Mengakses secret yang disimpan di luar cluster GKE menggunakan library klien

Tutorial ini menunjukkan cara menyimpan data sensitif yang digunakan oleh cluster Google Kubernetes Engine (GKE) di Secret Manager. Anda akan mempelajari cara mengakses data dengan lebih aman dari Pod menggunakan Workload Identity Federation for GKE danGoogle Cloud library klien.

Menyimpan data sensitif di luar penyimpanan cluster akan mengurangi risiko akses tidak sah ke data jika terjadi serangan. Dengan menggunakan Workload Identity Federation untuk GKE guna mengakses data, Anda dapat menghindari risiko yang terkait dengan pengelolaan kunci akun layanan yang aktif untuk jangka waktu lama, dan memungkinkan Anda mengontrol akses ke secret Anda menggunakan Identity and Access Management (IAM), bukan aturan RBAC dalam cluster. Anda dapat menggunakan penyedia penyimpanan secret eksternal apa pun, seperti Secret Manager atau HashiCorp Vault.

Halaman ini ditujukan bagi spesialis Keamanan yang ingin memindahkan data sensitif dari penyimpanan dalam cluster. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud , lihat Peran dan tugas pengguna GKE umum.

Tutorial ini menggunakan cluster GKE Autopilot. Untuk melakukan langkah-langkah menggunakan GKE Standard, Anda harus mengaktifkan Workload Identity Federation untuk GKE secara manual.

Anda dapat menggunakan Workload Identity Federation untuk GKE guna mengakses API Google Cloud apa pun dari workload GKE tanpa harus menggunakan pendekatan yang kurang aman seperti file kunci akun layanan statis. Tutorial ini menggunakan Secret Manager sebagai contoh, tetapi Anda dapat menggunakan langkah-langkah yang sama untuk mengakses API Google Cloud lainnya. Untuk mempelajari lebih lanjut, lihat Workload Identity Federation for GKE.

Tujuan

  • Buat secret di Google Cloud Secret Manager.
  • Membuat cluster GKE Autopilot, namespace Kubernetes, dan akun layanan Kubernetes.
  • Buat kebijakan izin IAM untuk memberikan akses ke akun layanan Kubernetes Anda pada secret.
  • Menggunakan aplikasi pengujian untuk memverifikasi akses akun layanan.
  • Menjalankan aplikasi contoh yang mengakses secret menggunakan Secret Manager API.

Biaya

Di dokumen ini, Anda akan menggunakan komponen Google Cloudyang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga.

Pengguna Google Cloud baru mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, baca bagian Pembersihan.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. Install the Google Cloud CLI.

  3. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  4. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  5. Create or select a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Kubernetes Engine and Secret Manager APIs:

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles. 

    gcloud services enable container.googleapis.com secretmanager.googleapis.com

  8. Install the Google Cloud CLI.

  9. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  10. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  11. Create or select a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  12. Verify that billing is enabled for your Google Cloud project.

  13. Enable the Kubernetes Engine and Secret Manager APIs:

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles. 

    gcloud services enable container.googleapis.com secretmanager.googleapis.com

  14. Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/secretmanager.admin, roles/container.clusterAdmin 

    gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE

    Replace the following:

    • PROJECT_ID: Your project ID.
    • USER_IDENTIFIER: The identifier for your user account. For example, myemail@example.com.
    • ROLE: The IAM role that you grant to your user account.

    15. Menyiapkan lingkungan

    Clone repositori GitHub yang berisi file contoh untuk tutorial ini:

    git clone https://github.com/GoogleCloudPlatform/kubernetes-engine-samples
cd ~/kubernetes-engine-samples/security/wi-secrets

    Membuat secret di Secret Manager

    1. Contoh berikut menampilkan data yang akan Anda gunakan untuk membuat secret:

      key=my-api-key

    2. Buat secret untuk menyimpan data sampel:

      gcloud secrets create bq-readonly-key \
    --data-file=manifests/bq-readonly-key \
    --ttl=3600s

      Perintah ini akan melakukan hal berikut:

      • Membuat secret Secret Manager baru dengan kunci contoh di region us-central1 Google Cloud .
      • Menetapkan masa berlaku secret agar berakhir satu jam setelah Anda menjalankan perintah.

