Löschen von Secret-Versionen verzögern

Auf dieser Seite wird beschrieben, wie Sie das verzögerte Löschen von Secret-Versionen einrichten, die Verzögerungszeit für das Löschen aktualisieren oder entfernen und Secret-Versionen wiederherstellen, die zum Löschen vorgesehen sind.

Wenn ein Nutzer standardmäßig eine Secret-Version in Secret Manager löscht, wird das Secret-Material sofort und dauerhaft gelöscht. Nutzer mit der Rolle „Secret Manager Admin“ können jedoch das verzögerte Löschen von Secret-Versionen einrichten. Dadurch wird sichergestellt, dass die Secret-Version nicht sofort auf Anfrage gelöscht wird und für einen konfigurierbaren Zeitraum wiederhergestellt werden kann.

Wenn das verzögerte Löschen für das Secret aktiviert ist und Sie eine Secret-Version löschen, geschieht Folgendes:

  • Die Version ist deaktiviert und kann daher nicht verwendet werden.

  • Das System plant die Version für das endgültige Löschen am Ende des Verzögerungszeitraums ein.

  • Nach Ablauf des Verzögerungszeitraums wird die Secret-Version endgültig und unwiderruflich gelöscht.

Vorteile

Diese Funktion bietet folgende Vorteile:

  • Eine zusätzliche Schutzebene gegen versehentliche oder böswillige Zerstörung von kritischem vertraulichem Material. Jeder Nutzer mit der Rolle Secret Manager Secret Version Manager kann eine Secret-Version löschen. Diese Aktion kann nicht rückgängig gemacht werden. Durch das Einrichten des verzögerten Löschens können Sie das sofortige Löschen von Secret-Versionen verhindern. Sie können Nutzern den Mindestzugriff gewähren, der zum Verwalten des Lebenszyklus von Secret-Versionen erforderlich ist. So können Sie die versehentliche Vernichtung sensibler Daten überwachen und verhindern.

  • Wenn eine Secret-Version zerstört wird, wird eine SECRET_VERSION_DESTROY_SCHEDULED-Benachrichtigung an die Pub/Sub-Themen gesendet, die für das Secret konfiguriert sind. Nutzer mit der Rolle „Secret Manager-Administrator“ können das geplante Löschen abbrechen und die Secret-Version wiederherstellen, indem sie die Secret-Version entweder aktivieren oder deaktivieren.

Hinweise

  1. Enable the Secret Manager API.

    Enable the API

  2. Richten Sie die Authentifizierung ein.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

      In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

      REST

      Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

        After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.

      Erforderliche Rollen

      Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Secret Manager Admin (roles/secretmanager.admin) für ein Secret zuzuweisen, damit Sie die Berechtigungen erhalten, die Sie zum Einrichten des verzögerten Löschens von Secret-Versionen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

      Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

      Verzögertes Löschen einrichten

      Sie können das verzögerte Löschen einer Secret-Version aktivieren, wenn Sie das Secret erstellen oder aktualisieren. Verwenden Sie eine der folgenden Methoden, um die verzögerte Zerstörung einzurichten:

      Console

      1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

        Zu Secret Manager

      2. Klicken Sie auf der Seite Secret Manager auf Secret erstellen.

      3. Geben Sie auf der Seite Secret erstellen im Feld Name einen Namen für das Secret ein.

      4. Geben Sie einen Wert für das Secret ein (z. B. abcd1234). Sie können auch eine Textdatei mit dem Secret-Wert über die Option Datei hochladen hochladen. Durch diese Aktion wird die Secret-Version automatisch erstellt.

      5. Rufen Sie den Abschnitt Löschen von Secret-Versionen verzögern auf und klicken Sie das Kästchen Dauer für verzögertes Löschen festlegen an.

      6. Geben Sie im Feld Dauer der Löschverzögerung die Dauer in Tagen ein. Der Mindestwert, den Sie eingeben können, ist 1 Tag. Der Höchstwert beträgt 1.000 Tage.

      7. Klicken Sie auf Secret erstellen.

        Wenn Sie diese Funktion für ein vorhandenes Secret aktivieren möchten, rufen Sie die Seite Secret bearbeiten auf und konfigurieren Sie die Dauer der Löschverzögerung.

      gcloud

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • SECRET_ID: Die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret.
      • TTL_DURATION: Die Dauer der Verzögerung beim Löschen der Secret-Versionen. Sie können die Dauer in einem beliebigen Format eingeben, z. B. in Tagen, Stunden oder Sekunden. Die Mindestdauer beträgt 1 Tag, die maximale Dauer kann auf 1.000 Tage festgelegt werden.

