Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Secrets rotieren

Auf dieser Seite wird beschrieben, wie Sie Media CDN-Schlüssel aktualisieren, die für signierte Anfragen verwendet werden. Sie können bis zu drei öffentliche Schlüssel und drei freigegebene Validierungsschlüssel angeben, also insgesamt sechs Schlüssel pro Schlüsselsatz. Informationen dazu, wie Sie verhindern, dass diese Limits bei einer Schlüsselrotation überschritten werden, finden Sie in der folgenden Anleitung zum Löschen eines geteilten Validierungsschlüssels und zum Hinzufügen eines Schlüssels.

Hinweis

Konfigurieren Sie Ihre freigegebenen Validierungsschlüssel in Secret Manager.
Weisen Sie dem Media CDN-Dienstkonto die Rolle „Secret Manager-Zugriff“ (roles/secretmanager.secretAccessor) zu.
Console
1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.
  
  Zu Secret Manager
2. Wählen Sie das Secret aus.
3. Klicken Sie im Infofeld auf Hauptkonto hinzufügen.
4. Geben Sie unter Neue Hauptkonten das Media CDN Dienstkonto so ein:
  service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
  
  Ersetzen Sie PROJECT_NUMBER durch Ihre Projektnummer.
5. Wählen Sie unter Rolle auswählen die Option Secret Manager und dann Zugriffsperson für Secret Manager-Secret aus.
6. Klicken Sie auf Speichern.
gcloud

Verwenden Sie den gcloud secrets add-iam-policy-binding Befehl:
```
   gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
       --role="roles/secretmanager.secretAccessor"
    
```
Ersetzen Sie Folgendes:
- PROJECT_NUMBER: Ihre Projektnummer
- SECRET_ID: die ID des Secrets

Secret löschen

Console

Rufen Sie in der Google Cloud Console die Seite Media CDN auf.

Zum Media CDN
Klicken Sie auf den Tab Schlüsselsätze.
Wählen Sie den Schlüsselsatz mit dem Secret aus, das Sie löschen möchten, und klicken Sie dann auf Bearbeiten.
Wenn Sie ein Secret löschen möchten, klicken Sie im Bereich Schlüssel > Freigegebene Validierungsschlüssel neben dem Secret-Namen auf „Löschen“ Löschen.
Klicken Sie auf Schlüsselsatz aktualisieren.

gcloud

Verwenden Sie den gcloud edge-cache keysets update Befehl, um einen geheimen Schlüssel aus einem Schlüsselsatz zu löschen. Lassen Sie den zu löschenden Schlüsselsatz weg und geben Sie die Schlüsselsätze an, die Sie behalten möchten.

Im folgenden Beispiel wird KEY_VERSION_1 nicht aufgeführt, während KEY_VERSION_2 und KEY_VERSION_3 aufgeführt werden. Wenn Sie KEY_VERSION_1 weglassen, wird es aus dem Schlüsselsatz gelöscht.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Ersetzen Sie Folgendes:

KEYSET_NAME: der Name des Schlüsselsatzes
PROJECT_NUMBER: Ihre Projektnummer
SECRET_ID: die ID des Secrets, das Sie aktualisieren
KEY_VERSION: die Schlüsselversion

Texteditor

Exportieren Sie Ihren Schlüsselsatz in eine YAML-Datei. Verwenden Sie den gcloud edge-cache keysets export Befehl.
```
gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml
```
Ersetzen Sie Folgendes:
- KEYSET_NAME: der Name Ihres Schlüsselsatzes, z. B. prod-vod-keyset
- FILENAME: der YAML-Dateiname

Bearbeiten Sie die exportierte Konfigurationsdatei des Schlüsselsatzes, um den geheimen Schlüssel zu entfernen. Im folgenden Beispiel wird der älteste geheime Schlüssel entfernt, der mit KEY_VERSION_1 endet:

name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

Ersetzen Sie Folgendes:

PROJECT_NUMBER: Ihre Projektnummer
SECRET_ID: die ID des Secrets, das Sie aktualisieren
KEY_VERSION: die Schlüsselversion

Die bearbeitete Datei sieht in etwa so aus:

name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

Importieren Sie den bearbeiteten Schlüsselsatz. Verwenden Sie den gcloud edge-cache keysets import Befehl:
```
gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml
```

Secret hinzufügen

Console

Rufen Sie in der Google Cloud Console die Seite Media CDN auf.

Zum Media CDN
Klicken Sie auf den Tab Schlüsselsätze.
Wählen Sie den Schlüsselsatz aus, dem Sie ein Secret hinzufügen möchten, und klicken Sie dann auf Bearbeiten.
Wenn Sie ein Secret hinzufügen möchten, klicken Sie im Bereich Schlüssel > Freigegebene Validierungsschlüssel auf Secret. Wählen Sie dann ein Secret aus der Liste aus, geben Sie ein Secret manuell ein, indem Sie die Ressourcen-ID angeben, oder erstellen Sie ein neues Secret und wählen Sie es aus.
Wählen Sie eine Secret-Version aus der Liste aus oder erstellen Sie eine neue Secret-Version, und wählen Sie sie aus.
Klicken Sie auf Schlüsselsatz aktualisieren.

gcloud

Verwenden Sie den gcloud edge-cache keysets update Befehl, um einem Schlüsselsatz einen geheimen Schlüssel hinzuzufügen. Geben Sie die vorhandenen Schlüsselsätze und den hinzuzufügenden Schlüsselsatz an.

Im folgenden Beispiel wurde KEY_VERSION_1 zuvor gelöscht und KEY_VERSION_4 ist der hinzuzufügende Schlüsselsatz. Wenn Sie KEY_VERSION_4 zusätzlich zu KEY_VERSION_2 und KEY_VERSION_3 auflisten, wird es dem Schlüsselsatz hinzugefügt.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Ersetzen Sie Folgendes:

KEYSET_NAME: der Name des Schlüsselsatzes
PROJECT_NUMBER: Ihre Projektnummer
SECRET_ID: die ID des Secrets, das Sie aktualisieren
KEY_VERSION: die Schlüsselversion

Texteditor

Exportieren Sie Ihren Schlüsselsatz in eine YAML-Datei. Verwenden Sie den gcloud edge-cache keysets export Befehl.
```
gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml
```
Ersetzen Sie Folgendes:
- KEYSET_NAME: der Name Ihres Schlüsselsatzes
- FILENAME: der YAML-Dateiname

Fügen Sie in der exportierten Konfigurationsdatei des Schlüsselsatzes eine neue secretVersion-Zeile mit einer neuen Schlüsselversion hinzu, ähnlich dem folgenden Beispiel:

name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"

Importieren Sie den bearbeiteten Schlüsselsatz. Verwenden Sie den gcloud edge-cache keysets import Befehl:
```
gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml
```

Secrets rotieren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweis

Console

gcloud

Secret löschen

Console

gcloud

Texteditor

Secret hinzufügen

Console

gcloud

Texteditor

Secrets rotieren