Anmerkungen erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Sie einem regionalen Secret Annotationen hinzufügen und diese bearbeiten und ansehen.

Übersicht

Sie können Annotationen verwenden, um benutzerdefinierte Metadaten zu einem Secret zu speichern. Sie können beispielsweise ein Secret mit dem Pfad versehen, unter dem es bereitgestellt wird. Annotationen können in folgenden Fällen hilfreich sein:

  • Sie können Secrets nach Zweck, Umgebung (Entwicklung, Staging, Produktion) oder Vertraulichkeitsstufe kategorisieren. So lassen sich Secrets in Secret Manager einfacher suchen, filtern und organisieren.

  • Gibt das spezifische Format oder die Struktur des Werts des Secrets an, damit die Arbeitslast ihn richtig interpretieren kann.

  • Hier können Sie Hinweise zur Verwendung des Secrets oder besondere Überlegungen zum Umgang damit angeben.

Wenn Sie beispielsweise ein Secret mit einem Datenbankpasswort haben, können Sie Annotationen wie die folgenden hinzufügen:

  • environment:production

  • purpose:database_access

  • owner:database_team

Mithilfe dieser Anmerkungen lässt sich der Zweck des Secrets, seine Umgebung und die dafür verantwortliche Person leicht ermitteln. Außerdem kann eine Arbeitslast, die auf dieses Secret zugreift, anhand der Anmerkungen bestätigen, dass sie das richtige Passwort für die Produktionsumgebung verwendet.

Hinweise sind nicht dasselbe wie Labels. Labels werden zum Sortieren, Filtern und Gruppieren von Ressourcen verwendet, während mit Annotationen beliebige, nicht identifizierbare Metadaten in einem Secret gespeichert werden. Beim Angeben von Metadaten in einem Label gibt es eine Beschränkung für Zeichen und Zeichenlänge. Die Metadaten in einer Annotation können begrenzt oder umfangreich, strukturiert oder unstrukturiert sein sowie Zeichen enthalten, die für Labels nicht zulässig sind.

Erforderliche Rollen

  • Zum Hinzufügen von Anmerkungen zu einem Secret und zum Aktualisieren von Anmerkungen ist die Rolle „Secret Manager-Administrator“ (roles/secretmanager.admin) für das Secret, das Projekt, den Ordner oder die Organisation erforderlich.

  • Wenn Sie Anmerkungen aufrufen möchten, benötigen Sie die Rolle „Secret Manager-Betrachter“ (roles/secretmanager.viewer) für das Secret, das Projekt, den Ordner oder die Organisation.

IAM-Rollen (Identity and Access Management) können in einer Secret-Version nicht zugewiesen werden. Weitere Informationen finden Sie unter Zugriffssteuerung mit IAM.

Einem Secret Anmerkungen hinzufügen

Sie können Anmerkungen hinzufügen, wenn Sie ein neues Secret erstellen oder ein vorhandenes Secret aktualisieren. Die Metadaten in einer Anmerkung werden als Schlüssel/Wert-Paare gespeichert. Sie haben folgende Möglichkeiten, Anmerkungen hinzuzufügen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    Zu Secret Manager

  2. Klicken Sie auf der Seite Secret Manager auf den Tab Regionale Secrets und dann auf Regionales Secret erstellen.

  3. Geben Sie auf der Seite Regionales Secret erstellen im Feld Name einen Namen für das Secret ein.

  4. Geben Sie einen Wert für das Secret ein (z. B. abcd1234). Sie können auch eine Textdatei mit dem Secret-Wert über die Option Datei hochladen hochladen. Durch diese Aktion wird die Secret-Version automatisch erstellt.

  5. Wählen Sie in der Liste Region den Speicherort für Ihr regionales Secret aus.

  6. Rufen Sie den Bereich Anmerkungen auf und klicken Sie auf Anmerkung hinzufügen.

  7. Geben Sie den Schlüssel und den entsprechenden Wert ein.

  8. Klicken Sie auf Secret erstellen.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • LOCATION: der Google Cloud Standort des Secrets
  • KEY: der Annotationsschlüssel
  • VALUE: der entsprechende Wert des Anmerkungsschlüssels

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets create SECRET_ID --location=LOCATION \
    --set-annotations=KEY1=VAL1,KEY2=VAL2

Windows (PowerShell)

gcloud secrets create SECRET_ID --location=LOCATION `
    --set-annotations=KEY1=VAL1,KEY2=VAL2

Windows (cmd.exe)

gcloud secrets create SECRET_ID --location=LOCATION ^
    --set-annotations=KEY1=VAL1,KEY2=VAL2

Die Antwort enthält das Secret und die Anmerkungen.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • LOCATION: der Google Cloud Standort des Secrets
  • PROJECT_ID: die Google Cloud Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • KEY: der Annotationsschlüssel
  • VALUE: der entsprechende Wert des Anmerkungsschlüssels

HTTP-Methode und URL:

PATCH https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations

JSON-Text der Anfrage:

{'annotations': {'KEY1': 'VALUE1', 'KEY2': 'VALUE2' }}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID",
  "createTime": "2024-09-02T07:14:00.281541Z",
  "etag": "\"16211dcd99c386\"",
  "annotations": {
    "key1": "value1",
    "key2": "value2"
  }
}

Informationen zum Hinzufügen von Anmerkungen zu einem vorhandenen Secret finden Sie im Abschnitt Anmerkungen bearbeiten in diesem Dokument.

