Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Proteger dados sensíveis usando o Secret Manager com o Batch

Este documento descreve como proteger dados sensíveis que você quer especificar para um job em lote usando Secrets do Secret Manager.

Os secrets do Secret Manager protegem dados sensíveis por criptografia. Em um job em lote, é possível especificar um ou mais Secrets para transmitir com segurança os dados sensíveis que eles contêm, que podem ser usados para fazer o seguinte:

Definir com segurança variáveis de ambiente personalizadas que contêm dados sensíveis.
Especificar com segurança as credenciais de login de um registro do Docker para permitir que os executáveis de um job acessem as imagens de contêiner particulares.

Antes de começar

Se você nunca usou o Batch, consulte Introdução ao Batch e ative o serviço concluindo os pré-requisitos para projetos e usuários.
Crie um secret ou identifique um secret para os dados sensíveis que você quer especificar com segurança para um job.
Para receber as permissões necessárias para criar um job, peça ao administrador para conceder a você os seguintes papéis do IAM:
- Editor de jobs do Batch (roles/batch.jobsEditor) no projeto
- Usuário da conta de serviço (roles/iam.serviceAccountUser) na conta de serviço do job, que, por padrão, é a conta de serviço padrão do Compute Engine
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.
Para garantir que a conta de serviço do job tenha as permissões necessárias para acessar secrets, peça ao administrador para conceder opapel do IAM de Acessador de secrets do Secret Manager (roles/secretmanager.secretAccessor) à conta de serviço do job no secret.
Importante: é necessário conceder esse papel à conta de serviço do job, não à sua conta de usuário. Se o papel não for concedido ao principal correto, poderão ocorrer erros de permissão.

Transmitir dados sensíveis com segurança para variáveis de ambiente personalizadas

Para transmitir dados sensíveis com segurança de secrets do Secret Manager para variáveis de ambiente personalizadas, é necessário definir cada variável de ambiente no subcampo de variáveis de secret (secretVariables) para um ambiente e especificar um secret para cada valor. Sempre que você especificar um secret em um job, é necessário formatá-lo como um caminho para uma versão do secret: projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION.

É possível criar um job que defina variáveis de secret usando a CLI gcloud, a API Batch, Java, Node.js ou Python. O exemplo a seguir explica como criar um job que define e usa uma variável de secret para o ambiente de todos os executáveis (environment subcampo de taskSpec).

gcloud

Crie um arquivo JSON que especifique os detalhes de configuração do job e inclua o subcampo secretVariables para um ou mais ambientes.

Por exemplo, para criar um job de script básico que usa uma variável de secret no ambiente para todos os executáveis, crie um arquivo JSON com o conteúdo a seguir:
```
{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "script": {
              "text": "echo This is the secret: ${SECRET_VARIABLE_NAME}"
            }
          }
        ],
        "environment": {
          "secretVariables": {
            "{SECRET_VARIABLE_NAME}": "projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION"
          }
        }
      }
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}
```
Substitua:
- SECRET_VARIABLE_NAME: o nome da variável de secret. Por convenção, os nomes das variável de ambiente são escritos em maiúsculas.
  
  Para acessar com segurança os dados sensíveis do secret do Secret Manager da variável, especifique esse nome de variável nos executáveis do job. A variável de secret pode ser acessada por todos os executáveis que estão no mesmo ambiente em que você a define.
- PROJECT_ID: o ID do projeto do seu projeto.
- SECRET_NAME: o nome de um secret do Secret Manager existente.
- VERSION: a versão do secret especificado que contém os dados que você quer transmitir para o job. Pode ser o número da versão ou latest.
Para criar e executar o job, use o gcloud batch jobs submit comando:
```
gcloud batch jobs submit JOB_NAME \
  --location LOCATION \
  --config JSON_CONFIGURATION_FILE
```
Substitua:
- JOB_NAME: o nome do job.
- LOCATION: o local do job.
- JSON_CONFIGURATION_FILE: o caminho para um arquivo JSON com os detalhes de configuração do job.

API

Faça uma POST solicitação para o jobs.create método que especifica o secretVariables subcampo para um ou mais ambientes.

