O Secret Manager é um sistema de armazenamento prático e seguro para chaves de API, senhas, certificados e outros dados sensíveis. O Secret Manager oferece um local central e uma fonte única de verdade para gerenciar, acessar e auditar secrets no Google Cloud.
Use o conector do Workflows para a API Secret Manager para acessar o Secret Manager em um fluxo de trabalho. Isso simplifica a integração, porque o conector processa a formatação das solicitações e fornece métodos e argumentos para que você não precise conhecer os detalhes da API Secret Manager. O conector também tem comportamento integrado para processar novas tentativas e operações de longa duração. Para saber mais sobre o uso de conectores do Workflows, consulte Noções básicas sobre conectores.
Conceda à conta de serviço do Workflows acesso ao Secret Manager
O Secret Manager usa o Identity and Access Management (IAM) para controle de acesso. Para criar, gerenciar, listar ou acessar um secret, as permissões adequadas do IAM precisam ser concedidas no nível do projeto e do recurso individual. Para mais informações, consulte Controle de acesso com o IAM.
O Workflows usa contas de serviço para conceder acesso a recursos do Google Cloud. Para
acessar uma versão do secret, é necessário
conceder o papel de acessador de secret do Secret Manager
(roles/secretmanager.secretAccessor
) no secret, projeto, pasta ou
organização à conta de serviço. Saiba mais sobre
como implantar um fluxo de trabalho com uma conta serviço gerenciado pelo usuário.
Ative as APIs
Antes de usar o conector do Workflows para a API Secret Manager, ative as APIs Secret Manager e Workflows.
Console
gcloud
gcloud services enable secretmanager.googleapis.com workflows.googleapis.com
Invocar uma chamada de conector
Assim como a invocação de um endpoint HTTP, uma chamada de conector requer os campos call
e args
. Para mais informações, consulte
Invocar uma chamada de conector.
Além de usar uma etapa de chamada, você pode chamar os métodos auxiliares em uma expressão como esta:
${googleapis.secretmanager.v1.projects.secrets.versions.accessString(secret_id, version, project_id)}
Por exemplo, use o método auxiliar accessString
para recuperar os dados
secretos como uma string. Isso é mais simples do que usar a API access
, porque os dados secretos
são decodificados automaticamente para um formato de string.
Você também pode usar o método auxiliar addVersionString
para adicionar um novo valor de secret
a um secret existente. Isso é mais simples do que usar a API addVersion
, porque os
dados secretos são codificados automaticamente em uma string base-64, que é necessária para
addVersion
.
Extrair um secret usando o conector do Secret Manager
O fluxo de trabalho a seguir demonstra como usar o conector do Secret Manager para recuperar um secret.