La configurazione di alcuni componenti, come ricevitori o esportatori, potrebbe richiedere di fornire segreti, come le password. Puoi includere questi secret come testo normale nei file di configurazione del raccoglitore. Tuttavia, questi secret sono inclusi nei log di sistema scritti dal raccoglitore e trasmessi a Cloud Logging, esponendo i secret oltre il nodo o la macchina virtuale (VM) in cui è in esecuzione il raccoglitore.
A partire dalla versione 0.126.0 del raccoglitore creato da Google, puoi utilizzare un provider OpenTelemetry integrato con Secret Manager per eliminare i secret in testo normale nei file di configurazione.
Un provider è un componente di configurazione di OpenTelemetry, analogo ai componenti ricevitore e processore. Ogni fornitore ha un tipo e ogni tipo di fornitore mappa un identificatore specifico nella configurazione a un valore.
Il provider googlesecretmanager mappa gli identificatori di Secret Manager ai secret, come password, token e chiavi API, che hai archiviato in Secret Manager. L'utilizzo del provider
googlesecretmanager offre i seguenti vantaggi:
- Sicurezza avanzata: i file di configurazione non contengono informazioni sensibili come le password. I secret effettivi sono archiviati in Secret Manager, un servizio progettato appositamente per archiviare, accedere e gestire in modo sicuro i dati sensibili.
- Rischio di esposizione ridotto: Secret Manager recupera i secret durante l'inizializzazione del raccoglitore OpenTelemetry integrato in Google, il che impedisce la registrazione accidentale di secret in testo normale nei log.
Prima di iniziare
Per utilizzare il provider googlesecretmanager, devi abilitare l'API Secret Manager e consentire l'accesso all'API, come descritto nei passaggi seguenti:
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
Imposta il progetto predefinito per Google Cloud CLI:
gcloud config set project PROJECT_ID
Prima di eseguire il comando precedente, sostituisci la variabile PROJECT_ID con l'identificatore del tuo progetto Google Cloud .
-
Enable the Secret Manager API:
gcloud services enable secretmanager.googleapis.com
- Aggiorna gli ambiti di accesso OAuth per la tua istanza in modo da includere l'ambito
richiesto per Secret Manager,
https://www.googleapis.com/auth/cloud-platform:gcloud compute instances set-service-account "INSTANCE_ID" \ --service-account "SERVICE_ACCT_EMAIL" \ --scopes "https://www.googleapis.com/auth/cloud-platform"
Prima di eseguire il comando precedente, sostituisci le seguenti variabili:
- INSTANCE_ID: l'identificatore della VM.
- SERVICE_ACCT_EMAIL: l'indirizzo del account di servizio associato alla VM.
Per saperne di più, vedi Accedere all'API Secret Manager.
- Concedi all'utente che gestisce le configurazioni di Google-Built OpenTelemetry Collector
le autorizzazioni necessarie per creare e gestire i secret. Il ruolo Identity and Access Management
roles/secretManager.secretAdmininclude le autorizzazioni necessarie:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:USER_EMAIL" \ --role=roles/secretManager.secretAdmin
Prima di eseguire il comando precedente, sostituisci le seguenti variabili:
- PROJECT_ID: l'identificatore del tuo Google Cloud progetto.
- USER_EMAIL: l'indirizzo dell'utente a cui viene concesso il ruolo.
- Concedi al account di servizio associato alla VM le autorizzazioni necessarie per accedere ai secret. Il ruolo Identity and Access Management
roles/secretManager.secretAccessorinclude le autorizzazioni necessarie:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:SERVICE_ACCT_EMAIL" \ --role=roles/secretManager.secretAccessor
Prima di eseguire il comando precedente, sostituisci le seguenti variabili:
- PROJECT_ID: l'identificatore del tuo Google Cloud progetto.
- SERVICE_ACCT_EMAIL: l'indirizzo del account di servizio associato alla VM.
- Crea un secret in Secret Manager per ogni secret in testo normale nei file di configurazione.
- Sostituisci ogni secret in testo normale nei file di configurazione con un riferimento al secret corrispondente in Secret Manager.
- plaintext-secret: Sostituisci con il segreto in testo normale.
- SECRET_NAME: sostituisci con un nome significativo per il secret.
Sostituisci i secret in testo normale con secret gestiti
Per eliminare l'utilizzo di secret in testo normale nei file di configurazione utilizzando Secret Manager e il provider googlesecretmanager, procedi nel seguente modo:
Ad esempio, se utilizzi un esportatore http,
il file di configurazione potrebbe includere una voce simile alla seguente:
exporters:
logging:
loglevel: debug
http:
endpoint: "https://example.com/api/metrics"
headers:
X-API-Key: plaintext-secret
In questo esempio, vuoi inserire la stringa plaintext-secret
in Secret Manager e poi sostituire
il secret in testo normale con un riferimento al secret gestito.
Crea secret Secret Manager per i secret in formato non crittografato
Per creare un secret di Secret Manager contenente il secretplaintext-secret in testo normale, esegui questo comando:
echo -n "plaintext-secret" | gcloud secrets create SECRET_NAME \
--replication-policy="automatic" \
--data-file=-
Prima di eseguire il comando precedente, sostituisci le seguenti variabili:
Il nome della risorsa completo del nuovo secret ha il seguente
formato, con un VERSION di 1:
projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION
Per ulteriori informazioni su come archiviare, controllare le versioni e accedere ai secret in Secret Manager, consulta Creare un secret.
Sostituisci i secret in testo normale
Per aggiornare i file di configurazione, sostituisci ogni secret in testo normale
con un riferimento al provider googlesecretmanager e al nome della risorsa
del secret gestito, come mostrato nell'esempio seguente:
exporters:
logging:
loglevel: debug
http:
endpoint: "https://example.com/api/metrics"
headers:
X-API-Key: ${googlesecretmanager:projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION}
Scopri di più
Per saperne di più sull'utilizzo del providergooglesecretmanager,
visita il
repository
opentelemetry-collector-contrib.