Neste tópico, descrevemos como destruir uma versão do secret. No estado destruído, o conteúdo da versão do secret é descartado. A destruição de uma versão do secret é permanente. Não será mais possível acessar o secret. Não é possível alterar a versão do secret para outro estado.
Antes de destruir uma versão do secret, desative-a e observe o comportamento do seu aplicativo. Você poderá reativar a versão do secret se tiver problemas inesperados.
Quando você desativa ou destrói um secret ou uma versão do secret, a alteração leva tempo para ser propagada pelo sistema. Se necessário, revogue o acesso do IAM ao secret. As alterações nas permissões do IAM se tornam consistentes em questão de segundos.
Funções exigidas
Para ter as permissões necessárias para destruir uma versão do secret,
peça ao administrador para conceder a você
Gerenciador de versões de Secrets do Secret Manager (roles/secretmanager.secretVersionManager
) em um secret.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Destruir uma versão de secret
Console
-
Acesse a página do Secret Manager no console do Google Cloud:
-
Na página do Secret Manager, clique no Nome de um secret.
-
Na página Detalhes do secret, na tabela Versões, localize a versão do secret.
-
Na coluna Ações, clique em Ver mais
. -
Clique em Destruir no menu.
-
Na caixa de diálogo Destroy secret secret, digite o nome do secret.
-
Clique no botão Destruir versões selecionadas.
gcloud
Para usar o Secret Manager na linha de comando, primeiro Instale ou faça upgrade para a versão 378.0.0 ou mais recente da Google Cloud CLI. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
$ gcloud secrets versions destroy version-id --secret="secret-id"
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento em C# e instale o SDK do C# do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Go e instale o SDK do Go do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Java e instale o SDK do Java do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Node.js do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
PHP
Para executar este código, veja primeiro como usar o PHP no Google Cloud e instalar o SDK do PHP do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Python e instale o SDK do Python do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento em Ruby e instale o SDK do Ruby do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
API
Esses exemplos usam curl para demonstrar o uso da API. É possível gerar tokens de acesso com o gcloud auth print-access-token. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id/versions/version-id:destroy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json"
Destruição atrasada de versões de Secrets
O administrador do Secret Manager pode configurar a destruição atrasada de secrets ativando o recurso Atrasar o monitoramento da versão do secret no secret. Se este recurso estiver ativado, a versão do secret não será imediatamente destruída mediante solicitação. Em vez disso, a versão do secret é desativada e programada para destruição data. Durante esse período, o administrador do Secret Manager pode restaurar a versão do secret. Para saber mais, consulte Atrasar a destruição de versões de segredos.
A seguir
- Saiba como garantir a integridade dos dados.
- Saiba mais sobre as práticas recomendadas.