Secret Manager è un sistema di archiviazione pratico e sicuro per chiavi API, password, certificati e altri dati sensibili. Secret Manager fornisce una posizione centralizzata e un'unica fonte attendibile per gestire, accedere e controllare i secret in Google Cloud.
Puoi utilizzare il connettore Workflows per l'API Secret Manager per accedere a Secret Manager all'interno di un flusso di lavoro. Ciò semplifica l'integrazione in quanto il connettore gestisce la formattazione delle richieste e fornisce metodi e argomenti in modo che non sia necessario conoscere i dettagli dell'API Secret Manager. Il connettore ha anche un comportamento integrato per la gestione dei nuovi tentativi e delle operazioni a lunga esecuzione. Per scoprire di più sull'utilizzo dei connettori Workflows, consulta Informazioni sui connettori.
Concedi all'account di servizio Workflows l'accesso a Secret Manager
Secret Manager utilizza Identity and Access Management (IAM) per il controllo dell'accesso. Per creare, gestire, elencare o accedere a un secret, è necessario concedere le autorizzazioni IAM appropriate a livello di progetto e di singola risorsa. Per ulteriori informazioni, consulta Controllo dell'accesso con IAM.
Workflows utilizza gli account di servizio per concedere ai flussi di lavoro l'accesso alle risorse Google Cloud. Per accedere a una versione del secret, devi concedere il ruolo Secret Manager Secret Accessor (roles/secretmanager.secretAccessor
) di Secret Manager all'account di servizio. Scopri di più sull'esecuzione del deployment di un flusso di lavoro con un account di servizio gestito dall'utente.
Abilita le API
Prima di utilizzare il connettore Workflows per l'API Secret Manager, assicurati di abilitare le API Secret Manager e Workflows.
Console
gcloud
gcloud services enable secretmanager.googleapis.com workflows.googleapis.com
Richiamare una chiamata connettore
Analogamente alla chiamata di un endpoint HTTP, una chiamata connettore richiede i campi call
e args
. Per ulteriori informazioni, consulta Richiamare una chiamata connettore.
Oltre a utilizzare un passaggio di chiamata, puoi chiamare i metodi helper in un'espressione come la seguente:
${googleapis.secretmanager.v1.projects.secrets.versions.accessString(secret_id, version, project_id)}
Ad esempio, puoi utilizzare il metodo helper accessString
per recuperare i dati del secret
come stringa. Questo è più semplice rispetto all'utilizzo dell'API access
, poiché i dati del secret
vengono decodificati automaticamente in un formato stringa.
Puoi anche utilizzare il metodo helper addVersionString
per aggiungere un nuovo valore del secret
a un secret esistente. Questo è più semplice rispetto all'utilizzo dell'API addVersion
, poiché i dati secret vengono automaticamente codificati in una stringa base-64, richiesta da addVersion
.
Recupera un secret utilizzando il connettore Secret Manager
Il seguente flusso di lavoro mostra come utilizzare il connettore di Secret Manager per recuperare un secret.