Rotar secretos

En esta página, se describe cómo actualizar las claves de Media CDN que se usan para las solicitudes firmadas. Puedes tener hasta tres claves públicas y tres claves compartidas de validación, para un total de seis claves por conjunto de claves. Para evitar exceder esos límites durante una rotación de claves, consulta las siguientes instrucciones sobre cómo borrar una clave compartida de validación y cómo agregar una clave.

Antes de comenzar

  1. Configura tus claves compartidas de validación en Secret Manager.

  2. Otorga el rol de acceso a Secret Manager (roles/secretmanager.secretAccessor) a la cuenta de servicio de Media CDN.

    Console

    1. En la Google Cloud consola, ve a la página Secret Manager.

      Ir a Secret Manager

    2. Selecciona el secreto.
    3. En el panel de información, haz clic en Agregar principal.

    4. En Nuevos principales, ingresa la cuenta de servicio de Media CDN de la siguiente manera:
      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

      Reemplaza PROJECT_NUMBER por el número de tu proyecto.

    5. En Selecciona un rol, selecciona Secret Manager y, luego, selecciona Administrador y descriptor de acceso a Secretos.
    6. Haz clic en Guardar.

    gcloud

    Usa el gcloud secrets add-iam-policy-binding comando:

       gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
       --role="roles/secretmanager.secretAccessor"

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el número de tu proyecto.
    • SECRET_ID: Es el ID del secreto.

Borra un secreto

Console

  1. En la Google Cloud consola de, ve a la páginaMedia CDN.

    Ir a Media CDN

  2. Haz clic en la pestaña Conjuntos de claves.

  3. Selecciona el conjunto de claves que tiene el secreto que deseas borrar y, luego, haz clic en Editar.

  4. Para borrar un secreto, en la sección Claves > Claves compartidas de validación, haz clic en Borrar junto al nombre del secreto.

  5. Haz clic en Actualizar conjunto de claves.

gcloud

Para borrar una clave secreta de un conjunto de claves, usa el gcloud edge-cache keysets update comando. Omite el conjunto de claves que deseas borrar y especifica los conjuntos de claves que deseas conservar.

En el siguiente ejemplo, KEY_VERSION_1 no aparece en la lista, mientras que KEY_VERSION_2 y KEY_VERSION_3 sí. Si omites KEY_VERSION_1, se borrará del conjunto de claves.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'

Reemplaza lo siguiente:

  • KEYSET_NAME: Es el nombre del conjunto de claves.
  • PROJECT_NUMBER: Es el número de tu proyecto.
  • SECRET_ID: Es el ID del secreto que estás actualizando.
  • KEY_VERSION: Es la versión de la clave.

editor de texto

  1. Exporta tu conjunto de claves a un archivo YAML. Usa el gcloud edge-cache keysets export comando.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Reemplaza lo siguiente:

    • KEYSET_NAME: Es el nombre de tu conjunto de claves, por ejemplo, prod-vod-keyset.
    • FILENAME: Es el nombre de archivo YAML.

  2. Edita el archivo de configuración del conjunto de claves exportado para quitar la clave secreta. En el siguiente ejemplo, se muestra cómo quitar la clave secreta más antigua, que termina en KEY_VERSION_1:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el número de tu proyecto.
    • SECRET_ID: Es el ID del secreto que estás actualizando.
    • KEY_VERSION: Es la versión de la clave.

    El archivo editado se ve similar al siguiente:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"

  3. Importa el conjunto de claves editado. Usa el gcloud edge-cache keysets import comando:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml

Agregar un secreto

Console

  1. En la Google Cloud consola de, ve a la páginaMedia CDN.

    Ir a Media CDN

  2. Haz clic en la pestaña Conjuntos de claves.

  3. Selecciona el conjunto de claves al que deseas agregar un secreto y, luego, haz clic en Editar.

  4. Para agregar un secreto, en la sección Claves > Claves compartidas de validación, haz clic en Secreto. Luego, selecciona un secreto de la lista, ingresa un secreto de forma manual especificando su ID de recurso o crea un secreto nuevo y, luego, selecciónalo.

  5. Selecciona una versión secreta de la lista o crea una versión secreta nueva, y, luego, selecciónala.

  6. Haz clic en Actualizar conjunto de claves.

gcloud

Para agregar una clave secreta a un conjunto de claves, usa el gcloud edge-cache keysets update comando. Especifica los conjuntos de claves que tienes y el conjunto de claves que deseas agregar.

En el siguiente ejemplo, KEY_VERSION_1 se borró anteriormente y KEY_VERSION_4 es el conjunto de claves que se agrega. Si incluyes KEY_VERSION_4 además de KEY_VERSION_2 y KEY_VERSION_3, se agregará al conjunto de claves.

gcloud edge-cache keysets update KEYSET_NAME \
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
    --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'

Reemplaza lo siguiente:

  • KEYSET_NAME: Es el nombre del conjunto de claves.
  • PROJECT_NUMBER: Es el número de tu proyecto.
  • SECRET_ID: Es el ID del secreto que estás actualizando.
  • KEY_VERSION: Es la versión de la clave.

editor de texto

  1. Exporta tu conjunto de claves a un archivo YAML. Usa el gcloud edge-cache keysets export comando.

    gcloud edge-cache keysets export KEYSET_NAME \
    --destination=FILENAME.yaml

    Reemplaza lo siguiente:

    • KEYSET_NAME: Es el nombre de tu conjunto de claves.
    • FILENAME: Es el nombre de archivo YAML.

  2. En el archivo de configuración del conjunto de claves exportado, agrega una línea secretVersion nueva que incluya una versión de clave nueva, similar a la siguiente:

    name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset
validationSharedKeys:
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"
    - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"

  3. Importa el conjunto de claves editado. Usa el gcloud edge-cache keysets import comando:

    gcloud edge-cache keysets import KEYSET_NAME \
    --source=FILENAME.yaml