Por exemplo, para criar um job de script básico que usa uma variável de secret no ambiente para todos os executáveis, faça a seguinte solicitação:

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME
{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "script": {
              "text": "echo This is the secret: ${SECRET_VARIABLE_NAME}"
            }
          }
        ],
        "environment": {
          "secretVariables": {
            "{SECRET_VARIABLE_NAME}": "projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION"
          }
        }
      }
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}

Substitua:

PROJECT_ID: o ID do projeto do seu projeto.
LOCATION: o local do job.
JOB_NAME: o nome do job.
SECRET_VARIABLE_NAME: o nome da variável de secret. Por convenção, os nomes das variável de ambiente são escritos em maiúsculas.

Para acessar com segurança os dados sensíveis do secret do Secret Manager da variável, especifique esse nome de variável nos executáveis do job. A variável de secret pode ser acessada por todos os executáveis que estão no mesmo ambiente em que você a define.
SECRET_NAME: o nome de um secret do Secret Manager existente.
VERSION: a versão do secret especificado que contém os dados que você quer transmitir para o job. Pode ser o número da versão ou latest.

Java


import com.google.cloud.batch.v1.BatchServiceClient;
import com.google.cloud.batch.v1.CreateJobRequest;
import com.google.cloud.batch.v1.Environment;
import com.google.cloud.batch.v1.Job;
import com.google.cloud.batch.v1.LogsPolicy;
import com.google.cloud.batch.v1.LogsPolicy.Destination;
import com.google.cloud.batch.v1.Runnable;
import com.google.cloud.batch.v1.Runnable.Script;
import com.google.cloud.batch.v1.TaskGroup;
import com.google.cloud.batch.v1.TaskSpec;
import com.google.protobuf.Duration;
import java.io.IOException;
import java.util.concurrent.ExecutionException;
import java.util.concurrent.TimeUnit;
import java.util.concurrent.TimeoutException;

public class CreateBatchUsingSecretManager {

  public static void main(String[] args)
      throws IOException, ExecutionException, InterruptedException, TimeoutException {
    // TODO(developer): Replace these variables before running the sample.
    // Project ID or project number of the Google Cloud project you want to use.
    String projectId = "YOUR_PROJECT_ID";
    // Name of the region you want to use to run the job. Regions that are
    // available for Batch are listed on: https://cloud.google.com/batch/docs/get-started#locations
    String region = "europe-central2";
    // The name of the job that will be created.
    // It needs to be unique for each project and region pair.
    String jobName = "JOB_NAME";
    // The name of the secret variable.
    // This variable name is specified in this job's runnables
    // and is accessible to all of the runnables that are in the same environment.
    String secretVariableName = "VARIABLE_NAME";
    // The name of an existing Secret Manager secret.
    String secretName = "SECRET_NAME";
    // The version of the specified secret that contains the data you want to pass to the job.
    // This can be the version number or latest.
    String version = "VERSION";

    createBatchUsingSecretManager(projectId, region,
            jobName, secretVariableName, secretName, version);
  }

  // Create a basic script job to securely pass sensitive data.
  // The data is obtained from Secret Manager secrets
  // and set as custom environment variables in the job.
  public static Job createBatchUsingSecretManager(String projectId, String region,
                                                  String jobName, String secretVariableName,
                                                  String secretName, String version)
      throws IOException, ExecutionException, InterruptedException, TimeoutException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests.
    try (BatchServiceClient batchServiceClient = BatchServiceClient.create()) {
      // Define what will be done as part of the job.
      Runnable runnable =
          Runnable.newBuilder()
              .setScript(
                  Script.newBuilder()
                      .setText(
                          String.format("echo This is the secret: ${%s}.", secretVariableName))
                      // You can also run a script from a file. Just remember, that needs to be a
                      // script that's already on the VM that will be running the job.
                      // Using setText() and setPath() is mutually exclusive.
                      // .setPath("/tmp/test.sh")
                      .build())
              .build();

      // Construct the resource path to the secret's version.
      String secretValue = String
              .format("projects/%s/secrets/%s/versions/%s", projectId, secretName, version);