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION

      Windows (PowerShell)

      gcloud secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION

      Windows (cmd.exe)

      gcloud secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION

      Die Antwort enthält das neu erstellte Secret.

      REST

      Ersetzen Sie diese Werte in den folgenden Anfragedaten:

      • PROJECT_ID: die Google Cloud Projekt-ID.
      • SECRET_ID: Die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret.
      • TTL_DURATION: Die Dauer der Verzögerung beim Löschen der Secret-Versionen. Geben Sie die Dauer in Sekunden ein. Die Mindestdauer beträgt 1 Tag, die maximale Dauer kann auf 1.000 Tage festgelegt werden.

      HTTP-Methode und URL:

      POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID

      JSON-Text der Anfrage:

      {"replication": {"automatic": {}}, "version_destroy_ttl":"TTL_DURATION"}

      Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

      curl

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      curl -X POST \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d @request.json \
           "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID"

      PowerShell

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
          -Method POST `
          -Headers $headers `
          -ContentType: "application/json; charset=utf-8" `
          -InFile request.json `
          -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID" | Select-Object -Expand Content

      Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

      {
"name":"projects/PROJECT_ID/secrets/SECRET_ID",
"replication":{
   "automatic":{

   }
},
"createTime":"2023-10-16T17:10:16.345401Z",
"etag":"\"1607d90ee3d84c\"",
"versionDestroyTtl":"TTL_DURATION"
}

      Die verzögerte Vernichtung gilt in den folgenden Szenarien nicht:

      • Wenn ein Secret gelöscht wird, werden alle Secret-Materialien und zugehörigen Secret-Versionen sofort gelöscht.

      • Wenn für das Secret ein Ablaufdatum festgelegt ist und das Secret abläuft, werden alle Secret-Versionen sofort gelöscht, auch wenn das verzögerte Löschen für das Secret aktiviert ist.

      Dauer der Löschverzögerung aktualisieren

      Verwenden Sie eine der folgenden Methoden, um die Dauer der Löschverzögerung zu aktualisieren:

      Console

      1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

        Zu Secret Manager

      2. Sie haben folgende Möglichkeiten, ein Secret zu bearbeiten:

        • Klicken Sie für das Geheimnis, das Sie bearbeiten möchten, auf Aktionen und dann auf Bearbeiten.

        • Klicken Sie auf den Namen des Secrets, um die Detailseite des Secrets aufzurufen. Klicken Sie auf der Seite mit den Secret-Details auf Secret bearbeiten.

      3. Rufen Sie auf der Seite Secret bearbeiten den Bereich Löschen der Secret-Version verzögern auf. Aktualisieren Sie die Verzögerungsdauer nach Bedarf und klicken Sie dann auf Geheimnis aktualisieren.

      gcloud

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
      • TTL_DURATION: Die Dauer der Verzögerung beim Löschen der Secret-Versionen.

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION

      Windows (PowerShell)

      gcloud secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION

      Windows (cmd.exe)

      gcloud secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION

      Die Antwort enthält das neu erstellte Secret.

      REST

      Ersetzen Sie diese Werte in den folgenden Anfragedaten:

      • PROJECT_ID: die Google Cloud Projekt-ID
      • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
      • TTL_DURATION: Die Dauer der Verzögerung beim Löschen der Secret-Versionen.

      HTTP-Methode und URL:

      PATCH https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl

      JSON-Text der Anfrage:

      {
  "version_destroy_ttl":"TTL_DURATION"
}

      Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

      curl

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      curl -X PATCH \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d @request.json \
           "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl"

      PowerShell

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
          -Method PATCH `
          -Headers $headers `
          -ContentType: "application/json; charset=utf-8" `
          -InFile request.json `
          -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl" | Select-Object -Expand Content

      Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

      {
  "name":"projects/PROJECT_ID/secrets/SECRET_ID",
  "replication":{
     "automatic":{

     }
  },
  "createTime":"2023-10-16T17:10:16.345401Z",
  "etag":"\"1607d90ee3d84c\"",
  "versionDestroyTtl":"TTL_DURATION"
}

      Die Secret-Versionen, die von der Verzögerungsdauer für das Löschen betroffen sind, hängen von Folgendem ab:

      • Wenn das verzögerte Löschen zum ersten Mal für das Secret festgelegt wird, wirkt sich die Verzögerungszeit für das Löschen auf alle aktiven (aktivierten und deaktivierten) Versionen des Secrets aus.