    Membuat resource cluster dan Kubernetes

    Buat cluster GKE, namespace Kubernetes, dan akun layanan Kubernetes. Anda membuat dua namespace, satu untuk akses hanya baca dan satu untuk akses baca-tulis ke secret. Anda juga membuat akun layanan Kubernetes di setiap namespace untuk digunakan dengan Workload Identity Federation for GKE.

    1. Buat cluster GKE Autopilot:

      gcloud container clusters create-auto secret-cluster \
    --location=us-central1

      Mungkin perlu waktu sekitar lima menit untuk men-deploy cluster. Cluster Autopilot selalu mengaktifkan Workload Identity Federation for GKE. Jika ingin menggunakan cluster GKE Standard, Anda harus mengaktifkan Workload Identity Federation for GKE secara manual sebelum melanjutkan.

    2. Buat namespace readonly-ns dan namespace admin-ns:

      kubectl create namespace readonly-ns
kubectl create namespace admin-ns

    3. Buat akun layanan Kubernetes readonly-sa dan akun layanan Kubernetes admin-sa:

      kubectl create serviceaccount readonly-sa --namespace=readonly-ns
kubectl create serviceaccount admin-sa --namespace=admin-ns

    Membuat kebijakan izin IAM

    1. Beri akun layanan readonly-sa akses hanya baca ke secret:

      gcloud secrets add-iam-policy-binding bq-readonly-key \
    --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/readonly-ns/sa/readonly-sa \
    --role='roles/secretmanager.secretAccessor' \
    --condition=None

      Ganti kode berikut:

      • PROJECT_NUMBER: nomor project Google Cloud numerik Anda.
      • PROJECT_ID: Google Cloud Project ID Anda.

    2. Beri akun layanan admin-sa akses baca-tulis ke secret:

      gcloud secrets add-iam-policy-binding bq-readonly-key \
    --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/admin-ns/sa/admin-sa \
    --role='roles/secretmanager.secretAccessor' \
    --condition=None
gcloud secrets add-iam-policy-binding bq-readonly-key \
    --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/admin-ns/sa/admin-sa \
    --role='roles/secretmanager.secretVersionAdder' \
    --condition=None

    Memverifikasi akses secret

    Deploy Pod pengujian di setiap namespace untuk memverifikasi akses hanya baca dan baca-tulis.

    1. Tinjau manifes Pod hanya baca:

      # Copyright 2022 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: v1
kind: Pod
metadata:
  name: readonly-test
  namespace: readonly-ns
spec:
  containers:
  - image: google/cloud-sdk:slim
    name: workload-identity-test
    command: ["sleep","infinity"]
    resources:
      requests:
        cpu: "150m"
        memory: "150Mi"
  serviceAccountName: readonly-sa

      Pod ini menggunakan akun layanan readonly-sa di namespace readonly-ns.

    2. Tinjau manifes Pod baca-tulis:

      # Copyright 2022 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: v1
kind: Pod
metadata:
  name: admin-test
  namespace: admin-ns
spec:
  containers:
  - image: google/cloud-sdk:slim
    name: workload-identity-test
    command: ["sleep","infinity"]
    resources:
      requests:
        cpu: "150m"
        memory: "150Mi"
  serviceAccountName: admin-sa

      Pod ini menggunakan akun layanan admin-sa di namespace admin-ns.

    3. Deploy Pod pengujian:

      kubectl apply -f manifests/admin-pod.yaml
kubectl apply -f manifests/readonly-pod.yaml

      Mungkin perlu waktu beberapa menit untuk Pod mulai berjalan. Untuk memantau progres, jalankan perintah berikut:

      watch kubectl get pods -n readonly-ns

      Saat status Pod berubah menjadi RUNNING, tekan Ctrl+C untuk kembali ke command line.

