Merotasi secret

Halaman ini menjelaskan cara memperbarui kunci Media CDN yang digunakan untuk permintaan yang ditandatangani. Anda dapat memiliki hingga tiga kunci publik dan tiga kunci bersama validasi, dengan total enam kunci per kumpulan kunci. Untuk mencegah melebihi batas tersebut selama rotasi kunci, lihat petunjuk berikut tentang cara menghapus kunci bersama validasi dan cara menambahkan kunci.

Sebelum memulai

  1. Konfigurasi kunci bersama validasi Anda di Secret Manager.

  2. Berikan peran Secret Manager Access (roles/secretmanager.secretAccessor) ke akun layanan Media CDN.

    Konsol

    1. Di Google Cloud console, buka halaman Secret Manager.

      Buka Secret Manager

    2. Pilih secret.
    3. Di panel info, klik Tambah akun utama.

    4. Untuk New principals, masukkan akun layanan Media CDN sebagai berikut:
      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.

      Ganti PROJECT_NUMBER dengan nomor project Anda.

    5. Untuk Pilih peran, pilih Secret Manager, lalu pilih Secret Manager Secret Accessor.
    6. Klik Simpan.

    gcloud

    Gunakan perintah gcloud secrets add-iam-policy-binding:

       gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill." \
       --role="roles/secretmanager.secretAccessor"

    Ganti kode berikut:

    • PROJECT_NUMBER: nomor project Anda
    • SECRET_ID: ID secret

Menghapus secret

Konsol

  1. Di Google Cloud console, buka halaman Media CDN.

    Buka Media CDN

  2. Klik tab Keyset.

  3. Pilih kumpulan kunci yang memiliki secret yang ingin Anda hapus, lalu klik Edit.

  4. Untuk menghapus secret, di bagian Keys > Validation shared keys, klik Delete di samping nama secret.

  5. Klik Perbarui kumpulan kunci.

gcloud

Untuk menghapus kunci rahasia dari kumpulan kunci, gunakan perintah gcloud edge-cache keysets update. Hapus kumpulan kunci yang ingin Anda hapus dan tentukan kumpulan kunci yang ingin Anda simpan.

Dalam contoh berikut, KEY_VERSION_1 tidak tercantum, sedangkan KEY_VERSION_2 dan KEY_VERSION_3 tercantum. Menghapus KEY_VERSION_1 akan menghapusnya dari kumpulan kunci.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Ganti kode berikut:

  • KEYSET_NAME: nama kumpulan kunci
  • PROJECT_NUMBER: nomor project Anda
  • SECRET_ID: ID secret yang Anda perbarui
  • KEY_VERSION: versi kunci

editor teks

  1. Ekspor kumpulan kunci Anda ke file YAML. Gunakan perintah gcloud edge-cache keysets export.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Ganti kode berikut:

    • KEYSET_NAME: nama kumpulan kunci Anda—misalnya, prod-vod-keyset
    • FILENAME: nama file YAML

  2. Edit file konfigurasi kumpulan kunci yang diekspor untuk menghapus kunci rahasia. Contoh berikut menunjukkan cara menghapus kunci rahasia terlama, yang diakhiri dengan KEY_VERSION_1:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

    Ganti kode berikut:

    • PROJECT_NUMBER: nomor project Anda
    • SECRET_ID: ID secret yang Anda perbarui
    • KEY_VERSION: versi kunci

    File yang diedit terlihat mirip dengan berikut ini:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

  3. Impor kumpulan kunci yang diedit. Gunakan perintah gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml

Menambahkan secret

Konsol

  1. Di Google Cloud console, buka halaman Media CDN.

    Buka Media CDN

  2. Klik tab Keyset.

  3. Pilih kumpulan kunci yang ingin Anda tambahkan secret, lalu klik Edit.

  4. Untuk menambahkan secret, di bagian Kunci > Kunci bersama validasi, klik Secret. Kemudian, pilih secret dari daftar, masukkan secret secara manual dengan menentukan ID resource-nya, atau buat secret baru, lalu pilih secret tersebut.

  5. Pilih versi secret dari daftar atau buat versi secret baru, lalu pilih versi secret tersebut.

  6. Klik Perbarui kumpulan kunci.

gcloud

Untuk menambahkan kunci rahasia ke kumpulan kunci, gunakan perintah gcloud edge-cache keysets update. Tentukan kumpulan kunci yang Anda miliki dan kumpulan kunci yang ingin ditambahkan.

Dalam contoh berikut, KEY_VERSION_1 sebelumnya telah dihapus dan KEY_VERSION_4 adalah kumpulan kunci yang ditambahkan. Mencantumkan KEY_VERSION_4 selain KEY_VERSION_2 dan KEY_VERSION_3 akan menambahkannya ke kumpulan kunci.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Ganti kode berikut:

  • KEYSET_NAME: nama kumpulan kunci
  • PROJECT_NUMBER: nomor project Anda
  • SECRET_ID: ID secret yang Anda perbarui
  • KEY_VERSION: versi kunci

editor teks

  1. Ekspor kumpulan kunci Anda ke file YAML. Gunakan perintah gcloud edge-cache keysets export.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Ganti kode berikut:

    • KEYSET_NAME: nama kumpulan kunci Anda
    • FILENAME: nama file YAML

  2. Dalam file konfigurasi kumpulan kunci yang diekspor, tambahkan baris secretVersion baru yang menyertakan versi kunci baru, mirip dengan berikut:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"

  3. Impor kumpulan kunci yang diedit. Gunakan perintah gcloud edge-cache keysets import:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml