966
¿Estás abrumado con los secretos que necesitas mantener a salvo? ¡No, no ese tipo de secreto! Nos referimos a claves SSH, claves API, credenciales de administrador y otra información confidencial. Guardar estos secretos en un archivo de texto fácil de leer pondrá la piel de gallina a su tipo de InfoSec.
Hay muchas formas de almacenar secretos; aprenderemos sobre uno de ellos en esta publicación; el administrador de secretos de Google Cloud. GCP Secret Manager puede convertirse en su ventanilla única para almacenar información confidencial.
Exploremos cómo puede usar GCP Secret Manager para almacenar y acceder a información confidencial.
Requisitos
Crear un nuevo proyecto
A medida que avanza la jerarquía, sus recursos se crearán dentro de un proyecto en GCP. Dicho esto, puede omitir este paso si ya tiene un proyecto de GCP existente que desea usar en su lugar.
- Inicie sesión en su Consola de Google Cloud.
- Haga clic en el menú desplegable de selección de proyectos en la parte superior.
- En la página emergente, haga clic en NUEVO PROYECTO.
- Escriba el nombre del proyecto que desea asignar. El nombre del proyecto debe ser globalmente único. Tenga en cuenta que el nombre del proyecto no se puede cambiar más tarde. Una vez que haya ingresado el nombre, haga clic en CREAR.
- Una vez creado el proyecto, haga clic en SELECCIONA PROYECTO para activarlo.
Habilita la API del administrador de secretos de GCP
Una vez que haya creado el proyecto, el siguiente paso es habilitar la API que hace que GCP Secret Manager funcione bajo el capó. La API no está habilitada de forma predeterminada, así que sigamos los siguientes pasos para habilitarla. Solo necesita hacer esto una vez por proyecto.
Haga clic en el menú de navegación → Seguridad → Administrador secreto.
En la página de la API de Secret Manager, haga clic en Permitir.
Crear y acceder a secretos
El administrador de secretos de GCP ahora está listo para aceptar nuevos secretos después de habilitar la API subyacente.
Uso de la consola de la nube de Google
Hacer clic CREAR SECRETO sobre el Administrador secreto página.
Configure el nuevo secreto de la siguiente manera.
- Introduce el secreto Nombre. El nombre debe ser único y debe ser identificable.
- Cargue un archivo que contenga el secreto o pegue el secreto en el valor secreto caja.
- Una vez que haya agregado los detalles secretos, haga clic en CREAR SECRETO.
Y ahora ha creado el secreto y su primera versión.
Cuando necesite recuperar el valor secreto, haga clic en el Comportamiento botón → Ver valor secreto.
Y debería ver el valor secreto mostrado así.
Uso de la CLI de Google Cloud
Así es como puede crear y ver secretos desde GCP Secret Manager usando la CLI de la nube.
Asegúrate de que tu cuenta autorizada de gcloud tenga acceso al proyecto.
gcloud projects list
Ahora, pasemos a usar ese proyecto. Reemplazar [PROJECT-ID] con el de tu proyecto.
gcloud config set project [PROJECT-ID]
Para una comparación posterior, enumeremos los secretos actuales almacenados en este proyecto.
gcloud secrets list
Como puede ver, este proyecto tiene un solo secreto.
En este ejemplo, crearé un nuevo secreto llamado ssh-clave-1 y almacene una clave SSH del archivo local ./ssh_key.
gcloud secrets create ssh-key-1 --data-file=./ssh_key
Si el comando tiene éxito, verá un resultado similar al que se muestra a continuación.
Al ejecutar este comando, confirmemos que el nuevo secreto existe en el proyecto.
gcloud secrets list
Y como puede ver, el nuevo secreto ahora se agrega al Administrador de secretos de GCP.
Para ver el valor secreto, ejecute este comando:
- acceso a las versiones de gcloud secrets — es el grupo de comando principal.
- 1 — es la versión del secreto al que desea acceder.
- -secreto — es el argumento que acepta el nombre secreto.
- ssh-key-1 — es el nombre secreto al que desea acceder.
gcloud secrets versions access 1 --secret=ssh-key-1
Y debería ver la clave SSH en la pantalla. Depende de usted redirigir esta salida a un archivo en el disco para su uso posterior.
Consideraciones sobre la administración de secretos de GCP
Estas son algunas consideraciones al usar GCP Secret Management.
- Los usuarios con el rol de Propietario en el proyecto pueden acceder a todos los secretos. Si otros usuarios necesitan acceso a los secretos de este proyecto, debe otorgárselos explícitamente a través del permisos pestaña.
- Cada versión secreta se puede deshabilitar o eliminar, pero los valores no se pueden cambiar. Si es necesario, debe crear una nueva versión de ese secreto con el nuevo valor.
- Considere establecer una caducidad para los secretos. Una vez que un secreto caduca, ya no se puede utilizar.
- Para organizar mejor sus secretos, se recomienda agregar etiquetas.
- Puede agregar información no confidencial al secreto agregando anotaciones.
Conclusión
GCP Secret Manager es un excelente servicio centralizado de depósito de secretos. Le permite almacenar datos confidenciales, como claves, contraseñas y certificados. Los secretos se pueden ver desde la consola de GCP Secret Manager o la CLI de Google Cloud, entre otros.