Se usó la API de Cloud Translation para traducir esta página.

Garantía de integridad de los datos

En este tema, se describe cómo usar sumas de comprobación para mantener y verificar la integridad de los datos de tu secreto cuando agregas y accedes a versiones secretas.

Cuando agregas una versión de secreto, tienes la opción de pasar una suma de verificación CRC32C con los datos, que Secret Manager verifica para garantizar la integridad de los datos.

La suma de comprobación debe estar codificada en formato decimal para que coincida con su codificación int64 en SecretPayload. El elemento SecretVersion que se muestra indica si el servidor recibió la suma de comprobación.

API

En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

Con los datos secretos almacenados en un archivo de datos, calcula la suma de comprobación con gcloud storage hash. La suma de comprobación se debe convertir al formato decimal; se codifica como int64 en el proto SecretPayload.

$ gcloud storage hash "/path/to/file.txt" --hex

Con los datos secretos pasados en la línea de comandos, calcula la suma de comprobación de la siguiente manera:

$ gcloud storage hash --hex cat <(echo ${SECRET_DATA})

Codifica los datos secretos en Base64 y guárdalos como una variable de shell.

$ SECRET_DATA=$(echo "seCr3t" | base64)

Invoca a la API mediante curl.

$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id:addVersion" \
    --request "POST" \
    --header "authorization: Bearer $(gcloud auth print-access-token)" \
    --header "content-type: application/json" \
    --data "{\"payload\": {\"data\": \"${SECRET_DATA}\", \"data_crc32c\": $CHECKSUM}}"

Cuando se accede a la versión del secreto, la SecretPayload que se muestra contiene los datos junto con su suma de verificación. Respuesta de muestra:

{
  "name": "projects/123/secrets/my_secret/versions/2",
  "payload": {
    "data": "YQo=",
    "dataCrc32c": "163439259"
  }
}

En la consola , cuando agregas una versión del secreto, la suma de comprobación se calcula automáticamente cuando ingresas un valor para el secreto.

Las versiones secretas encriptadas con claves de encriptación administradas por el cliente (CMEK) y creadas antes del 16 de julio de 2021 no tienen sumas de comprobación almacenadas, por lo que no se muestra una suma de comprobación cuando se accede a ellas.

¿Qué sigue?

Obtén información para configurar notificaciones en un secreto.
Obtén información para analizar secretos con Cloud Asset Inventory.