Anmerkungen erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Sie einem regionalen Secret Anmerkungen hinzufügen und diese bearbeiten und aufrufen.

Übersicht

Mit Anmerkungen können Sie benutzerdefinierte Metadaten zu einem Secret speichern. Beispielsweise können Sie ein Secret mit dem Pfad annotieren, unter dem es bereitgestellt wird. Anmerkungen können auf folgende Weise hilfreich sein:

  • Sie können Secrets nach Zweck, Umgebung (Entwicklung, Staging, Produktion) oder Geheimhaltungsgrad kategorisieren. So können Sie Secrets in Secret Manager einfacher suchen, filtern und organisieren.

  • Gibt das spezifische Format oder die Struktur des geheimen Werts an, damit die Arbeitslast ihn richtig interpretieren kann.

  • Hinweise zur Verwendung des Secrets oder besondere Hinweise zur Handhabung.

Wenn Sie beispielsweise ein Secret mit einem Datenbankpasswort haben, können Sie Anmerkungen wie die folgenden hinzufügen:

  • environment:production

  • purpose:database_access

  • owner:database_team

Anhand dieser Anmerkungen lässt sich der Zweck des Geheimnisses, seine Umgebung und die verantwortliche Person leicht ermitteln. Außerdem kann eine Arbeitslast, die auf dieses Secret zugreift, anhand der Anmerkungen prüfen, ob das richtige Passwort für die Produktionsumgebung verwendet wird.

Anmerkungen sind nicht mit Labels identisch. Labels werden zum Sortieren, Filtern und Gruppieren von Ressourcen verwendet, während Anmerkungen zum Speichern beliebiger, nicht identifizierender Metadaten in einem Secret verwendet werden. Bei der Angabe von Metadaten in einem Label gibt es Einschränkungen hinsichtlich der Zeichen und der Zeichenlänge. Die Metadaten in einer Anmerkung können mehr oder weniger umfangreich, strukturiert oder unstrukturiert sein sowie Zeichen enthalten, die für Labels nicht zulässig sind.

Erforderliche Rollen

  • Zum Hinzufügen von Anmerkungen zu einem Secret und zum Aktualisieren von Anmerkungen ist die Rolle „Secret Manager-Administrator“ (roles/secretmanager.admin) für das Secret, Projekt, den Ordner oder die Organisation erforderlich.

  • Wenn Sie Anmerkungen aufrufen möchten, benötigen Sie die Rolle „Betrachter“ (roles/secretmanager.viewer) für das Secret, Projekt, den Ordner oder die Organisation.

IAM-Rollen (Identity and Access Management) können in einer Secret-Version nicht zugewiesen werden. Weitere Informationen finden Sie unter Zugriffssteuerung mit IAM.

Anmerkungen zu einem Secret hinzufügen

Sie können Anmerkungen beim Erstellen eines neuen Secrets oder beim Aktualisieren eines vorhandenen Secrets hinzufügen. Die Metadaten in einer Anmerkung werden als Schlüssel/Wert-Paare gespeichert. So fügst du Anmerkungen hinzu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    Zu Secret Manager

  2. Klicken Sie auf der Seite Secret Manager auf den Tab Regionale Secrets und dann auf Regionales Secret erstellen.

  3. Geben Sie auf der Seite Regionales Secret erstellen im Feld Name einen Namen für das Secret ein.

  4. Geben Sie einen Wert für das Secret ein (z. B. abcd1234). Sie können auch eine Textdatei mit dem Secret-Wert über die Option Datei hochladen hochladen. Dadurch wird die Secret-Version automatisch erstellt.

  5. Wählen Sie in der Liste Region den Speicherort für das regionale Secret aus.

  6. Klicken Sie im Bereich Anmerkungen auf Anmerkung hinzufügen.

  7. Geben Sie den Schlüssel und den entsprechenden Wert ein.

  8. Klicken Sie auf Secret erstellen.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • LOCATION: den Speicherort des Geheimnisses in Google Cloud
  • KEY: der Anmerkungsschlüssel
  • VALUE: der entsprechende Wert des Anmerkungsschlüssels

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets create SECRET_ID --location=LOCATION \
    --set-annotations=KEY1=VAL1,KEY2=VAL2

Windows (PowerShell)

gcloud secrets create SECRET_ID --location=LOCATION `
    --set-annotations=KEY1=VAL1,KEY2=VAL2

Windows (cmd.exe)

gcloud secrets create SECRET_ID --location=LOCATION ^
    --set-annotations=KEY1=VAL1,KEY2=VAL2

Die Antwort enthält das Geheimnis und die Anmerkungen.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • LOCATION: den Speicherort des Geheimnisses in Google Cloud
  • PROJECT_ID: die Google Cloud-Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • KEY: der Anmerkungsschlüssel
  • VALUE: der entsprechende Wert des Anmerkungsschlüssels

HTTP-Methode und URL:

PATCH https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations

JSON-Text der Anfrage:

{'annotations': {'KEY1': 'VALUE1', 'KEY2': 'VALUE2' }}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID",
  "createTime": "2024-09-02T07:14:00.281541Z",
  "etag": "\"16211dcd99c386\"",
  "annotations": {
    "key1": "value1",
    "key2": "value2"
  }
}

Informationen zum Hinzufügen von Anmerkungen zu einem vorhandenen Secret finden Sie in diesem Dokument im Abschnitt Anmerkungen bearbeiten.