    Menguji akses hanya baca

    1. Buka shell di Pod readonly-test:

      kubectl exec -it readonly-test --namespace=readonly-ns -- /bin/bash

    2. Coba baca secret-nya:

      gcloud secrets versions access 1 --secret=bq-readonly-key

      Outputnya adalah key=my-api-key.

    3. Coba tulis data baru ke secret:

      printf "my-second-api-key" | gcloud secrets versions add bq-readonly-key --data-file=-

      Outputnya mirip dengan yang berikut ini:

      ERROR: (gcloud.secrets.versions.add) PERMISSION_DENIED: Permission 'secretmanager.versions.add' denied for resource 'projects/PROJECT_ID/secrets/bq-readonly-key' (or it may not exist).

      Pod yang menggunakan akun layanan hanya baca hanya dapat membaca secret, dan tidak dapat menulis data baru.

    4. Keluar dari Pod:

      exit

    Menguji akses baca-tulis

    1. Buka shell di Pod admin-test:

      kubectl exec -it admin-test --namespace=admin-ns -- /bin/bash

    2. Coba baca secret-nya:

      gcloud secrets versions access 1 --secret=bq-readonly-key

      Outputnya adalah key=my-api-key.

    3. Coba tulis data baru ke secret:

      printf "my-second-api-key" | gcloud secrets versions add bq-readonly-key --data-file=-

      Outputnya mirip dengan yang berikut ini:

      Created version [2] of the secret [bq-readonly-key].

    4. Baca versi secret baru:

      gcloud secrets versions access 2 --secret=bq-readonly-key

      Outputnya adalah my-second-api-key.

    5. Keluar dari Pod:

      exit

    Pod hanya mendapatkan tingkat akses yang Anda berikan ke akun layanan Kubernetes yang digunakan dalam manifes Pod. Setiap Pod yang menggunakan akun Kubernetes admin-sa di namespace admin-ns dapat menulis versi baru secret, tetapi semua Pod dalam namespace readonly-ns yang menggunakan akun layanan Kubernetes readonly-sa hanya dapat membaca secret.

    Mengakses secret dari kode Anda

    Di bagian ini, Anda akan melakukan hal berikut:

    1. Men-deploy aplikasi contoh yang membaca secret Anda di Secret Manager menggunakan library klien.

    2. Memastikan aplikasi dapat mengakses secret Anda.

    Anda harus mengakses secret Secret Manager dari kode aplikasi jika memungkinkan, menggunakan Secret Manager API.

    1. Meninjau kode sumber aplikasi contoh:

      // Copyright 2022 Google LLC
//
// Licensed under the Apache License, Version 2.0 (the "License");
// you may not use this file except in compliance with the License.
// You may obtain a copy of the License at
//
//     http://www.apache.org/licenses/LICENSE-2.0
//
// Unless required by applicable law or agreed to in writing, software
// distributed under the License is distributed on an "AS IS" BASIS,
// WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
// See the License for the specific language governing permissions and
// limitations under the License.

package main

import (
	"context"
	"fmt"
	"log"
	"os"

	secretmanager "cloud.google.com/go/secretmanager/apiv1"
	secretmanagerpb "google.golang.org/genproto/googleapis/cloud/secretmanager/v1"
)

func main() {

        // Get environment variables from Pod spec.
        projectID := os.Getenv("PROJECT_ID")
        secretId := os.Getenv("SECRET_ID")
        secretVersion := os.Getenv("SECRET_VERSION")

        // Create the Secret Manager client.
        ctx := context.Background()
        client, err := secretmanager.NewClient(ctx)
        if err != nil {
                log.Fatalf("failed to setup client: %v", err)
        }
        defer client.Close()

        // Create the request to access the secret.
        accessSecretReq := &secretmanagerpb.AccessSecretVersionRequest{
                Name: fmt.Sprintf("projects/%s/secrets/%s/versions/%s", projectID, secretId, secretVersion),
        }

        secret, err := client.AccessSecretVersion(ctx, accessSecretReq)
        if err != nil {
                log.Fatalf("failed to access secret: %v", err)
        }

        // Print the secret payload.
        //
        // WARNING: Do not print the secret in a production environment - this
        // snippet is showing how to access the secret material.
        log.Printf("Welcome to the key store, here's your key:\nKey: %s", secret.Payload.Data)
}

      Aplikasi ini memanggil Secret Manager API untuk mencoba dan membaca secret tersebut.