Für Annotationsschlüssel gelten die folgenden Anforderungen:

  • Schlüssel müssen für ein Secret eindeutig sein. Sie können einen Schlüssel nicht mehrmals im selben Secret verwenden.

  • Schlüssel müssen zwischen 1 und 63 Zeichen lang sein.

  • Schlüssel müssen eine UTF-8-Codierung von maximal 128 Byte haben.

  • Schlüssel müssen mit einem alphanumerischen Zeichen beginnen und enden.

  • Schlüssel können Bindestriche, Unterstriche und Punkte zwischen den alphanumerischen Zeichen enthalten.

  • Die Gesamtgröße der Anmerkungsschlüssel und ‑werte muss kleiner als 16 KiB sein.

Anmerkungen bearbeiten

Sie haben folgende Möglichkeiten, Anmerkungen zu bearbeiten:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    Zu Secret Manager

  2. Klicken Sie auf der Seite Secret Manager auf den Tab Regionale Secrets.

  3. Suchen Sie in der Liste nach dem Secret und klicken Sie auf das Aktionen-Menü, das diesem Secret zugeordnet ist. Klicken Sie im Menü Aktionen auf Bearbeiten.

  4. Rufen Sie auf der Seite Secret bearbeiten den Bereich Annotations auf. Hier können Sie den Wert einer vorhandenen Anmerkung ändern, die Anmerkung löschen oder eine neue Anmerkung hinzufügen.

  5. Klicken Sie nach den Änderungen auf Geheimnis aktualisieren.

gcloud

Vorhandene Anmerkungen bearbeiten

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • LOCATION: der Google Cloud Standort des Secrets
  • KEY: der Annotationsschlüssel
  • VALUE: der entsprechende Wert des Anmerkungsschlüssels

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets update SECRET_ID --location=LOCATION --update-annotations= KEY=VAL

Windows (PowerShell)

gcloud secrets update SECRET_ID --location=LOCATION --update-annotations= KEY=VAL

Windows (cmd.exe)

gcloud secrets update SECRET_ID --location=LOCATION --update-annotations= KEY=VAL

In der Antwort werden das Secret und die Annotationen bearbeitet.

Bestimmte Anmerkung entfernen

Verwenden Sie den folgenden Befehl, um Annotationen zu entfernen:

gcloud secrets update SECRET_ID --location=LOCATION --remove-annotations= KEY=VAL

Alle Anmerkungen löschen

Verwenden Sie den folgenden Befehl, um alle Anmerkungen zu löschen:

gcloud secrets update SECRET_ID --location=LOCATION --clear-annotations

REST

Verwenden Sie den folgenden Befehl, um alle Anmerkungen zu löschen:

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • LOCATION: der Google Cloud Standort des Secrets
  • PROJECT_ID: die Google Cloud Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

HTTP-Methode und URL:

PATCH https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations

JSON-Text der Anfrage:

{'annotations': {}}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID",
  "createTime": "2024-09-02T07:14:00.281541Z",
  "etag": "\"16211dd90b37e7\""
}

Anmerkungen ansehen

Verwenden Sie eine der folgenden Methoden, um Anmerkungen zu einem Secret aufzurufen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    Zu Secret Manager

  2. Klicken Sie auf der Seite Secret Manager auf den Tab Regionale Secrets und dann auf das Secret, dessen Anmerkungen Sie aufrufen möchten.

  3. Die Seite mit den Secret-Details wird geöffnet. Klicken Sie auf den Tab Übersicht. Hier sehen Sie die dem Secret angehängten Anmerkungen. Die Schlüssel werden in der linken Spalte aufgeführt, die Werte in der rechten.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • LOCATION: der Google Cloud Standort des Secrets

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets describe SECRET_ID --location=LOCATION

Windows (PowerShell)

gcloud secrets describe SECRET_ID --location=LOCATION

Windows (cmd.exe)

gcloud secrets describe SECRET_ID --location=LOCATION

Die Antwort enthält das Secret und die Anmerkungen.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • LOCATION: der Google Cloud Standort des Secrets
  • PROJECT_ID: die Google Cloud Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

HTTP-Methode und URL:

GET https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID

JSON-Text der Anfrage:

{}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID",
  "createTime": "2024-09-02T07:14:00.281541Z",
  "etag": "\"16211dcd99c386\"",
  "annotations": {
    "key1": "value1",
    "key2": "value2"
  }
}

Nächste Schritte