Secret Manager ist ein sicheres und praktisches Speichersystem für API-Schlüssel, Passwörter, Zertifikate und andere sensible Daten. Secret Manager bietet einen zentralen Ort und eine Single Source Of Truth, um Secrets in Google Cloud zu verwalten, darauf zuzugreifen und sie zu prüfen.
Sie können den Connector für die Secret Manager API von Workflows verwenden, um innerhalb eines Workflows auf Secret Manager zuzugreifen. Dies vereinfacht die Einbindung, da der Connector die Formatierung von Anfragen übernimmt und Methoden und Argumente bereitstellt, sodass Sie die Details der Secret Manager API nicht kennen müssen. Der Connector verfügt auch über ein integriertes Verhalten zur Verarbeitung von Wiederholungsversuchen und lang andauernden Vorgängen. Weitere Informationen zur Verwendung von Workflows-Connectors finden Sie unter Connectors verstehen.
Dem Workflows-Dienstkonto Zugriff auf Secret Manager gewähren
Secret Manager verwendet die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) für die Zugriffssteuerung. Zum Erstellen, Verwalten, Auflisten oder Aufrufen eines Secrets müssen die entsprechenden IAM-Berechtigungen auf Projektebene und auf der einzelnen Ressourcenebene gewährt werden. Weitere Informationen finden Sie unter Zugriffssteuerung mit IAM.
Workflows verwendet Dienstkonten, um Workflows Zugriff auf Google Cloud-Ressourcen zu gewähren. Für den Zugriff auf eine Secret-Version müssen Sie dem Dienstkonto die Rolle „Zugriffsfunktion für Secret Manager-Secrets“ (roles/secretmanager.secretAccessor
) für das Secret, das Projekt, den Ordner oder die Organisation zuweisen. Weitere Informationen zum Bereitstellen eines Workflows mit einem vom Nutzer verwalteten Dienstkonto
APIs aktivieren
Bevor Sie den Workflows-Connector für die Secret Manager API verwenden, müssen Sie die Secret Manager API und die Workflows APIs aktivieren.
Console
gcloud
gcloud services enable secretmanager.googleapis.com workflows.googleapis.com
Connector-Aufruf aufrufen
Ähnlich wie beim Aufrufen eines HTTP-Endpunkts sind für einen Connector-Aufruf die Felder call
und args
erforderlich. Weitere Informationen finden Sie unter Connector-Aufruf aufrufen.
Sie können nicht nur einen Aufrufschritt verwenden, sondern auch die Hilfsmethoden in einem Ausdruck wie diesem aufrufen:
${googleapis.secretmanager.v1.projects.secrets.versions.accessString(secret_id, version, project_id)}
Sie können beispielsweise die Hilfsmethode accessString
verwenden, um die Secret-Daten als String abzurufen. Dies ist einfacher als die Verwendung der access
API, da die Secret-Daten automatisch in ein Stringformat decodiert werden.
Sie können auch die Hilfsmethode addVersionString
verwenden, um einem vorhandenen Secret einen neuen Secret-Wert hinzuzufügen. Dies ist einfacher als die Verwendung der addVersion
API, da die Secret-Daten automatisch in einen Base64-String codiert werden, der für addVersion
erforderlich ist.
Secret mit dem Secret Manager-Connector abrufen
Im folgenden Workflow wird gezeigt, wie Sie mit dem Secret Manager-Connector ein Secret abrufen.