    2. Tinjau manifes Pod aplikasi contoh:

      # Copyright 2022 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: v1
kind: Pod
metadata:
  name: readonly-secret-test
  namespace: readonly-ns
spec:
  containers:
  - image: us-docker.pkg.dev/google-samples/containers/gke/wi-secret-store:latest
    name: secret-app
    env:
      - name: PROJECT_ID
        value: "YOUR_PROJECT_ID"
      - name: SECRET_ID
        value: "bq-readonly-key"
      - name: SECRET_VERSION
        value: "latest"
    resources:
      requests:
        cpu: "125m"
        memory: "64Mi"
  serviceAccountName: readonly-sa

      Manifes ini melakukan hal berikut:

      • Membuat Pod di namespace readonly-ns yang menggunakan akun layanan readonly-sa.
      • Mengambil aplikasi contoh dari registry image Google. Aplikasi ini memanggil Secret Manager API menggunakan library klienGoogle Cloud . Anda dapat melihat kode aplikasi di /main.go pada repositori.
      • Menetapkan variabel lingkungan untuk digunakan oleh aplikasi contoh.

    3. Ganti variabel lingkungan dalam aplikasi contoh:

      sed -i "s/YOUR_PROJECT_ID/PROJECT_ID/g" "manifests/secret-app.yaml"

    4. Deploy aplikasi contoh:

      kubectl apply -f manifests/secret-app.yaml

      Mungkin perlu waktu beberapa menit untuk Pod mulai bekerja. Jika Pod memerlukan node baru di cluster, Anda mungkin melihat peristiwa jenis CrashLoopBackOff saat GKE menyediakan node. Error akan berhenti saat node berhasil disediakan.

    5. Verifikasi akses secret:

      kubectl logs readonly-secret-test -n readonly-ns

      Outputnya adalah my-second-api-key. Jika output kosong, Pod mungkin belum berjalan. Tunggu beberapa menit dan coba lagi.

    Pendekatan alternatif

    Jika Anda perlu memasang data sensitif ke Pod, gunakan add-on Secret Manager untuk GKE. Add-on ini men-deploy dan mengelola penyedia Secret Manager untuk driver CSI Kubernetes Secret Store di cluster GKE Anda. Google Cloud Untuk mendapatkan petunjuk, lihat Menggunakan add-on Secret Manager dengan GKE.

    Menyediakan secret sebagai volume yang terpasang memiliki risiko berikut:

    1. Volume yang terpasang rentan terhadap serangan traversal direktori.
    2. Variabel lingkungan dapat disusupi karena kesalahan konfigurasi seperti membuka endpoint debug.

    Jika memungkinkan, sebaiknya Anda mengakses secret secara terprogram melalui Secret Manager API. Untuk mendapatkan petunjuk, gunakan aplikasi contoh dalam tutorial ini atau lihat library klien Secret Manager.

    Pembersihan

    Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

    Menghapus resource satu per satu

    1. Hapus cluster:

      gcloud container clusters delete secret-cluster \
    --location=us-central1

    2. Opsional: Hapus secret di Secret Manager:

      gcloud secrets delete bq-readonly-key

      Jika Anda tidak melakukan langkah ini, secret akan otomatis berakhir karena Anda menetapkan flag --ttl selama pembuatan.

    Menghapus project

      Delete a Google Cloud project:

      gcloud projects delete PROJECT_ID

    Langkah berikutnya