Für Anmerkungsschlüssel gelten die folgenden Anforderungen:

  • Schlüssel müssen für ein Secret eindeutig sein. Ein Schlüssel darf nicht zweimal im selben Secret vorkommen.

  • Schlüssel müssen zwischen 1 und 63 Zeichen lang sein.

  • Schlüssel müssen eine UTF-8-Codierung von maximal 128 Byte haben.

  • Schlüssel müssen mit einem alphanumerischen Zeichen beginnen und enden.

  • Schlüssel können zwischen den alphanumerischen Zeichen Bindestriche, Unterstriche und Punkte enthalten.

  • Die Gesamtgröße von Anmerkungsschlüsseln und ‑werten darf 16 KiB nicht überschreiten.

Anmerkungen bearbeiten

Sie haben folgende Möglichkeiten, Anmerkungen zu bearbeiten:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    Zu Secret Manager

  2. Klicken Sie auf der Seite Secret Manager auf den Tab Regionale Secrets.

  3. Suchen Sie in der Liste nach dem Secret und klicken Sie auf das zugehörige Menü Aktionen. Klicken Sie im Menü Aktionen auf Bearbeiten.

  4. Rufen Sie auf der Seite Secret bearbeiten den Bereich Anmerkungen auf. Hier können Sie den Wert einer vorhandenen Anmerkung ändern, die Anmerkung löschen oder eine neue Anmerkung hinzufügen.

  5. Klicken Sie nach dem Anwenden der Änderungen auf Secret aktualisieren.

gcloud

Vorhandene Anmerkungen bearbeiten

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • LOCATION: den Speicherort des Geheimnisses in Google Cloud
  • KEY: der Anmerkungsschlüssel
  • VALUE: der entsprechende Wert des Anmerkungsschlüssels

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets update SECRET_ID --location=LOCATION --update-annotations= KEY=VAL

Windows (PowerShell)

gcloud secrets update SECRET_ID --location=LOCATION --update-annotations= KEY=VAL

Windows (cmd.exe)

gcloud secrets update SECRET_ID --location=LOCATION --update-annotations= KEY=VAL

In der Antwort werden das Secret und die Anmerkungen bearbeitet.

Bestimmte Anmerkung entfernen

Verwenden Sie den folgenden Befehl, um Anmerkungen zu entfernen:

gcloud secrets update SECRET_ID --location=LOCATION --remove-annotations= KEY=VAL

Alle Anmerkungen löschen

Verwenden Sie den folgenden Befehl, um alle Anmerkungen zu löschen:

gcloud secrets update SECRET_ID --location=LOCATION --clear-annotations

REST

Verwenden Sie den folgenden Befehl, um alle Anmerkungen zu löschen:

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • LOCATION: den Speicherort des Geheimnisses in Google Cloud
  • PROJECT_ID: die Google Cloud-Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

HTTP-Methode und URL:

PATCH https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations

JSON-Text der Anfrage:

{'annotations': {}}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=annotations" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID",
  "createTime": "2024-09-02T07:14:00.281541Z",
  "etag": "\"16211dd90b37e7\""
}

Anmerkungen ansehen

Sie haben folgende Möglichkeiten, Anmerkungen zu einem Secret aufzurufen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    Zu Secret Manager

  2. Klicken Sie auf der Seite Secret Manager auf den Tab Regionale Secrets und dann auf das Secret, dessen Anmerkungen Sie aufrufen möchten.

  3. Die Seite mit den Secret-Details wird geöffnet. Klicken Sie auf den Tab Übersicht. Hier sehen Sie die Anmerkungen, die dem Secret hinzugefügt wurden. Die Schlüssel werden in der linken Spalte aufgeführt, die Werte in der rechten Spalte.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret
  • LOCATION: den Speicherort des Geheimnisses in Google Cloud

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud secrets describe SECRET_ID --location=LOCATION

Windows (PowerShell)

gcloud secrets describe SECRET_ID --location=LOCATION

Windows (cmd.exe)

gcloud secrets describe SECRET_ID --location=LOCATION

Die Antwort enthält das Geheimnis und die Anmerkungen.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • LOCATION: den Speicherort des Geheimnisses in Google Cloud
  • PROJECT_ID: die Google Cloud-Projekt-ID
  • SECRET_ID: die ID des Secrets oder die voll qualifizierte Kennzeichnung für das Secret

HTTP-Methode und URL:

GET https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID

JSON-Text der Anfrage:

{}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID",
  "createTime": "2024-09-02T07:14:00.281541Z",
  "etag": "\"16211dcd99c386\"",
  "annotations": {
    "key1": "value1",
    "key2": "value2"
  }
}

Nächste Schritte