En este documento, se describe cómo proteger los datos sensibles que quieres especificar para un trabajo por lotes con los Secrets de Secret Manager.
Secretos de Secret Manager proteger datos sensibles mediante encriptación. En un trabajo por lotes, puedes especificar uno o más secretos existentes para pasar de forma segura los datos sensibles que contienen, lo siguiente:
Definir de forma segura variables de entorno personalizadas que contienen datos sensibles.
Especifica de forma segura las credenciales de acceso para un Registro de Docker para permitir que los ejecutables de un trabajo accedan a sus imágenes de contenedor privadas.
Antes de comenzar
- Si nunca usaste Batch, revisa Comienza a usar Batch y habilitar Batch completando el requisitos previos para los proyectos y usuarios.
- Crea un secreto o identificar un secreto de los datos sensibles que quieres especificar de forma segura para un trabajo.
-
Para obtener los permisos que necesitas para crear un trabajo, pídele a tu administrador que te otorgue los siguientes roles de IAM:
-
Editor de trabajos por lotes (
roles/batch.jobsEditor
) en el proyecto -
Usuario de cuenta de servicio (
roles/iam.serviceAccountUser
) en la cuenta de servicio del trabajo, que, de forma predeterminada, es la cuenta de servicio predeterminada de Compute Engine
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
-
Editor de trabajos por lotes (
-
Para garantizar que la cuenta de servicio del trabajo tenga los permisos necesarios para acceder a los secretos, pídele a tu administrador que le otorgue a la cuenta de servicio del trabajo el rol de IAM de Descriptor de acceso a secretos de Secret Manager (
roles/secretmanager.secretAccessor
) en el secreto.
Pasa datos sensibles a variables de entorno personalizadas de forma segura
Para pasar de forma segura datos sensibles de los secretos de Secret Manager a variables de entorno personalizadas, debes definir cada variable de entorno en el subcampo de variables secretas (secretVariables
) de un entorno y especificar un secreto para cada valor.
Cada vez que especificas un secreto en un trabajo, debes darle el formato de una ruta de acceso.
a una versión del Secret:
projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
Puedes crear un trabajo que defina las variables del Secret
con gcloud CLI, la API de Batch, Java o Python.
En el siguiente ejemplo, se explica cómo crear un trabajo que
define y usa una variable secreta para el
entorno de todos los ejecutables (subcampo environment
de taskSpec
).
gcloud
Crea un archivo JSON que especifique los detalles de configuración del trabajo y incluya el subcampo
secretVariables
para uno o más entornos.Por ejemplo, para crear un trabajo de secuencia de comandos básico que use un en el entorno para todos los ejecutables, crea un archivo JSON con el siguiente contenido:
{ "taskGroups": [ { "taskSpec": { "runnables": [ { "script": { "text": "echo This is the secret: ${SECRET_VARIABLE_NAME}" } } ], "environment": { "secretVariables": { "{SECRET_VARIABLE_NAME}": "projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION" } } } } ], "logsPolicy": { "destination": "CLOUD_LOGGING" } }
Reemplaza lo siguiente:
SECRET_VARIABLE_NAME
: Es el nombre de la variable secreta. Por convención, los nombres de variable de entorno mayúsculas.Para acceder de forma segura a los datos sensibles del secreto de Secret Manager de la variable, especifica el nombre de esta variable en los elementos ejecutables de esta tarea. Todas las instancias de la variable secreta pueden acceder ejecutables que se encuentran en el mismo entorno en la que defines la variable del secreto.
PROJECT_ID
: Es el ID del proyecto.SECRET_NAME
: Es el nombre de un secreto existente de Secret Manager.VERSION
: el versión del Secret especificado que contiene los datos que deseas para pasar al trabajo. Puede ser el número de versión olatest
.
Para crear y ejecutar la tarea, usa el comando
gcloud batch jobs submit
:gcloud batch jobs submit JOB_NAME \ --location LOCATION \ --config JSON_CONFIGURATION_FILE
Reemplaza lo siguiente:
JOB_NAME
: Es el nombre del trabajo.LOCATION
: Es la ubicación. del trabajo.JSON_CONFIGURATION_FILE
: Es la ruta de acceso a un archivo JSON con los detalles de configuración de la tarea.
API
Realiza una solicitud POST
al
Método jobs.create
que especifica el subcampo secretVariables
para uno o más entornos.
Por ejemplo, para crear un trabajo de secuencia de comandos básico que use un en el entorno para todos los ejecutables, realiza la siguiente solicitud:
POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME
{
"taskGroups": [
{
"taskSpec": {
"runnables": [
{
"script": {
"text": "echo This is the secret: ${SECRET_VARIABLE_NAME}"
}
}
],
"environment": {
"secretVariables": {
"{SECRET_VARIABLE_NAME}": "projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION"
}
}
}
}
],
"logsPolicy": {
"destination": "CLOUD_LOGGING"
}
}
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto.LOCATION
: Es la ubicación. del trabajo.JOB_NAME
: Es el nombre del trabajo.SECRET_VARIABLE_NAME
: Es el nombre de la variable secreta. Por convención, los nombres de variable de entorno mayúsculas.Para acceder de forma segura a los datos sensibles desde el Secret Manager, especifica el nombre de esta variable en esta ejecutables del trabajo. Todas las instancias de la variable secreta pueden acceder ejecutables que se encuentran en el mismo entorno en la que defines la variable del secreto.