      • Wenn die Dauer der Verzögerung beim Löschen aktualisiert oder entfernt wird, wirken sich die Änderungen nur auf neue Secret-Versionen aus, bei denen die Löschaktion versucht wird. Die Secret-Versionen, die bereits zum Löschen geplant sind, werden weiterhin zum geplanten Löschtermin gelöscht.

      Verzögertes Löschen deaktivieren

      Sie haben folgende Möglichkeiten, die verzögerte Vernichtung von Versionen zu deaktivieren:

      Console

      1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

        Zu Secret Manager

      2. Sie haben folgende Möglichkeiten, ein Secret zu bearbeiten:

        • Klicken Sie für das Geheimnis, das Sie bearbeiten möchten, auf Aktionen und dann auf Bearbeiten.

        • Klicken Sie auf den Namen des Secrets, um die Detailseite des Secrets aufzurufen. Klicken Sie auf der Seite mit den Secret-Details auf Secret bearbeiten.

      3. Rufen Sie auf der Seite Secret bearbeiten den Bereich Löschen der Secret-Version verzögern auf. Entfernen Sie das Häkchen für Dauer der Löschverzögerung festlegen und klicken Sie dann auf Secret aktualisieren.

      gcloud

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud secrets update SECRET_ID --remove-version-destroy-ttl

      Windows (PowerShell)

      gcloud secrets update SECRET_ID --remove-version-destroy-ttl

      Windows (cmd.exe)

      gcloud secrets update SECRET_ID --remove-version-destroy-ttl

      REST

      Ersetzen Sie diese Werte in den folgenden Anfragedaten:

      • PROJECT_ID: die Google Cloud Projekt-ID
      • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

      HTTP-Methode und URL:

      PATCH https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl

      JSON-Text der Anfrage:

      {}

      Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

      curl

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      curl -X PATCH \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d @request.json \
           "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl"

      PowerShell

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
          -Method PATCH `
          -Headers $headers `
          -ContentType: "application/json; charset=utf-8" `
          -InFile request.json `
          -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl" | Select-Object -Expand Content

      Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

      {
  "name":"projects/PROJECT_ID/secrets/SECRET_ID",
  "replication":{
     "automatic":{

     }
  },
  "createTime":"2023-10-16T17:10:16.345401Z",
  "etag":"\"1607d90ee3d84c\""
}

      Löschverzögerung für Secret-Versionen planen

      Verwenden Sie eine der folgenden Methoden, um das verzögerte Löschen einer Secret-Version zu planen:

      Console

      1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

        Zu Secret Manager

      2. Klicken Sie auf der Seite Secret Manager auf ein Secret, um auf seine Versionen zuzugreifen. Das verzögerte Löschen von Versionen muss für dieses Secret konfiguriert werden.

      3. Wählen Sie auf der Seite mit den Secret-Details auf dem Tab Versionen die Secret-Version aus, die Sie löschen möchten.

      4. Klicken Sie auf Aktionen und dann auf Zerstören.

      5. Geben Sie im angezeigten Bestätigungsdialogfeld die Secret-ID ein, um den Vorgang zu bestätigen, und klicken Sie dann auf Ausgewählte Versionen zum Löschen vormerken.

      gcloud

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • SECRET_VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version
      • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID

      Windows (PowerShell)

      gcloud secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID

      Windows (cmd.exe)

      gcloud secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID

      REST

      Ersetzen Sie diese Werte in den folgenden Anfragedaten:

      • PROJECT_ID: die Google Cloud Projekt-ID
      • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
      • VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version

      HTTP-Methode und URL:

      POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:destroy

      JSON-Text der Anfrage:

      {}

      Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

      curl

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      curl -X POST \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d @request.json \
           "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:destroy"

      PowerShell

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
          -Method POST `
          -Headers $headers `
          -ContentType: "application/json; charset=utf-8" `
          -InFile request.json `
          -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:destroy" | Select-Object -Expand Content

      Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

      {
  "name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
  "createTime":"2023-10-16T17:21:55.920036Z",
  "state":"DISABLED",
  "replicationStatus":{
     "automatic":{

     }
  },
  "etag":"\"1607d8b2fc1cf4\"",
  "scheduledDestroyTime":"2023-10-16T17:26:57.459395960Z"
}

      Die Secret-Version wird sofort deaktiviert und zum Löschen eingeplant, sobald die Verzögerungszeit für das Löschen abgelaufen ist. Das genaue Datum und die genaue Uhrzeit, zu der die Version gelöscht wird, finden Sie in der Tabelle Versionen in der Spalte Geplant für Löschung am.

