En este tema, se describe cómo destruir una versión del secreto. En los destruidos state, la versión del secreto se descarta el contenido. La destrucción de una versión de secreto es permanente. No serás los usuarios ya no podrán acceder a él. La versión del Secret no se puede cambiar a otro estado.
Antes de destruir una versión de secreto, inhabilita y observa el comportamiento de tu aplicación. Puedes volver a habilitar la versión del Secret si encuentras problemas inesperados.
Cuando inhabilitas o destruyes un secreto o una versión de secreto, el cambio demora en se propaguen en el sistema. Si es necesario, puedes revocar el acceso de IAM al Secret. Los cambios en los permisos de IAM son coherentes en segundos.
Roles obligatorios
A fin de obtener los permisos que necesitas para destruir una versión del secreto,
solicita a tu administrador que te otorgue el
Rol de IAM de Administrador de versiones de secretos de Secret Manager (roles/secretmanager.secretVersionManager
) en un secreto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Destruye una versión del secreto
Console
-
Ve a la página Secret Manager en la consola de Google Cloud.
-
En la página de Secret Manager, haz clic en el Nombre de un secreto.
-
En la página Detalles del secreto, en la tabla Versiones, busca una versión de secreto que deseas acceder.
-
En la columna Acciones, haz clic en Ver más
. -
En el menú, haz clic en Destruir.
-
En el diálogo Destruir versión del secreto, ingresa el nombre del secreto.
-
Haz clic en el botón Destruir versiones seleccionadas.
gcloud
Para usar Secret Manager en la línea de comandos, primero instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
$ gcloud secrets versions destroy version-id --secret="secret-id"
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go e instala el SDK de Go para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java e instala el SDK de Java para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js e instala el SDK de Node.js para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
PHP
Para ejecutar este código, primero obtén información a fin de usar PHP en Google Cloud e instala el SDK de PHP para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python e instala el SDK de Python para Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby e instala el SDK de Ruby de Secret Manager. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
API
En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id/versions/version-id:destroy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json"
Destrucción demorada de las versiones de secretos
El administrador de Secret Manager puede configurar la destrucción demorada de las versiones de secretos activando la función Delay secret version dstroy en el secreto. Si si se activa esta función, la versión del secreto no se destruye de inmediato cuando se solicita. En cambio, la versión del Secret se inhabilita y se programa su destrucción más adelante fecha. Durante este tiempo, el administrador de Secret Manager puede restablecer el versión del Secret. Para obtener más información, consulta Retrasa la destrucción de las versiones del Secret
¿Qué sigue?
- Obtén información para garantizar la integridad de los datos.
- Obtén más información sobre las prácticas recomendadas.