Les données des secrets sont immuables et la plupart des opérations ont lieu sur des versions de secrets. Une version de secret contient les données réelles du secret, ainsi que son état et ses métadonnées. Cette page explique comment ajouter une version de secret.
Pour en savoir plus sur la gestion des versions, regardez cette vidéo.
Rôles requis
Pour obtenir les autorisations nécessaires pour ajouter une version de secret, demandez à votre administrateur de vous accorder les rôles IAM suivants sur un secret:
-
Ajouteur de versions de secrets Secret Manager (
roles/secretmanager.secretVersionAdder
) -
Gestionnaire de versions de secrets Secret Manager (
roles/secretmanager.secretVersionManager
)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Les rôles IAM ne peuvent être attribués au niveau de la version d'un secret.
Ajouter une version de secret
Pour ajouter une version de secret, utilisez l'une des méthodes suivantes:
-
Accédez à la page Secret Manager dans la console Google Cloud.
-
Sur la page Secret Manager, cliquez sur l'onglet Secrets régionaux, puis recherchez le secret pour lequel vous souhaitez ajouter la nouvelle version.
-
Cliquez sur le menu
Actions associé à ce secret, puis sur Ajouter une version. La boîte de dialogue Ajouter une version s'affiche. -
Dans le champ Valeur du secret, saisissez une valeur pour le secret, par exemple
abcd1234
. Vous pouvez également importer un fichier contenant la valeur du secret. -
Cliquez sur Ajouter une version.
Ajouter une version de secret à partir du contenu d'un fichier sur disque
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- SECRET_ID: ID du secret ou identifiant complet du secret
- LOCATION: emplacement Google Cloud du secret
- FILE_PATH: chemin d'accès complet (y compris le nom de fichier) au fichier contenant les informations sur la version
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud secrets versions addSECRET_ID --location=LOCATION --data-file="FILE_PATH "
Windows (PowerShell)
gcloud secrets versions addSECRET_ID --location=LOCATION --data-file="FILE_PATH "
Windows (cmd.exe)
gcloud secrets versions addSECRET_ID --location=LOCATION --data-file="FILE_PATH "
La réponse contient la version du secret créée.
Ajouter une version de secret directement dans la ligne de commande
Vous pouvez également ajouter une version de secret directement en ligne de commande, mais cette approche est déconseillée, car elle apparaît en texte brut dans la liste des processus et peut être capturée par d'autres utilisateurs du système. Notez que la commande avec le texte brut figurera également dans l'historique de votre shell.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- SECRET_DATA: données que vous souhaitez stocker dans la version du secret
- SECRET_ID: ID du secret ou identifiant complet du secret
- LOCATION: emplacement Google Cloud du secret
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
echo -n "SECRET_DATA " | \ gcloud secrets versions addSECRET_ID --location=LOCATION --data-file=-
Windows (PowerShell)
echo -n "SECRET_DATA " | ` gcloud secrets versions addSECRET_ID --location=LOCATION --data-file=-
Windows (cmd.exe)
echo -n "SECRET_DATA " | ^ gcloud secrets versions addSECRET_ID --location=LOCATION --data-file=-
La réponse contient la version du secret créée.
Facultatif: Ajoutez une version à partir du contenu d'un fichier lors de la création initiale d'un secret
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- SECRET_ID: ID du secret ou identifiant complet du secret
- LOCATION: emplacement Google Cloud du secret
- FILE_PATH: chemin d'accès complet (y compris le nom de fichier) au fichier contenant les informations sur la version
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud secrets createSECRET_ID --location=LOCATION --data-file="FILE_PATH "
Windows (PowerShell)
gcloud secrets createSECRET_ID --location=LOCATION --data-file="FILE_PATH "
Windows (cmd.exe)
gcloud secrets createSECRET_ID --location=LOCATION --data-file="FILE_PATH "
La réponse contient la version du secret créée.
Encodez en base64 les données du secret et enregistrez-les comme variable d'interface système.
$ SECRET_DATA=$(echo "seCr3t" | base64)
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- LOCATION: emplacement Google Cloud du secret
- PROJECT_ID : ID de projet Google Cloud
- SECRET_ID: ID du secret ou identifiant complet du secret
Méthode HTTP et URL :
POST https://secretmanager.LOCATION .rep.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /secrets/SECRET_ID :addVersion
Corps JSON de la requête :
{"payload": {"data": "${SECRET_DATA}"}}
Pour envoyer votre requête, choisissez l'une des options suivantes :
Enregistrez le corps de la requête dans un fichier nommé request.json
, puis exécutez la commande suivante :
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://secretmanager.LOCATION .rep.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /secrets/SECRET_ID :addVersion"
Enregistrez le corps de la requête dans un fichier nommé request.json
, puis exécutez la commande suivante :
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://secretmanager.LOCATION .rep.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /secrets/SECRET_ID :addVersion" | Select-Object -Expand Content
Vous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/PROJECT_ID /locations/LOCATION /secrets/SECRET_ID /versions/1", "createTime": "2024-03-25T08:24:13.153705Z", "state": "ENABLED", "etag": "\"161477e6071da9\"" }
Pour exécuter ce code, commencez par configurer un environnement de développement Go et installez le SDK Secret Manager pour Go. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Pour exécuter ce code, commencez par configurer un environnement de développement Java et installez le SDK Secret Manager pour Java. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Pour exécuter ce code, commencez par configurer un environnement de développement Node.js, puis installez le SDK Secret Manager pour Node.js. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
Pour exécuter ce code, commencez par configurer un environnement de développement Python et installez le SDK Secret Manager pour Python. Sur Compute Engine ou GKE, vous devez vous authentifier avec le champ d'application cloud-platform.
États des versions des secrets
Une version de secret peut se trouver dans l'un des états suivants à tout moment :
-
Activé : dans cet état, la version du secret est accessible et descriptible. Il s'agit de l'état par défaut d'une nouvelle version de secret.
-
Désactivé : dans cet état, la version du secret n'est pas accessible, mais le contenu du secret existe toujours. Vous pouvez réactiver la version du secret afin de restaurer l'accès.
-
Détruit : dans cet état, le contenu de la version du secret est supprimé. L'état de la version du secret ne peut être modifié.
Les versions de secrets activées et désactivées vous sont facturées. Les versions de secret détruites ne vous sont pas facturées.
Étape suivante
- Accéder à une version de secret régionale
- Attribuer un alias à une version de secret régionale
- Lister les versions de secrets régionaux et afficher les détails des versions