Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ruotare i secret

Questa pagina descrive come aggiornare le chiavi di Media CDN utilizzate per le richieste firmate. Puoi specificare fino a tre chiavi pubbliche e tre chiavi condivise di convalida, per un totale di sei chiavi per set di chiavi. Per evitare di superare questi limiti durante una rotazione della chiave, consulta le seguenti istruzioni su come eliminare una chiave condivisa di convalida e come aggiungere una chiave.

Prima di iniziare

Configura le chiavi condivise di convalida in Secret Manager.
Concedi il ruolo Accesso a Secret Manager (roles/secretmanager.secretAccessor) al account di servizio Media CDN.
Console
1. Nella Google Cloud console, vai alla pagina Secret Manager.
  
  Vai a Secret Manager
2. Seleziona il secret.
3. Nel riquadro informazioni, fai clic su Aggiungi entità.
4. In Nuove entità, inserisci il account di servizio Media CDN nel seguente modo:
  service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
  
  Sostituisci PROJECT_NUMBER con il numero del tuo progetto.
5. In Seleziona un ruolo, seleziona Secret Manager e poi seleziona Secret Manager Secret Accessor.
6. Fai clic su Salva.
gcloud

Utilizza il gcloud secrets add-iam-policy-binding comando:
```
   gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
       --role="roles/secretmanager.secretAccessor"
    
```
Sostituisci quanto segue:
- PROJECT_NUMBER: il numero del tuo progetto
- SECRET_ID: l'ID del secret

Eliminare un secret

Console

Nella Google Cloud console, vai alla pagina Media CDN.

Vai a Media CDN
Fai clic sulla scheda Set di chiavi.
Seleziona il set di chiavi che contiene il secret che vuoi eliminare e poi fai clic su Modifica.
Per eliminare un secret, nella sezione Chiavi > Chiavi condivise di convalida, fai clic su Elimina accanto al nome del secret.
Fai clic su Aggiorna set di chiavi.

gcloud

Per eliminare una chiave secret da un set di chiavi, utilizza il gcloud edge-cache keysets update comando. Ometti il set di chiavi che vuoi eliminare e specifica i set di chiavi che vuoi conservare.

Nell'esempio seguente, KEY_VERSION_1 non è elencato, mentre KEY_VERSION_2 e KEY_VERSION_3 sono elencati. Se ometti KEY_VERSION_1, questa viene eliminata dal set di chiavi.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Sostituisci quanto segue:

KEYSET_NAME: il nome del set di chiavi
PROJECT_NUMBER: il numero del tuo progetto
SECRET_ID: l'ID del secret che stai aggiornando
KEY_VERSION: la versione della chiave

editor di testo

Esporta il set di chiavi in un file YAML. Utilizza il gcloud edge-cache keysets export comando.
```
gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml
```
Sostituisci quanto segue:
- KEYSET_NAME: il nome del set di chiavi, ad esempio prod-vod-keyset
- FILENAME: il nome del file YAML

Modifica il file di configurazione del set di chiavi esportato per rimuovere la chiave secret. L'esempio seguente mostra come rimuovere la chiave secret meno recente, che termina con KEY_VERSION_1:

name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

Sostituisci quanto segue:

PROJECT_NUMBER: il numero del tuo progetto
SECRET_ID: l'ID del secret che stai aggiornando
KEY_VERSION: la versione della chiave

Il file modificato è simile al seguente:

name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

Importa il set di chiavi modificato. Utilizza il gcloud edge-cache keysets import comando:
```
gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml
```

Aggiungere un secret

Console

Nella Google Cloud console, vai alla pagina Media CDN.

Vai a Media CDN
Fai clic sulla scheda Set di chiavi.
Seleziona il set di chiavi a cui vuoi aggiungere un secret e poi fai clic su Modifica.
Per aggiungere un secret, nella sezione Chiavi > Chiavi condivise di convalida, fai clic su Secret. Seleziona un secret dall'elenco, inseriscilo manualmente specificando il relativo ID risorsa oppure crea un nuovo secret e poi selezionalo.
Seleziona una versione del secret dall'elenco o creane una nuova, e poi selezionala.
Fai clic su Aggiorna set di chiavi.

gcloud

Per aggiungere una chiave secret a un set di chiavi, utilizza il gcloud edge-cache keysets update comando. Specifica i set di chiavi che hai e il set di chiavi che vuoi aggiungere.

Nell'esempio seguente, KEY_VERSION_1 è stato eliminato in precedenza e KEY_VERSION_4 è il set di chiavi che viene aggiunto. Se elenchi KEY_VERSION_4 oltre a KEY_VERSION_2 e KEY_VERSION_3, questo viene aggiunto al set di chiavi.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Sostituisci quanto segue:

KEYSET_NAME: il nome del set di chiavi
PROJECT_NUMBER: il numero del tuo progetto
SECRET_ID: l'ID del secret che stai aggiornando
KEY_VERSION: la versione della chiave

editor di testo

Esporta il set di chiavi in un file YAML. Utilizza il gcloud edge-cache keysets export comando.
```
gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml
```
Sostituisci quanto segue:
- KEYSET_NAME: il nome del set di chiavi
- FILENAME: il nome del file YAML

Nel file di configurazione del set di chiavi esportato, aggiungi una nuova riga secretVersion che includa una nuova versione della chiave, simile alla seguente:

name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"

Importa il set di chiavi modificato. Utilizza il gcloud edge-cache keysets import comando:
```
gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml
```

Ruotare i secret Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Console

gcloud

Eliminare un secret

Console

gcloud

editor di testo

Aggiungere un secret

Console

gcloud

editor di testo

Ruotare i secret