O Secret Manager é um sistema de armazenamento prático e seguro para chaves de API, senhas, certificados e outros dados sensíveis. Secret Manager fornece um local central e uma fonte única de verdade para gerenciar, acessar e auditar secrets no Google Cloud.
É possível usar o conector do Workflows para a API Secret Manager para acessar o Secret Manager em um fluxo de trabalho. Isso simplifica a integração para você, porque o conector processa a formatação das solicitações e fornece métodos e argumentos para que você não precise saber os detalhes da API Secret Manager. O conector também tem um comportamento integrado para processar novas tentativas e operações de longa duração. Para saber mais sobre como usar os conectores do Workflows, consulte Noções básicas sobre conectores.
Conceder à conta de serviço do Workflows acesso ao Secret Manager
O Secret Manager usa o Identity and Access Management (IAM) para controle de acesso. Para criar, gerenciar, listar ou acessar um secret, as permissões do IAM apropriadas precisam ser concedidas nos níveis do projeto e do recurso individual. Para mais informações, consulte Controle de acesso com o IAM.
O Workflows usa contas de serviço para fornecer aos fluxos de trabalho acesso aos
recursos do Google Cloud. Para
acessar uma versão do secret,
conceda o papel Acessador de Secrets do Secret Manager
(roles/secretmanager.secretAccessor
) no secret, projeto, pasta ou
organização à conta de serviço. Saiba mais sobre
como implantar um fluxo de trabalho com uma conta serviço gerenciado pelo usuário.
Ative as APIs
Antes de usar o conector do Workflows para a API Secret Manager, verifique se você ativou as APIs Secret Manager e Workflows.
Console
gcloud
gcloud services enable secretmanager.googleapis.com workflows.googleapis.com
Invocar uma chamada de conector
Semelhante à invocação de um endpoint HTTP, uma chamada de conector requer os campos call
e args
. Para mais informações, consulte Invocar uma chamada de conector.
Além de usar uma etapa de chamada, é possível chamar os métodos auxiliares em uma expressão como esta:
${googleapis.secretmanager.v1.projects.secrets.versions.accessString(secret_id, version, project_id)}
Por exemplo, use o método auxiliar accessString
para recuperar os dados do secret como uma string. Isso é mais simples do que usar a API access
, porque os dados do secret
são automaticamente decodificados para um formato de string.
Também é possível usar o método auxiliar addVersionString
para adicionar um novo valor de secret
a um secret atual. Isso é mais simples do que usar a API addVersion
, porque os
dados secretos são automaticamente codificados para uma string base-64, que é exigida por
addVersion
.
Recuperar um secret usando o conector do Secret Manager
O fluxo de trabalho a seguir demonstra como usar o conector do Secret Manager para recuperar um secret.