      // Set the secret as an environment variable.
      Environment.Builder environmentVariable = Environment.newBuilder()
          .putSecretVariables(secretVariableName, secretValue);

      TaskSpec task = TaskSpec.newBuilder()
          // Jobs can be divided into tasks. In this case, we have only one task.
          .addRunnables(runnable)
          .setEnvironment(environmentVariable)
          .setMaxRetryCount(2)
          .setMaxRunDuration(Duration.newBuilder().setSeconds(3600).build())
          .build();

      // Tasks are grouped inside a job using TaskGroups.
      // Currently, it's possible to have only one task group.
      TaskGroup taskGroup = TaskGroup.newBuilder()
          .setTaskSpec(task)
          .build();

      Job job =
          Job.newBuilder()
              .addTaskGroups(taskGroup)
              .putLabels("env", "testing")
              .putLabels("type", "script")
              // We use Cloud Logging as it's an out of the box available option.
              .setLogsPolicy(
                  LogsPolicy.newBuilder().setDestination(Destination.CLOUD_LOGGING))
              .build();

      CreateJobRequest createJobRequest =
          CreateJobRequest.newBuilder()
              // The job's parent is the region in which the job will run.
              .setParent(String.format("projects/%s/locations/%s", projectId, region))
              .setJob(job)
              .setJobId(jobName)
              .build();

      Job result =
          batchServiceClient
              .createJobCallable()
              .futureCall(createJobRequest)
              .get(5, TimeUnit.MINUTES);

      System.out.printf("Successfully created the job: %s", result.getName());

      return result;
    }
  }
}

Node.js

// Imports the Batch library
const batchLib = require('@google-cloud/batch');
const batch = batchLib.protos.google.cloud.batch.v1;

// Instantiates a client
const batchClient = new batchLib.v1.BatchServiceClient();

/**
 * TODO(developer): Update these variables before running the sample.
 */
// Project ID or project number of the Google Cloud project you want to use.
const projectId = await batchClient.getProjectId();
// Name of the region you want to use to run the job. Regions that are
// available for Batch are listed on: https://cloud.google.com/batch/docs/get-started#locations
const region = 'europe-central2';
// The name of the job that will be created.
// It needs to be unique for each project and region pair.
const jobName = 'batch-job-secret-manager';
// The name of the secret variable.
// This variable name is specified in this job's runnables
// and is accessible to all of the runnables that are in the same environment.
const secretVariableName = 'secretVariableName';
// The name of an existing Secret Manager secret.
const secretName = 'secretName';
// The version of the specified secret that contains the data you want to pass to the job.
// This can be the version number or latest.
const version = 'version';

// Define what will be done as part of the job.
const runnable = new batch.Runnable({
  script: new batch.Runnable.Script({
    commands: ['-c', `echo This is the secret: ${secretVariableName}`],
  }),
});

// Construct the resource path to the secret's version.
const secretValue = `projects/${projectId}/secrets/${secretName}/versions/${version}`;

// Set the secret as an environment variable.
const environment = new batch.Environment();
environment.secretVariables[secretVariableName] = secretValue;

const task = new batch.TaskSpec({
  runnables: [runnable],
  environment,
  maxRetryCount: 2,
  maxRunDuration: {seconds: 3600},
});

// Tasks are grouped inside a job using TaskGroups.
const group = new batch.TaskGroup({
  taskCount: 3,
  taskSpec: task,
});

const job = new batch.Job({
  name: jobName,
  taskGroups: [group],
  labels: {env: 'testing', type: 'script'},
  // We use Cloud Logging as it's an option available out of the box
  logsPolicy: new batch.LogsPolicy({
    destination: batch.LogsPolicy.Destination.CLOUD_LOGGING,
  }),
});

// The job's parent is the project and region in which the job will run
const parent = `projects/${projectId}/locations/${region}`;

async function callCreateUsingSecretManager() {
  // Construct request
  const request = {
    parent,
    jobId: jobName,
    job,
  };

  // Run request
  const [response] = await batchClient.createJob(request);
  console.log(JSON.stringify(response));
}

await callCreateUsingSecretManager();

