Proteja e armazene dados confidenciais com o conector do Secret Manager

O Secret Manager é um sistema de armazenamento seguro e conveniente para chaves de API, palavras-passe, certificados e outros dados confidenciais. O Secret Manager oferece um local central e uma única fonte de informações fidedignas para gerir, aceder e auditar segredos em Google Cloud.

Pode usar o conector dos Workflows para a API Secret Manager para aceder ao Secret Manager num fluxo de trabalho. Isto simplifica a integração para si, uma vez que o conector processa a formatação de pedidos e fornece métodos e argumentos para que não precise de conhecer os detalhes da API Secret Manager. O conetor também tem um comportamento incorporado para processar novas tentativas e operações de longa duração. Para saber mais sobre a utilização de conetores do Workflows, consulte o artigo Compreender os conetores.

Conceda à conta de serviço do Workflows acesso ao Secret Manager

O Secret Manager usa a gestão de identidade e de acesso (IAM) para o controlo de acesso. Para criar, gerir, listar ou aceder a um segredo, as autorizações do IAM adequadas têm de ser concedidas ao nível do projeto e ao nível do recurso individual. Para mais informações, consulte o artigo Controlo de acesso com a IAM.

Os fluxos de trabalho usam contas de serviço para dar aos fluxos de trabalho acesso aGoogle Cloud recursos. Para aceder a uma versão secreta, tem de conceder a função Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) ao segredo, projeto, pasta ou organização da conta de serviço. Saiba mais sobre a implementação de um fluxo de trabalho com uma conta de serviço gerida pelo utilizador.

Ative as APIs

Antes de usar o conetor dos Workflows para a API Secret Manager, certifique-se de que ativa as APIs Secret Manager e Workflows.

Consola

Ative as APIs

gcloud 

  gcloud services enable secretmanager.googleapis.com workflows.googleapis.com

Invocar uma chamada de conetor

Semelhante à invocação de um ponto final HTTP, uma chamada de conector requer os campos call e args. Para mais informações, consulte o artigo Invocar uma chamada de conector.

Além de usar um passo de chamada, pode chamar os métodos auxiliares numa expressão como esta:

${googleapis.secretmanager.v1.projects.secrets.versions.accessString(secret_id, version, project_id)}

Por exemplo, pode usar o método auxiliar accessString para obter os dados secretos como uma string. Isto é mais simples do que usar a API access, uma vez que os dados secretos são automaticamente descodificados para um formato de string.

Também pode usar o método auxiliar addVersionString para adicionar um novo valor secreto a um segredo existente. Isto é mais simples do que usar a API addVersion, uma vez que os dados secretos são automaticamente codificados numa string base64, o que é necessário para addVersion.

Obtenha um segredo através do conetor do Secret Manager

O fluxo de trabalho seguinte demonstra como usar o conetor do Secret Manager para obter um segredo.

YAML

# This workflow demonstrates how to use the Secret Manager connector:
# Retrieve a secret using three different methods
# Expected output: the secret data (thrice)
- init:
    assign:
      - project_id: ${sys.get_env("GOOGLE_CLOUD_PROJECT_ID")}
      - secret_id: "test-secret"  # Make sure you have this secret and it has a version of 1.
      - version: "1"
# Add data to an existing secret without base-64 encoding
- add_version_string:
    call: googleapis.secretmanager.v1.projects.secrets.addVersionString
    args:
      secret_id: ${secret_id}
      project_id: ${project_id}
      data: "a new secret"
# Retrieve the secret in string format without base-64 decoding and assume
# that the secret data is a valid UTF-8 string; if not, raise an error
- access_string_secret:
    call: googleapis.secretmanager.v1.projects.secrets.versions.accessString
    args:
      secret_id: ${secret_id}
      version: ${version}  # if not set, "latest" is used
      project_id: ${project_id}
    result: str_secret
# Retrieve the secret in string format without base-64 decoding
- access_secret:
    call: googleapis.secretmanager.v1.projects.secrets.versions.access
    args:
      name: ${"projects/" + project_id + "/secrets/" + secret_id + "/versions/" + version}
    result: base64_encoded_secret
# Retrieve the secret using positional arguments in an expression
- expression:
    assign:
      - secret_str_from_exp: ${googleapis.secretmanager.v1.projects.secrets.versions.accessString(secret_id, version, project_id)}
- the_end:
    return:
      - ${str_secret}
      - ${text.decode(base64.decode(base64_encoded_secret.payload.data))}
      - ${secret_str_from_exp}

JSON

[
  {
    "init": {
      "assign": [
        {
          "project_id": "${sys.get_env(\"GOOGLE_CLOUD_PROJECT_ID\")}"
        },
        {
          "secret_id": "test-secret"
        },
        {
          "version": "1"
        }
      ]
    }
  },
  {
    "add_version_string": {
      "call": "googleapis.secretmanager.v1.projects.secrets.addVersionString",
      "args": {
        "secret_id": "${secret_id}",
        "project_id": "${project_id}",
        "data": "a new secret"
      }
    }
  },
  {
    "access_string_secret": {
      "call": "googleapis.secretmanager.v1.projects.secrets.versions.accessString",
      "args": {
        "secret_id": "${secret_id}",
        "version": "${version}",
        "project_id": "${project_id}"
      },
      "result": "str_secret"
    }
  },
  {
    "access_secret": {
      "call": "googleapis.secretmanager.v1.projects.secrets.versions.access",
      "args": {
        "name": "${\"projects/\" + project_id + \"/secrets/\" + secret_id + \"/versions/\" + version}"
      },
      "result": "base64_encoded_secret"
    }
  },
  {
    "expression": {
      "assign": [
        {
          "secret_str_from_exp": "${googleapis.secretmanager.v1.projects.secrets.versions.accessString(secret_id, version, project_id)}"
        }
      ]
    }
  },
  {
    "the_end": {
      "return": [
        "${str_secret}",
        "${text.decode(base64.decode(base64_encoded_secret.payload.data))}",
        "${secret_str_from_exp}"
      ]
    }
  }
]

O que se segue?