O Secret Manager é um sistema de armazenamento prático e seguro para Chaves de API, senhas, certificados e outros dados sensíveis. Secret Manager oferece um local central e uma fonte confiável para gerenciar, acessar e auditar secrets no Google Cloud.
Você pode usar o Workflows conector para a API Secret Manager para acessar o Secret Manager em um fluxo de trabalho. Isso simplifica a para você, já que o conector lida com a formatação do solicitações e fornece métodos e argumentos para que você não precise saber os detalhes da API Secret Manager. O conector também tem comportamento integrado para lidar com novas tentativas e operações de longa duração. Para saber mais sobre o uso dos Conectores do Workflows, consulte Entenda os conectores.
Conceder à conta de serviço do Workflows acesso ao Secret Manager
O Secret Manager usa o Identity and Access Management (IAM) para o acesso controle Para criar, gerenciar, listar ou acessar um secret, o É preciso conceder permissões do IAM no nível do projeto recursos individuais. Para mais informações, consulte Controle de acesso com o IAM.
O Workflows usa contas de serviço para dar aos fluxos de trabalho acesso a
recursos do Google Cloud. Para
acessar uma versão do secret, será preciso
conceda o papel de acessador de secrets do Secret Manager
(roles/secretmanager.secretAccessor
) do secret, projeto, pasta ou
organização para a conta de serviço. Saiba mais sobre
Implantar um fluxo de trabalho com uma conta serviço gerenciado pelo usuário.
Ative as APIs
Antes de usar o Workflows para o para a API Secret Manager, ative APIs Secret Manager e Workflows.
Console
gcloud
gcloud services enable secretmanager.googleapis.com workflows.googleapis.com
Invocar uma chamada de conector
Semelhante à invocação de um endpoint HTTP, uma chamada de conector requer call
e args
campos. Para mais informações, consulte
Invoque uma chamada de conector.
Além de usar uma etapa de chamada, você pode chamar os métodos auxiliares em uma expressão semelhante a esta:
${googleapis.secretmanager.v1.projects.secrets.versions.accessString(secret_id, version, project_id)}
Por exemplo, use o método auxiliar accessString
para recuperar o secret
dados como uma string. Isso é mais simples do que usar a API access
como os dados do secret
é automaticamente decodificado para um formato de string.
Também é possível usar o método auxiliar addVersionString
para adicionar um novo valor de secret
a um secret atual. Isso é mais simples do que usar a API addVersion
como o
dados secretos são automaticamente codificados para uma string base-64, que é exigida
addVersion
:
Recuperar um secret usando o conector do Secret Manager
O fluxo de trabalho a seguir demonstra como usar o Secret Manager conector para recuperar uma chave secreta.