Python

from typing import Dict, Optional

from google.cloud import batch_v1


def create_with_secret_manager(
    project_id: str,
    region: str,
    job_name: str,
    secrets: Dict[str, str],
    service_account_email: Optional[str] = None,
) -> batch_v1.Job:
    """
    This method shows how to create a sample Batch Job that will run
    a simple command on Cloud Compute instances with passing secrets from secret manager.
    Note: Job's service account should have the permissions to access secrets.
        - Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) IAM role.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        region: name of the region you want to use to run the job. Regions that are
            available for Batch are listed on: https://cloud.google.com/batch/docs/get-started#locations
        job_name: the name of the job that will be created.
            It needs to be unique for each project and region pair.
        secrets: secrets, which should be passed to the job. Environment variables should be capitalized
        by convention https://google.github.io/styleguide/shellguide.html#constants-and-environment-variable-names
            The format should look like:
                - {'SECRET_NAME': 'projects/{project_id}/secrets/{SECRET_NAME}/versions/{version}'}
            version can be set to 'latest'.
        service_account_email (optional): custom service account email

    Returns:
        A job object representing the job created.
    """
    client = batch_v1.BatchServiceClient()

    # Define what will be done as part of the job.
    task = batch_v1.TaskSpec()
    runnable = batch_v1.Runnable()
    runnable.script = batch_v1.Runnable.Script()
    runnable.script.text = (
        "echo Hello world! from task ${BATCH_TASK_INDEX}."
        + f" ${next(iter(secrets.keys()))} is the value of the secret."
    )
    task.runnables = [runnable]
    task.max_retry_count = 2
    task.max_run_duration = "3600s"

    envable = batch_v1.Environment()
    envable.secret_variables = secrets
    task.environment = envable

    # Tasks are grouped inside a job using TaskGroups.
    # Currently, it's possible to have only one task group.
    group = batch_v1.TaskGroup()
    group.task_count = 4
    group.task_spec = task

    # Policies are used to define on what kind of virtual machines the tasks will run on.
    # Read more about local disks here: https://cloud.google.com/compute/docs/disks/persistent-disks
    policy = batch_v1.AllocationPolicy.InstancePolicy()
    policy.machine_type = "e2-standard-4"
    instances = batch_v1.AllocationPolicy.InstancePolicyOrTemplate()
    instances.policy = policy
    allocation_policy = batch_v1.AllocationPolicy()
    allocation_policy.instances = [instances]

    service_account = batch_v1.ServiceAccount()
    service_account.email = service_account_email
    allocation_policy.service_account = service_account

    job = batch_v1.Job()
    job.task_groups = [group]
    job.allocation_policy = allocation_policy
    job.labels = {"env": "testing", "type": "script"}
    # We use Cloud Logging as it's an out of the box available option
    job.logs_policy = batch_v1.LogsPolicy()
    job.logs_policy.destination = batch_v1.LogsPolicy.Destination.CLOUD_LOGGING

    create_request = batch_v1.CreateJobRequest()
    create_request.job = job
    create_request.job_id = job_name
    # The job's parent is the region in which the job will run
    create_request.parent = f"projects/{project_id}/locations/{region}"

    return client.create_job(create_request)

Acessar com segurança imagens de contêiner que exigem credenciais de registro do Docker

Para usar uma imagem de contêiner de um registro particular do Docker, um executável precisa especificar credenciais de login que permitam o acesso a esse registro. Especificamente, para qualquer executável de contêiner com o campo de URI da imagem (imageUri) definido como uma imagem de um registro particular do Docker, é necessário especificar as credenciais necessárias para acessar esse registro do Docker usando os campos de nome de usuário (username) e senha (password).

É possível proteger credenciais sensíveis para um registro do Docker especificando secrets que contenham as informações em vez de definir esses campos diretamente. Sempre que você especificar um secret em um job, é necessário formatá-lo como um caminho para uma versão do secret: projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION.

