Halaman ini diterjemahkan oleh Cloud Translation API.

Jaminan integritas data

Halaman ini menjelaskan cara menggunakan checksum untuk menjaga dan memverifikasi integritas data rahasia Anda saat menambahkan dan mengakses versi rahasia.

Anggap checksum sebagai sidik jari unik untuk data Anda. Ini adalah kode singkat yang dihasilkan dari data rahasia menggunakan algoritma CRC32C. Jika satu bit saja dalam data rahasia Anda berubah, checksum juga akan berubah. Hal ini memungkinkan Secret Manager mendeteksi modifikasi atau kerusakan yang tidak disengaja.

Secret Manager menggunakan checksum dengan cara berikut:

Saat Anda menambahkan versi secret:
- Secret Manager menghitung checksum CRC32C data rahasia Anda.
- Checksum ini disimpan bersama dengan data rahasia.
Saat Anda mengakses versi secret:
- Secret Manager menampilkan data rahasia beserta checksum-nya.
- Anda dapat menggunakan checksum ini untuk memverifikasi bahwa data yang Anda terima sama persis dengan data yang disimpan di Secret Manager.

Untuk memastikan bahwa checksum kompatibel dengan struktur SecretPayload, checksum data rahasia harus dihitung menggunakan algoritma CRC32C dan dienkode sebagai bilangan bulat desimal. Respons SecretVersion mencakup kolom yang menunjukkan apakah server telah berhasil menerima dan memvalidasi checksum ini.

Contoh berikut menunjukkan cara kerja checksum di Secret Manager:

API

Contoh ini menggunakan curl untuk menunjukkan penggunaan API. Anda dapat membuat token akses dengan gcloud auth print-access-token. Di Compute Engine atau GKE, Anda harus melakukan autentikasi dengan cakupan cloud-platform.

Dengan data rahasia yang disimpan dalam file data, hitung checksum, menggunakan gcloud storage hash. Checksum harus dikonversi ke format desimal; checksum dienkode sebagai int64 dalam proto SecretPayload.

$ gcloud storage hash "/path/to/file.txt" --hex

Dengan data rahasia yang diteruskan di command line, hitung checksum sebagai berikut:

$ gcloud storage hash --hex cat <(echo ${SECRET_DATA})

Lakukan encoding data rahasia dengan Base64 dan simpan sebagai variabel shell.

$ SECRET_DATA=$(echo "seCr3t" | base64)

Panggil API menggunakan curl.

$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id:addVersion" \
    --request "POST" \
    --header "authorization: Bearer $(gcloud auth print-access-token)" \
    --header "content-type: application/json" \
    --data "{\"payload\": {\"data\": \"${SECRET_DATA}\", \"data_crc32c\": $CHECKSUM}}"

Saat versi rahasia diakses, SecretPayload yang ditampilkan berisi data beserta checksum-nya. Berikut adalah contoh respons:

{
  "name": "projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
  "payload": {
    "data": "YQo=",
    "dataCrc32c": "163439259"
  }
}

Di konsol, saat Anda menambahkan versi secret, checksum akan otomatis dihitung saat Anda memasukkan nilai untuk secret.

Versi rahasia yang dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK) dan dibuat sebelum 16 Juli 2021 tidak memiliki checksum yang disimpan.

Langkah berikutnya

Pelajari cara menyiapkan notifikasi pada secret.
Pelajari cara menganalisis secret dengan Inventaris Aset Cloud.

Jaminan integritas data Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

API

Langkah berikutnya

Jaminan integritas data