Aktualisieren Sie die OAuth-Zugriffsbereiche für Ihre Instanz, damit der erforderliche Bereich für Secret Manager, https://www.googleapis.com/auth/cloud-platform, enthalten ist:
Gewähren Sie dem Nutzer, der die Konfigurationen des von Google entwickelten OpenTelemetry Collectors verwaltet, die Berechtigungen, die zum Erstellen und Verwalten von Secrets erforderlich sind. Die IAM-Rolle (Identity and Access Management) roles/secretManager.secretAdmin enthält die erforderlichen Berechtigungen:
Ersetzen Sie vor dem Ausführen des vorherigen Befehls die folgenden Variablen:
PROJECT_ID: Die Kennung Ihres Google Cloud -Projekts.
USER_EMAIL: die Adresse des Nutzers, dem die Rolle zugewiesen wird.
Erteilen Sie dem mit der VM verknüpften Dienstkonto die Berechtigungen, die für den Zugriff auf die Secrets erforderlich sind. Die IAM-Rolle (Identity and Access Management) roles/secretManager.secretAccessor enthält die erforderlichen Berechtigungen:
Ersetzen Sie vor dem Ausführen des vorherigen Befehls die folgenden Variablen:
PROJECT_ID: Die ID Ihres Google Cloud Projekts.
SERVICE_ACCT_EMAIL: die Adresse des Dienstkontos, das mit der VM verknüpft ist.
Klartext-Secrets durch verwaltete Secrets ersetzen
So vermeiden Sie die Verwendung von Secrets im Klartext in Ihren Konfigurationsdateien, indem Sie Secret Manager und den googlesecretmanager-Anbieter verwenden:
Erstellen Sie in Secret Manager für jedes Klartext-Secret in Ihren Konfigurationsdateien ein Secret.
Ersetzen Sie jedes Klartext-Secret in Ihren Konfigurationsdateien durch einen Verweis auf das entsprechende Secret in Secret Manager.
Wenn Sie beispielsweise einen http-Exporter verwenden, kann Ihre Konfigurationsdatei einen Eintrag wie den folgenden enthalten:
In diesem Beispiel möchten Sie den String plaintext-secret in Secret Manager platzieren und dann das Secret im Klartext durch einen Verweis auf das verwaltete Secret ersetzen.
Secret Manager-Secrets für Klartext-Secrets erstellen
Führen Sie den folgenden Befehl aus, um ein Secret Manager-Secret mit dem Klartext-Secret plaintext-secret zu erstellen:
Weitere Informationen zum Speichern, Versionieren und Zugreifen auf Secrets in Secret Manager finden Sie unter Secret erstellen.
Klartext-Secrets ersetzen
Wenn Sie Ihre Konfigurationsdateien aktualisieren möchten, ersetzen Sie jedes Klartext-Secret durch einen Verweis auf den googlesecretmanager-Anbieter und den Ressourcennamen des verwalteten Secrets, wie im folgenden Beispiel gezeigt:
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[],[],null,["# Manage secrets in Google-Built OpenTelemetry Collector configuration\n\nConfiguring some components, like receivers or exporters, might require\nyou to provide secrets, such as passwords. You can includes these secrets as\nplaintext in the Collector's configuration files. However, these secrets are\nincluded in system logs written by the Collector and transmitted to\nCloud Logging, exposing the secrets beyond the node or virtual machine (VM)\nwhere the Collector is running.\n\nStarting with the Google-built Collector version\n0.126.0,\nyou can use an OpenTelemetry provider integrated with [Secret Manager](/secret-manager/docs/overview) to\neliminate plaintext secrets in your configuration files.\n\nA *provider* is an OpenTelemetry configuration component,\nanalogous to the receiver and processor components. Each provider has a\ntype, and each type of provider maps a specific identifier in the\nconfiguration to a value.\n\nThe `googlesecretmanager` provider maps Secret Manager\nidentifiers to the secrets, like passwords, tokens, and API keys, that you've\nstored in Secret Manager. Using the\n`googlesecretmanager` provider offers the following benefits:\n\n- **Enhanced security** : Your configuration files don't contain sensitive information like passwords. The actual secrets are stored in [Secret Manager](/secret-manager/docs/overview), a service designed specifically for securely storing, accessing, and managing sensitive data.\n- **Reduced risk of exposure**: Secret Manager fetches secrets during initialization of the Google-Built OpenTelemetry Collector, which prevents plaintext secrets from accidentally being recorded in logs.\n\nBefore you begin\n----------------\n\nTo use the `googlesecretmanager` provider, you must enable the\nSecret Manager API and permit access to the API,\nas described in the following steps:\n\n1.\n [Install](/sdk/docs/install) the Google Cloud CLI.\n\n After installation,\n [initialize](/sdk/docs/initializing) the Google Cloud CLI by running the following command:\n\n ```bash\n gcloud init\n ```\n\n\n If you're using an external identity provider (IdP), you must first\n [sign in to the gcloud CLI with your federated identity](/iam/docs/workforce-log-in-gcloud).\n2. Set the default project for Google Cloud CLI:\n\n ```\n gcloud config set project PROJECT_ID\n ```\n\n Before you run the previous command, replace the \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e\n variable with the identifier of your Google Cloud project.