É possível criar um job que use imagens de contêiner de um registro particular do Docker usando a CLI gcloud ou a API Batch. O exemplo a seguir explica como criar um job que usa uma imagem de contêiner de um registro particular do Docker especificando o nome de usuário diretamente e a senha como um secret.

gcloud

Crie um arquivo JSON que especifique os detalhes de configuração do job. Para todos os executáveis de contêiner que usam imagens de um registro particular do Docker, inclua as credenciais necessárias para acessá-lo nos campos username e password.

Por exemplo, para criar um job de contêiner básico que especifica uma imagem de um registro particular do Docker, crie um arquivo JSON com o conteúdo a seguir:
```
{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "container": {
              "imageUri": "PRIVATE_IMAGE_URI",
              "commands": [
                "-c",
                "echo This runnable uses a private image."
              ],
              "username": "USERNAME",
              "password": "PASSWORD"
            }
          }
        ],
      }
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}
```
Substitua:
- PRIVATE_IMAGE_URI: o URI da imagem para uma imagem do contêiner de um registro particular do Docker. Se essa imagem exigir outras configurações de contêiner, inclua-as também.
- USERNAME: o nome de usuário do registro particular do Docker, que pode ser especificado como um secret ou diretamente.
- PASSWORD: a senha do registro particular do Docker, que pode ser especificada como um secret (recomendado) ou diretamente.
  
  Por exemplo, para especificar a senha como um secret, defina PASSWORD como o seguinte:
```
projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
```
  Substitua:
  - PROJECT_ID: o ID do projeto do seu projeto.
  - SECRET_NAME: o nome de um secret do Secret Manager existente.
  - VERSION: a versão do secret especificado que contém os dados que você quer transmitir para o job. Pode ser o número da versão ou latest.
Para criar e executar o job, use o gcloud batch jobs submit comando:
```
gcloud batch jobs submit JOB_NAME \
  --location LOCATION \
  --config JSON_CONFIGURATION_FILE
```
Substitua:
- JOB_NAME: o nome do job.
- LOCATION: o local do job.
- JSON_CONFIGURATION_FILE: o caminho para um arquivo JSON com os detalhes de configuração do job.

API

Faça uma POST solicitação para o jobs.create método. Para todos os executáveis de contêiner que usam imagens de um registro particular do Docker, inclua as credenciais necessárias para acessá-lo nos campos username e password.

Por exemplo, para criar um job de contêiner básico que especifica uma imagem de um registro particular do Docker, faça a seguinte solicitação:

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME
{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "container": {
              "imageUri": "PRIVATE_IMAGE_URI",
                "commands": [
                  "-c",
                  "echo This runnable uses a private image."
                ],
                "username": "USERNAME",
                "password": "PASSWORD"
            }
          }
        ],
      }
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}

Substitua:

PROJECT_ID: o ID do projeto do seu projeto.
LOCATION: o local do job.
JOB_NAME: o nome do job.
PRIVATE_IMAGE_URI: o URI da imagem para uma imagem do contêiner de um registro particular do Docker. Se essa imagem exigir outras configurações de contêiner, inclua-as também.
USERNAME: o nome de usuário do registro particular do Docker, que pode ser especificado como um secret ou diretamente.
PASSWORD: a senha do registro particular do Docker, que pode ser especificada como um secret (recomendado) ou diretamente.

Por exemplo, para especificar a senha como um secret, defina PASSWORD como o seguinte:
```
projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
```
Substitua:
- PROJECT_ID: o ID do projeto do seu projeto.
- SECRET_NAME: o nome de um secret do Secret Manager existente.
- VERSION: a versão do secret especificado que contém os dados que você quer transmitir para o job. Pode ser o número da versão ou latest.

A seguir

Se você tiver problemas para criar ou executar um job, consulte Solução de problemas.
Consulte jobs e tarefas.
Saiba mais sobre variáveis de ambiente.
Saiba mais sobre Secret Manager.
Saiba mais sobre as opções de criação de jobs.

Proteger dados sensíveis usando o Secret Manager com o Batch Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Transmitir dados sensíveis com segurança para variáveis de ambiente personalizadas

gcloud

API

Java

Node.js

Python

Acessar com segurança imagens de contêiner que exigem credenciais de registro do Docker

gcloud

API

A seguir

Proteger dados sensíveis usando o Secret Manager com o Batch