Esta página se ha traducido con Cloud Translation API.

Usar Secret Manager para gestionar secretos en Cloud SQL

Información general

Gestionar correctamente tu información sensible es una parte esencial para crear un flujo de trabajo de desarrollo seguro. En el caso de Cloud SQL, te recomendamos que almacenes tus fragmentos de información sensible como secretos que crees en Secret Manager. Los secretos incluyen claves de API, contraseñas, información sensible o credenciales que puedes usar para acceder a un sistema confidencial.

Secret Manager ofrece comodidad y mejora la seguridad. También puedes aplicar versiones a tus secretos y compartirlos con tu equipo. Para obtener más información sobre cómo compartir secretos con tu equipo, consulta el artículo Control de acceso (IAM).

En esta página se describen cuatro casos prácticos para usar Secret Manager con el fin de gestionar secretos con Cloud SQL:

Almacenar nombres de usuario y contraseñas
Conectarse a instancias de Cloud SQL
Gestionar certificados SSL/TLS
Coordinar situaciones de recuperación tras fallos

Antes de empezar

Antes de empezar a usar Secret Manager para gestionar secretos en Cloud SQL, debes hacer lo siguiente:

Familiarízate con Cloud SQL y Secret Manager.
Empieza a usar Cloud SQL aprendiendo a conectarte a tu primera instancia de Cloud SQL desde tu ordenador local.

nombres de usuario y contraseñas,

Usar Secret Manager para almacenar los nombres de usuario y las contraseñas de tus cuentas de usuario de Cloud SQL como secretos es una forma segura y fiable de gestionar esta información sensible.

Primero, debes crear un usuario en Cloud SQL. Para crear este usuario, debes proporcionar un nombre de usuario y una contraseña. Para obtener más información sobre cómo crear un usuario en Cloud SQL, consulta Gestionar usuarios con autenticación integrada.

Una vez creado el usuario, crea un secreto en Secret Manager para almacenar el nombre de usuario y la contraseña. De esta forma, te aseguras de que no se pierda esta información sensible. Para obtener más información sobre cómo crear y acceder a secretos en Secret Manager, consulta el artículo Crear y acceder a secretos.

Instancias de Cloud SQL

Cuando te conectes a tu instancia de Cloud SQL, puedes usar Secret Manager para gestionar secretos y crear un flujo de trabajo de desarrollo seguro.

Empieza conectándote a tu instancia de Cloud SQL desde tu ordenador local. Una vez que la instancia esté en ejecución, usa variables de entorno para conectarte a ella. Algunos valores asociados a las variables son más sensibles, como el nombre de conexión de la instancia. Para cada valor, puede crear un secreto en Secret Manager para almacenar y gestionar esta información. Para obtener más información sobre cómo usar variables de entorno para conectarte a tu instancia de Cloud SQL, consulta Configurar y ejecutar la aplicación de ejemplo.

Puedes recuperar el nombre de conexión de la instancia que se almacena como secreto directamente desde Secret Manager. De esta forma, se proporciona un flujo de trabajo flexible que puede ayudar a tu equipo a compartir esta información sensible en varias aplicaciones y gestionarla desde una ubicación centralizada. Para obtener más información sobre cómo recuperar secretos de Secret Manager, consulta Crear un secreto con Secret Manager.

Una aplicación necesita la información de los secretos para iniciarse. Esta información incluye los valores asociados a las variables de entorno que se usan para conectarse a la aplicación. Tu aplicación accede a los secretos cuando se inicia y, a continuación, los usa para configurar una conexión a Cloud SQL. Si se actualiza algún secreto relevante en Secret Manager, es posible que tengas que reiniciar la aplicación.

Certificados SSL/TLS

Si te conectas a una instancia de Cloud SQL mediante una dirección IP pública o privada, debes usar un certificado de Seguridad en la capa de transporte (TLS) que proteja los datos mientras se transmiten. Cada certificado TLS incluye un certificado de clave pública y una clave privada. Para obtener más información sobre cómo configurar certificados TLS, consulta el artículo Configurar certificados SSL/TLS.

Puedes guardar el certificado TLS, el certificado de clave pública y la clave privada como secretos para protegerlos y compartirlos con tu equipo. Para obtener más información sobre cómo crear secretos y acceder a ellos, consulta Crear un secreto con Secret Manager. Para obtener más información sobre cómo compartir secretos, consulta Control de acceso (IAM).

Situaciones de recuperación tras fallos

Si falla una instancia principal de Cloud SQL, puedes convertir una réplica de lectura en la instancia principal. Una vez que la réplica de lectura se convierta en la instancia principal, debes actualizar el nombre de conexión de la instancia para reflejar este cambio. Si el nombre de conexión de la instancia se almacena en un secreto, debes actualizar el secreto con el nombre de la nueva instancia principal. Para obtener más información, consulta Editar un secreto.

Una forma de usar Secret Manager para las conmutaciones por error es almacenar el nombre de tu instancia principal en un secreto y, a continuación, configurar tu conector de Cloud SQL para que se actualice cada vez que se actualice el secreto.

Puedes usar la siguiente secuencia de comandos envolvente de Bash con el proxy de autenticación de Cloud SQL para detectar cuándo se actualiza el valor del nombre de conexión de la instancia y, a continuación, reiniciar el proxy con el nuevo valor:

#!/bin/bash

SECRET_ID="my-secret-id" # TODO(developer): replace this value
REFRESH_INTERVAL=5
PORT=5432                # TODO(developer): change this port as needed

# Get the latest version of the secret and start the proxy
INSTANCE=$(gcloud secrets versions access "latest" --secret="$SECRET_ID")
cloud_sql_proxy -instances="$INSTANCE"=tcp:"$PORT" &
PID=$!

# Every 5s, get the latest version of the secret. If it's changed, restart the
# proxy with the new value.
while true; do
    sleep $REFRESH_INTERVAL
    NEW=$(gcloud secrets versions access "latest" --secret="$SECRET_ID")
    if [ "$INSTANCE" != "$NEW" ]; then
        INSTANCE=$NEW
        kill $PID
        wait $PID
        cloud_sql_proxy -instances="$INSTANCE"=tcp:"$PORT" &
        PID=$!
    fi
done

Para obtener más información sobre cómo crear y acceder a un secreto que contenga el nombre de conexión de la instancia de la réplica principal, consulta Crear un secreto con Secret Manager. Para obtener más información sobre cómo usar el proxy de autenticación de Cloud SQL, consulta Conectarse a Cloud SQL mediante el proxy de autenticación de Cloud SQL.

Siguientes pasos

Puedes integrar Secret Manager con otros productos, como Cloud Run. Google Cloud
- Para obtener más información sobre cómo proteger tus secretos en entornos de contenedores, consulta Usar secretos.
- Para ver una lista de otros productos que se integran con Secret Manager, consulta el artículo Usar Secret Manager con otros productos. Google Cloud
Para saber cómo integrar Secret Manager con tu entorno de desarrollo, consulta los distintos ejemplos disponibles en la página Todos los códigos de ejemplo de Secret Manager.

Usar Secret Manager para gestionar secretos en Cloud SQL Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.