      Secret-Versionen wiederherstellen

      Sie können eine Secret-Version, die zum Löschen vorgemerkt ist, wiederherstellen, indem Sie sie aktivieren oder deaktivieren.

      Secret-Version aktivieren, die zum Löschen vorgemerkt ist

      Verwenden Sie eine der folgenden Methoden, um eine Secret-Version zu aktivieren, die für die Vernichtung geplant ist:

      Console

      1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

        Zu Secret Manager

      2. Klicken Sie auf der Seite Secret Manager auf ein Secret, um auf seine Versionen zuzugreifen.

      3. Wählen Sie auf der Seite mit den Secret-Details auf dem Tab Versionen die Secret-Version aus, die für die Vernichtung geplant ist.

      4. Klicken Sie auf Aktionen und dann auf Aktivieren.

      5. Klicken Sie im angezeigten Bestätigungsdialogfeld auf Ausgewählte Versionen aktivieren.

      gcloud

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • SECRET_VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version
      • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID

      Windows (PowerShell)

      gcloud secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID

      Windows (cmd.exe)

      gcloud secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID

      REST

      Ersetzen Sie diese Werte in den folgenden Anfragedaten:

      • PROJECT_ID: die Google Cloud Projekt-ID
      • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
      • VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version

      HTTP-Methode und URL:

      POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:enable

      JSON-Text der Anfrage:

      {}

      Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

      curl

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      curl -X POST \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d @request.json \
           "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:enable"

      PowerShell

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
          -Method POST `
          -Headers $headers `
          -ContentType: "application/json; charset=utf-8" `
          -InFile request.json `
          -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:enable" | Select-Object -Expand Content

      Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

      {
  "name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
  "createTime":"2023-10-16T17:21:55.920036Z",
  "state":"ENABLED",
  "replicationStatus":{
     "automatic":{

     }
  },
  "etag":"\"1607d8b3e8e1bc\""
}

      Secret-Version deaktivieren, die zum Löschen vorgemerkt ist

      Verwenden Sie eine der folgenden Methoden, um eine Secret-Version zu deaktivieren, die für die Vernichtung geplant ist:

      Console

      1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

        Zu Secret Manager

      2. Klicken Sie auf der Seite Secret Manager auf ein Secret, um auf seine Versionen zuzugreifen.

      3. Wählen Sie auf der Seite mit den Secret-Details auf dem Tab Versionen die Secret-Version aus, die für die Vernichtung geplant ist.

      4. Klicken Sie auf Aktionen und dann auf Deaktivieren.

      5. Klicken Sie im angezeigten Bestätigungsdialogfeld auf Ausgewählte Versionen deaktivieren.

      gcloud

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • SECRET_VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version
      • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID

      Windows (PowerShell)

      gcloud secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID

      Windows (cmd.exe)

      gcloud secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID

      Die Antwort enthält die deaktivierte Version des Secrets.

      REST

      Ersetzen Sie diese Werte in den folgenden Anfragedaten:

      • PROJECT_ID: die Google Cloud Projekt-ID
      • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
      • VERSION_ID: die ID der Version oder die voll qualifizierte Kennzeichnung für die Version

      HTTP-Methode und URL:

      POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:disable

      JSON-Text der Anfrage:

      {}

      Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

      curl

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      curl -X POST \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d @request.json \
           "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:disable"

      PowerShell

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
          -Method POST `
          -Headers $headers `
          -ContentType: "application/json; charset=utf-8" `
          -InFile request.json `
          -Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:disable" | Select-Object -Expand Content

      Sie sollten in etwa folgende JSON-Antwort erhalten:

      {
  "name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
  "createTime":"2023-10-16T17:21:55.920036Z",
  "state":"DISABLED",
  "replicationStatus":{
     "automatic":{

     }
  },
  "etag":"\"1607d8b3e8e1bc\""
}

      Nächste Schritte