SECRET_NAME
: Es el nombre de un secreto existente de Secret Manager.VERSION
: el versión del Secret especificado que contiene los datos que deseas para pasar al trabajo. Puede ser el número de versión olatest
.
Java
Python
Accede de forma segura a imágenes de contenedor que requieran credenciales del registro de Docker
Para usar una imagen de contenedor de un registro privado de Docker, un ejecutable debe especificar credenciales de acceso que le permitan acceder a ese registro de Docker.
En particular, para cualquier contenedor que se pueda ejecutar con el
Campo de URI de la imagen (imageUri
)
configurado en una imagen de un registro privado de Docker, debes especificar
credenciales necesarias para acceder al registro de Docker con el
campo nombre de usuario (username
) y
campo de contraseña (password
).
Para proteger las credenciales sensibles de un registro de Docker, especifica secretos existentes que contengan la información en lugar de definir estos campos directamente.
Cada vez que especificas un secreto en un trabajo, debes darle el formato de una ruta de acceso.
a una versión del Secret:
projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
Puedes crear un trabajo que use imágenes de contenedor de un registro privado de Docker con gcloud CLI o la API de Batch. En el siguiente ejemplo, se explica cómo crear un trabajo que use un contenedor de un registro privado de Docker especificando directamente el nombre de usuario y la contraseña como secreto.
gcloud
Crea un archivo JSON que especifique los detalles de configuración del trabajo. Para cualquier contenedor ejecutable que use imágenes de un contenedor Docker, incluye las credenciales necesarias para acceder a él. en los campos
username
ypassword
.Por ejemplo, para crear un trabajo de contenedor básico que especifique una imagen de un registro privado de Docker, crea un archivo JSON con el siguiente contenido:
{ "taskGroups": [ { "taskSpec": { "runnables": [ { "container": { "imageUri": "PRIVATE_IMAGE_URI", "commands": [ "-c", "echo This runnable uses a private image." ], "username": "USERNAME", "password": "PASSWORD" } } ], } } ], "logsPolicy": { "destination": "CLOUD_LOGGING" } }
Reemplaza lo siguiente:
PRIVATE_IMAGE_URI
: Es el URI de imagen de una imagen de contenedor de un registro privado de Docker. Si esta imagen requiere cualquier otra configuración de contenedor debes incluirlos también.USERNAME
: el nombre de usuario para el registro privado de Docker, que se puede especificar como secreto o directamente.PASSWORD
: el contraseña para el registro privado de Docker, que se puede especificar como secreto (recomendado) o directamente.Por ejemplo, para especificar la contraseña como un secreto, establece
PASSWORD
por lo siguiente:projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto.SECRET_NAME
: Es el nombre de un secreto de Secret Manager existente.VERSION
: el versión del Secret especificado que contiene los datos que deseas para pasar al trabajo. Puede ser el número de versión olatest
.
Para crear y ejecutar el trabajo, usa el Comando
gcloud batch jobs submit
:gcloud batch jobs submit JOB_NAME \ --location LOCATION \ --config JSON_CONFIGURATION_FILE
Reemplaza lo siguiente:
JOB_NAME
: Es el nombre del trabajo.LOCATION
: Es la ubicación del trabajo.JSON_CONFIGURATION_FILE
: Es la ruta de acceso para un JSON. con los detalles de configuración del trabajo.
API
Realiza una solicitud POST
al método jobs.create
.
Para cualquier contenedor ejecutable que use imágenes de un contenedor
Docker, incluye las credenciales necesarias para acceder a él.
en los campos username
y password
.
Por ejemplo, para crear un trabajo de contenedor básico que especifique una imagen de un registro privado de Docker, realiza la siguiente solicitud:
POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME
{
"taskGroups": [
{
"taskSpec": {
"runnables": [
{
"container": {
"imageUri": "PRIVATE_IMAGE_URI",
"commands": [
"-c",
"echo This runnable uses a private image."
],
"username": "USERNAME",
"password": "PASSWORD"
}
}
],
}
}
],
"logsPolicy": {
"destination": "CLOUD_LOGGING"
}
}
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto.LOCATION
: Es la ubicación. del trabajo.JOB_NAME
: Es el nombre del trabajo.PRIVATE_IMAGE_URI
: Es el URI de imagen para un de contenedor desde un registro privado de Docker. Si esta imagen requiere cualquier otra configuración de contenedor debes incluirlos también.USERNAME
: el nombre de usuario para el registro privado de Docker, que se puede especificar como secreto o directamente.PASSWORD
: el contraseña para el registro privado de Docker, que se puede especificar como secreto (recomendado) o directamente.Por ejemplo, para especificar la contraseña como un secreto, establece
PASSWORD
por lo siguiente:projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto.SECRET_NAME
: Es el nombre de un secreto de Secret Manager existente.VERSION
: el versión del Secret especificado que contiene los datos que deseas para pasar al trabajo. Puede ser el número de versión olatest
.
¿Qué sigue?
Si tienes problemas para crear o ejecutar una tarea, consulta Solución de problemas.
Obtén más información sobre las variables de entorno.
Obtener más información sobre el administrador de secretos.
Obtén más información sobre las opciones de creación de trabajos.