Halaman ini menjelaskan cara memperbarui kunci Media CDN yang digunakan untuk permintaan bertanda tangan. Anda dapat memiliki hingga tiga kunci publik dan tiga kunci bersama validasi, dengan total enam kunci per set kunci. Untuk mencegah terlampauinya batas tersebut selama rotasi kunci, lihat petunjuk berikut tentang cara menghapus kunci bersama validasi dan cara menambahkan kunci.
Sebelum memulai
Berikan peran Secret Manager Access (
roles/secretmanager.secretAccessor) ke akun layanan Media CDN.Konsol
Di konsol Google Cloud , buka halaman Secret Manager.
- Pilih secret.
- Di panel info, klik Add principal.
Untuk Akun utama baru, masukkan akun layanan Media CDN sebagai berikut:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.comGanti
PROJECT_NUMBERdengan nomor project Anda.- Untuk Select a role, pilih Secret Manager, lalu pilih Secret Manager Secret Accessor.
- Klik Simpan.
gcloud
Gunakan perintah
gcloud secrets add-iam-policy-binding:gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"Ganti kode berikut:
PROJECT_NUMBER: nomor project AndaSECRET_ID: ID secret
Menghapus secret
Konsol
Di Konsol Google Cloud , buka halaman Media CDN.
Klik tab Keysets.
Pilih set kunci yang memiliki secret yang ingin Anda hapus, lalu klik Edit.
Untuk menghapus rahasia, di bagian Kunci > Kunci bersama validasi, klik Hapus di samping nama rahasia.
Klik Perbarui set kunci.
gcloud
Untuk menghapus kunci rahasia dari set kunci, gunakan perintah gcloud edge-cache keysets
update. Hilangkan
keyset yang ingin Anda hapus dan tentukan keyset yang ingin Anda pertahankan.
Dalam contoh berikut, KEY_VERSION_1
tidak tercantum, sedangkan KEY_VERSION_2 dan
KEY_VERSION_3 tercantum. Menghilangkan
KEY_VERSION_1 akan menghapusnya dari keyset.
gcloud edge-cache keysets update KEYSET_NAME \
--validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
--validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
Ganti kode berikut:
KEYSET_NAME: nama set kunciPROJECT_NUMBER: nomor project AndaSECRET_ID: ID secret yang Anda perbaruiKEY_VERSION: versi kunci
editor teks
Ekspor set kunci Anda ke file YAML. Gunakan perintah
gcloud edge-cache keysets export.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yamlGanti kode berikut:
KEYSET_NAME: nama set kunci Anda—misalnya,prod-vod-keysetFILENAME: nama file YAML
Edit file konfigurasi keyset yang diekspor untuk menghapus kunci rahasia. Contoh berikut menunjukkan cara menghapus kunci rahasia terlama, yang diakhiri dengan KEY_VERSION_1:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_1" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"Ganti kode berikut:
PROJECT_NUMBER: nomor project AndaSECRET_ID: ID secret yang Anda perbaruiKEY_VERSION: versi kunci
File yang diedit akan terlihat mirip dengan berikut ini:
name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3"Impor set kunci yang telah diedit. Gunakan perintah
gcloud edge-cache keysets import:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml
Menambahkan secret
Konsol
Di Konsol Google Cloud , buka halaman Media CDN.
Klik tab Keysets.
Pilih set kunci yang ingin Anda tambahi rahasia, lalu klik Edit.
Untuk menambahkan secret, di bagian Keys > Validation shared keys, klik Secret. Kemudian, pilih rahasia dari daftar, masukkan rahasia secara manual dengan menentukan ID resource-nya, atau buat rahasia baru lalu pilih rahasia tersebut.
Pilih versi rahasia dari daftar atau buat versi rahasia baru, lalu pilih versi rahasia tersebut.
Klik Perbarui set kunci.
gcloud
Untuk menambahkan kunci rahasia ke set kunci, gunakan perintah gcloud edge-cache keysets update. Tentukan
kumpulan kunci yang Anda miliki dan kumpulan kunci yang ingin Anda tambahkan.
Dalam contoh berikut, KEY_VERSION_1 sebelumnya dihapus dan KEY_VERSION_4 adalah kumpulan kunci yang ditambahkan. Mencantumkan KEY_VERSION_4 selain KEY_VERSION_2 dan KEY_VERSION_3 akan menambahkannya ke set kunci.
gcloud edge-cache keysets update KEYSET_NAME \
--validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2'
--validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3'
--validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4'
Ganti kode berikut:
KEYSET_NAME: nama set kunciPROJECT_NUMBER: nomor project AndaSECRET_ID: ID secret yang Anda perbaruiKEY_VERSION: versi kunci
editor teks
Ekspor set kunci Anda ke file YAML. Gunakan perintah
gcloud edge-cache keysets export.gcloud edge-cache keysets export KEYSET_NAME \ --destination=FILENAME.yamlGanti kode berikut:
KEYSET_NAME: nama kumpulan kunci AndaFILENAME: nama file YAML
Dalam file konfigurasi kumpulan kunci yang diekspor, tambahkan baris
secretVersionbaru yang menyertakan versi kunci baru, mirip dengan berikut:name: projects/my-project/locations/global/edgeCacheKeysets/prod-vod-keyset validationSharedKeys: - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_2" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_3" - secretVersion: "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION_4"Impor set kunci yang telah diedit. Gunakan perintah
gcloud edge-cache keysets import:gcloud edge-cache keysets import KEYSET_NAME \ --source=FILENAME.yaml