Secret Manager è un sistema di archiviazione pratico e sicuro per chiavi API, password, certificati e altri dati sensibili. Secret Manager offre una posizione centralizzata e un'unica fonte attendibile per gestire, accedere e controllare i secret in Google Cloud.
Puoi utilizzare il connettore di Workflows per l'API Secret Manager per accedere a Secret Manager all'interno di un flusso di lavoro. Ciò semplifica l'integrazione, poiché il connettore gestisce la formattazione delle richieste e fornisce metodi e argomenti in modo che non sia necessario conoscere i dettagli dell'API Secret Manager. Il connettore ha anche un comportamento integrato per la gestione dei nuovi tentativi e delle operazioni a lunga esecuzione. Per scoprire di più sull'utilizzo dei connettori Workflows, consulta Informazioni sui connettori.
Concedi all'account di servizio Workflows l'accesso a Secret Manager
Secret Manager utilizza Identity and Access Management (IAM) per il controllo degli accessi. Per creare, gestire, elencare o accedere a un secret, è necessario concedere le autorizzazioni IAM appropriate a livello di progetto e di singola risorsa. Per ulteriori informazioni, consulta Controllo dell'accesso con IAM.
Workflows utilizza account di servizio per concedere ai flussi di lavoro l'accesso alle risorse di Google Cloud. Per accedere a una versione del secret, devi concedere all'account di servizio il ruolo Funzione di accesso ai secret di Secret Manager (roles/secretmanager.secretAccessor
) nel secret, nel progetto, nella cartella o nell'organizzazione. Scopri di più su come eseguire il deployment di un flusso di lavoro con un account di servizio gestito dall'utente.
Abilita le API
Prima di utilizzare il connettore Workflows per l'API Secret Manager, assicurati di abilitare le API Secret Manager e Workflows.
Console
gcloud
gcloud services enable secretmanager.googleapis.com workflows.googleapis.com
Richiama una chiamata connettore
In modo analogo al richiamo di un endpoint HTTP, una chiamata al connettore richiede i campi call
e args
. Per ulteriori informazioni, consulta Richiamare una chiamata del connettore.
Oltre a utilizzare un passaggio di chiamata, puoi chiamare i metodi helper in un'espressione come la seguente:
${googleapis.secretmanager.v1.projects.secrets.versions.accessString(secret_id, version, project_id)}
Ad esempio, puoi utilizzare il metodo helper accessString
per recuperare i dati del secret
come stringa. Questa operazione è più semplice rispetto all'utilizzo dell'API access
, poiché i dati secret
vengono decodificati automaticamente in formato stringa.
Puoi anche utilizzare il metodo helper addVersionString
per aggiungere un nuovo valore del secret
a un secret esistente. Questa operazione è più semplice rispetto all'utilizzo dell'API addVersion
, poiché i dati secret
vengono codificati automaticamente in una stringa base-64, richiesta da
addVersion
.
Recupera un secret utilizzando il connettore Secret Manager
Il flusso di lavoro seguente illustra come utilizzare il connettore Secret Manager per recuperare un secret.