\n3.\n\n\n Enable the Secret Manager API:\n\n\n ```bash\n gcloud services enable secretmanager.googleapis.com\n ```\n4. Update the OAuth access scopes for your instance to include the required scope for Secret Manager, `https://www.googleapis.com/auth/cloud-platform`: \n\n ```\n gcloud compute instances set-service-account \"INSTANCE_ID\" \\\n --service-account \"SERVICE_ACCT_EMAIL\" \\\n --scopes \"https://www.googleapis.com/auth/cloud-platform\"\n ```\n\n Before you run the previous command, replace the following variables:\n - \u003cvar translate=\"no\"\u003eINSTANCE_ID\u003c/var\u003e: the identifier of your VM.\n - \u003cvar translate=\"no\"\u003eSERVICE_ACCT_EMAIL\u003c/var\u003e: the address of the service account associated with the VM.\n\n For more information, see\n [Access the Secret Manager API](/stackdriver/docs/instrumentation/secret-manager/docs/accessing-the-api).\n5. Grant the user who manages the Google-Built OpenTelemetry Collector configurations the permissions needed to create and manage secrets. The Identity and Access Management role `roles/secretManager.secretAdmin` includes the necessary permissions: \n\n ```\n gcloud projects add-iam-policy-binding PROJECT_ID \\\n --member=\"user:USER_EMAIL\" \\\n --role=roles/secretManager.secretAdmin\n ```\n\n Before you run the previous command, replace the following variables:\n - \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the identifier of your Google Cloud project.\n - \u003cvar translate=\"no\"\u003eUSER_EMAIL\u003c/var\u003e: the address of the user being granted the role.\n6. Grant the service account associated with the VM the permissions it needs to access the secrets. The Identity and Access Management role `roles/secretManager.secretAccessor` includes the necessary permissions: \n\n ```\n gcloud projects add-iam-policy-binding PROJECT_ID \\\n --member=\"serviceAccount:SERVICE_ACCT_EMAIL\" \\\n --role=roles/secretManager.secretAccessor\n ```\n\n Before you run the previous command, replace the following variables:\n - \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the identifier of your Google Cloud project.\n - \u003cvar translate=\"no\"\u003eSERVICE_ACCT_EMAIL\u003c/var\u003e: the address of the service account associated with the VM.\n\nReplace plaintext secrets with managed secrets\n----------------------------------------------\n\nTo eliminate the use of plaintext secrets in your configuration files by\nusing Secret Manager and the `googlesecretmanager`\nprovider, do the following:\n\n1. Create a secret in Secret Manager for each plaintext secret in your configuration files.\n2. Replace each plaintext secret in your configuration files with a reference to the corresponding secret in Secret Manager.\n\nFor example, if you are using an `http` exporter,\nyour configuration file might include an entry like the following: \n\n```\nexporters:\n logging:\n loglevel: debug\n http:\n endpoint: \"https://example.com/api/metrics\"\n headers:\n X-API-Key: plaintext-secret\n```\n\nIn this example, you want to place the \u003cvar translate=\"no\"\u003eplaintext-secret\u003c/var\u003e\nstring into Secret Manager and then replace\nthe plaintext secret with a reference to the managed secret.\n\n### Create Secret Manager secrets\nfor plaintext secrets\n\nTo create a Secret Manager secret containing the plaintext secret `plaintext-secret`, run the following command: \n\n```\necho -n \"plaintext-secret\" | gcloud secrets create SECRET_NAME \\\n --replication-policy=\"automatic\" \\\n --data-file=-\n```\n\nBefore you run the previous command, replace the following variables:\n\n- \u003cvar translate=\"no\"\u003eplaintext-secret\u003c/var\u003e: Replace with your plaintext secret.\n- \u003cvar translate=\"no\"\u003eSECRET_NAME\u003c/var\u003e: Replace with a meaningful name for your secret.\n\nThe fully qualified resource name of your new secret has the following\nformat, with a \u003cvar translate=\"no\"\u003eVERSION\u003c/var\u003e of `1`: \n\n```\nprojects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION\n```\n\nFor more information about storing, versioning, and accessing secrets in\nSecret Manager, see\n[Create a secret](/secret-manager/docs/creating-and-accessing-secrets).\n\n### Replace plaintext secrets\n\nTo update your configuration files, replace each plaintext secret\nwith a reference to the `googlesecretmanager` provider and the resource\nname of the managed secret, as shown in the following example: \n\n```\nexporters:\n logging:\n loglevel: debug\n http:\n endpoint: \"https://example.com/api/metrics\"\n headers:\n X-API-Key: ${googlesecretmanager:projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION}\n```\n\n### Learn more\n\nFor more information about using the `googlesecretmanager` provider, visit the [`opentelemetry-collector-contrib` repository](https://github.com/open-telemetry/opentelemetry-collector-contrib/tree/main/confmap/provider/googlesecretmanagerprovider)."]]
