Secrets in der von Google erstellten OpenTelemetry Collector-Konfiguration verwalten

Für die Konfiguration einiger Komponenten wie Empfänger oder Exporter müssen Sie möglicherweise Secrets wie Passwörter angeben. Sie können diese Secrets als Klartext in die Konfigurationsdateien des Collectors aufnehmen. Diese Secrets sind jedoch in den Systemlogs enthalten, die vom Collector geschrieben und an Cloud Logging übertragen werden. Dadurch werden die Secrets über den Knoten oder die VM hinaus offengelegt, auf der der Collector ausgeführt wird.

Ab der von Google entwickelten Collector-Version 0.126.0 können Sie einen in Secret Manager integrierten OpenTelemetry-Anbieter verwenden, um Secrets im Klartext in Ihren Konfigurationsdateien zu vermeiden.

Ein Anbieter ist eine OpenTelemetry-Konfigurationskomponente, die den Receiver- und Prozessorkomponenten entspricht. Jeder Anbieter hat einen Typ und jeder Anbietertyp ordnet einen bestimmten Bezeichner in der Konfiguration einem Wert zu.

Der googlesecretmanager-Anbieter ordnet Secret Manager-Kennungen den Secrets wie Passwörtern, Tokens und API-Schlüsseln zu, die Sie in Secret Manager gespeichert haben. Die Verwendung des Anbieters googlesecretmanager bietet folgende Vorteile:

  • Erhöhte Sicherheit: Ihre Konfigurationsdateien enthalten keine vertraulichen Informationen wie Passwörter. Die eigentlichen Secrets werden in Secret Manager gespeichert, einem Dienst, der speziell für das sichere Speichern, Verwalten und Abrufen sensibler Daten entwickelt wurde.
  • Geringeres Risiko der Offenlegung: Secret Manager ruft Secrets während der Initialisierung des von Google entwickelten OpenTelemetry Collectors ab. So wird verhindert, dass Secrets im Klartext versehentlich in Logs aufgezeichnet werden.

Hinweise

Wenn Sie den googlesecretmanager-Anbieter verwenden möchten, müssen Sie die Secret Manager API aktivieren und den Zugriff auf die API zulassen, wie in den folgenden Schritten beschrieben:

  1. After installing the Google Cloud CLI, initialize it by running the following command: 

    gcloud init

    If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  2. Legen Sie das Standardprojekt für die Google Cloud CLI fest:

    gcloud config set project PROJECT_ID

    Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die Variable PROJECT_ID durch die ID Ihres Google Cloud Projekts.

  3. Enable the Secret Manager API: 

    gcloud services enable secretmanager.googleapis.com
  4. Aktualisieren Sie die OAuth-Zugriffsbereiche für Ihre Instanz, um den erforderlichen Bereich für Secret Manager, https://www.googleapis.com/auth/cloud-platform, einzuschließen: 
    gcloud compute instances set-service-account "INSTANCE_ID" \
  --service-account "SERVICE_ACCT_EMAIL" \
  --scopes "https://www.googleapis.com/auth/cloud-platform"

    Ersetzen Sie vor dem Ausführen des vorherigen Befehls die folgenden Variablen:

    • INSTANCE_ID: die Kennung Ihrer VM.
    • SERVICE_ACCT_EMAIL: die Adresse des Dienstkontos, das mit der VM verknüpft ist.

    Weitere Informationen finden Sie unter Auf die Secret Manager API zugreifen.

  5. Gewähren Sie dem Nutzer, der die Konfigurationen des von Google entwickelten OpenTelemetry Collectors verwaltet, die Berechtigungen, die zum Erstellen und Verwalten von Secrets erforderlich sind. Die IAM-Rolle (Identity and Access Management) roles/secretManager.secretAdmin enthält die erforderlichen Berechtigungen: 
    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:USER_EMAIL" \
  --role=roles/secretManager.secretAdmin

    Ersetzen Sie vor dem Ausführen des vorherigen Befehls die folgenden Variablen:

    • PROJECT_ID: die ID Ihres Google Cloud -Projekts.
    • USER_EMAIL: die Adresse des Nutzers, dem die Rolle zugewiesen wird.
  6. Erteilen Sie dem mit der VM verknüpften Dienstkonto die Berechtigungen, die für den Zugriff auf die Secrets erforderlich sind. Die IAM-Rolle (Identity and Access Management) roles/secretManager.secretAccessor enthält die erforderlichen Berechtigungen: 
    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:SERVICE_ACCT_EMAIL" \
  --role=roles/secretManager.secretAccessor

    Ersetzen Sie vor dem Ausführen des vorherigen Befehls die folgenden Variablen:

    • PROJECT_ID: die ID Ihres Google Cloud Projekts.
    • SERVICE_ACCT_EMAIL: die Adresse des Dienstkontos, das mit der VM verknüpft ist.

    7. Klartext-Secrets durch verwaltete Secrets ersetzen

    So vermeiden Sie die Verwendung von Secrets im Klartext in Ihren Konfigurationsdateien, indem Sie Secret Manager und den googlesecretmanager-Anbieter verwenden:

    1. Erstellen Sie in Secret Manager für jedes Klartext-Secret in Ihren Konfigurationsdateien ein Secret.
    2. Ersetzen Sie jedes Klartext-Secret in Ihren Konfigurationsdateien durch einen Verweis auf das entsprechende Secret in Secret Manager.

    Wenn Sie beispielsweise einen http-Exporter verwenden, kann Ihre Konfigurationsdatei einen Eintrag wie den folgenden enthalten:

    exporters:
  logging:
    loglevel: debug
  http:
    endpoint: "https://example.com/api/metrics"
    headers:
      X-API-Key: plaintext-secret

    In diesem Beispiel möchten Sie den String plaintext-secret in Secret Manager platzieren und dann das Secret im Klartext durch einen Verweis auf das verwaltete Secret ersetzen.

    Secret Manager-Secrets für Klartext-Secrets erstellen

    Führen Sie den folgenden Befehl aus, um ein Secret Manager-Secret mit dem Klartext-Secret plaintext-secret zu erstellen: 
    echo -n "plaintext-secret" | gcloud secrets create SECRET_NAME \
    --replication-policy="automatic" \
    --data-file=-

    Ersetzen Sie vor dem Ausführen des vorherigen Befehls die folgenden Variablen:

    • plaintext-secret: Ersetzen Sie dies durch Ihr Nur-Text-Secret.
    • SECRET_NAME: Ersetzen Sie diesen Wert durch einen aussagekräftigen Namen für Ihr Secret.

    Der vollständig qualifizierte Ressourcenname Ihres neuen Secrets hat das folgende Format, wobei VERSION gleich 1 ist:

    projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION

    Weitere Informationen zum Speichern, Versionieren und Zugreifen auf Secrets in Secret Manager finden Sie unter Secret erstellen.

    Klartext-Secrets ersetzen

    Wenn Sie Ihre Konfigurationsdateien aktualisieren möchten, ersetzen Sie jedes Klartext-Secret durch einen Verweis auf den googlesecretmanager-Anbieter und den Ressourcennamen des verwalteten Secrets, wie im folgenden Beispiel gezeigt:

    exporters:
  logging:
    loglevel: debug
  http:
    endpoint: "https://example.com/api/metrics"
    headers:
      X-API-Key: ${googlesecretmanager:projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION}

    Weitere Informationen

    Weitere Informationen zur Verwendung des googlesecretmanager-Anbieters finden Sie im opentelemetry-collector-contrib-Repository.