בדף הזה מוסבר איך להגדיר השמדה מושהית של גרסאות סודיות, איך לעדכן או להסיר את משך ההשהיה של ההשמדה ואיך לשחזר גרסאות סודיות שמתוזמנות להשמדה.
כברירת מחדל, כשמשתמש בוחר להשמיד גרסה של סוד ב-Secret Manager, חומר הסוד מושמד באופן מיידי וקבוע. עם זאת, משתמשים עם תפקיד אדמין ב-Secret Manager יכולים להגדיר השמדה מושהית של גרסאות סודות, וכך לוודא שגרסת הסוד לא מושמדת מיד עם קבלת הבקשה, ושהיא תישאר ניתנת לשחזור למשך זמן שניתן להגדרה.
כאשר השמדה מושהית מופעלת בסוד ואתם משמידים גרסה של סוד, יקרו הדברים הבאים:
-
הגרסה מושבתת, ולכן אי אפשר להשתמש בה.
-
המערכת מתזמנת את הגרסה להשמדה סופית בסוף תקופת ההשהיה.
-
אחרי שתקופת ההשהיה מסתיימת, גרסת הסוד נמחקת באופן סופי ובלתי הפיך.
יתרונות
התכונה הזו מספקת את היתרונות הבאים:
-
שכבת הגנה נוספת מפני השמדה מקרית או זדונית של חומר סודי קריטי. כל משתמש עם התפקיד Secret Manager Secret Version Manager יכול להשמיד גרסת סוד. זו פעולה בלתי הפיכה. אם מגדירים השמדה מושהית, אפשר למנוע השמדה מיידית של גרסאות סודות. אתם יכולים לתת למשתמשים את רמת הגישה המינימלית שנדרשת לניהול מחזור החיים של גרסאות סודיות, כדי שתוכלו לעקוב אחרי מידע אישי רגיש ולמנוע השמדה בשוגג שלו.
-
השמדה של גרסת סוד מפעילה
SECRET_VERSION_DESTROY_SCHEDULEDהתראה לנושאי Pub/Sub שהוגדרו בסוד. משתמשים עם תפקיד אדמין ב-Secret Manager יכולים לבטל את ההשמדה המתוזמנת ולשחזר את גרסת הסוד על ידי הפעלה או השבתה של גרסת הסוד.
לפני שמתחילים
-
מפעילים את Secret Manager API.
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (
roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאהserviceusage.services.enable. איך מקצים תפקידים -
מגדירים אימות.
צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:
המסוף
כשמשתמשים במסוף Google Cloud כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Google Cloud
gcloud
במסוף Google Cloud , מפעילים את Cloud Shell.
בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.
REST
כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.
התקינו את ה-CLI של Google Cloud.
אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.
מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Google Cloud .
התפקידים הנדרשים
כדי לקבל את ההרשאות שנדרשות להגדרת השמדה מושהית של גרסאות סודות, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של Secret Manager (roles/secretmanager.admin) בסוד.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
הגדרה של השמדה מושהית
אפשר להפעיל את ההשמדה המושהית של גרסת סוד כשיוצרים את הסוד או כשמעדכנים אותו. כדי להגדיר השמדה מושהית, משתמשים באחת מהשיטות הבאות:
המסוף
-
נכנסים לדף Secret Manager במסוף Google Cloud .
-
בדף Secret Manager, לוחצים על Create secret.
-
בדף יצירת Secret, מזינים שם ל-Secret בשדה שם.
-
מזינים ערך לסוד (לדוגמה,
abcd1234). אפשר גם להעלות קובץ טקסט שמכיל את ערך הסוד באמצעות האפשרות העלאת קובץ. הפעולה הזו יוצרת באופן אוטומטי את גרסת הסוד. -
עוברים לקטע Delay secret version destroy (עיכוב השמדה של גרסת סוד) ומסמנים את התיבה Set duration for delayed destruction (הגדרת משך זמן לעיכוב ההשמדה).
-
בשדה משך ההשהיה של ההשמדה, מזינים את משך הזמן בימים. הערך המינימלי שאפשר להזין הוא יום אחד, והערך המקסימלי הוא 1,000 ימים.
-
לוחצים על Create secret (יצירת סוד).
כדי להפעיל את התכונה הזו בסוד קיים, עוברים לדף עריכת סוד ומגדירים את משך הזמן של השהיית ההשמדה.
gcloud
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- SECRET_ID: המזהה של הסוד.
- TTL_DURATION: משך ההשהיה של השמדת הגרסאות של הסוד. אפשר להזין את משך הזמן בכל פורמט, למשל ימים, שעות או שניות. משך הזמן המינימלי הנדרש הוא יום אחד, ומשך הזמן המקסימלי יכול להיות עד 1,000 ימים.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION
Windows (PowerShell)
gcloud secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION
Windows (cmd.exe)
gcloud secrets create SECRET_ID --version-destroy-ttl=TTL_DURATION
התשובה תכיל את הסוד החדש שנוצר.
REST
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
- SECRET_ID: המזהה של הסוד.
- TTL_DURATION: משך ההשהיה של השמדת הגרסאות של הסוד. מזינים את משך הזמן בשניות. הערה: משך הזמן המינימלי שנדרש הוא יום אחד, ומשך הזמן המקסימלי יכול להיות 1,000 ימים.
ה-method של ה-HTTP וכתובת ה-URL:
POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID
גוף בקשת JSON:
{"replication": {"automatic": {}}, "version_destroy_ttl":"TTL_DURATION"}כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:
curl
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID"
PowerShell
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID" | Select-Object -Expand Content
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name":"projects/PROJECT_ID/secrets/SECRET_ID",
"replication":{
"automatic":{
}
},
"createTime":"2023-10-16T17:10:16.345401Z",
"etag":"\"1607d90ee3d84c\"",
"versionDestroyTtl":"TTL_DURATION"
}
השמדה מושהית לא חלה בתרחישים הבאים:
-
כשמוחקים סוד, כל החומר שקשור לסוד והגרסאות שלו נמחקים באופן מיידי.
-
כשמגדירים תאריך תפוגה לסוד והתוקף שלו פג, כל הגרסאות של הסוד נמחקות באופן מיידי, גם אם הפעלתם את האפשרות למחיקה מושהית של הסוד.
עדכון משך ההשהיה של ההשמדה
כדי לעדכן את משך ההשהיה של ההשמדה, משתמשים באחת מהשיטות הבאות:
המסוף
-
נכנסים לדף Secret Manager במסוף Google Cloud .
-
כדי לערוך סוד, משתמשים באחת מהשיטות הבאות:
-
לוחצים על Actions (פעולות) ליד הסוד שרוצים לערוך, ואז לוחצים על Edit (עריכה).
-
לוחצים על שם הסוד כדי לעבור לדף הפרטים של הסוד. בדף הפרטים של הסוד, לוחצים על עריכת הסוד.
-
-
בדף Edit secret (עריכת סוד), עוברים לקטע Delay secret version destroy (השהיית השמדה של גרסת סוד). מעדכנים את משך העיכוב לפי הצורך ולוחצים על עדכון הסוד.
gcloud
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- SECRET_ID: מזהה הסוד
- TTL_DURATION: משך העיכוב בהשמדה של גרסאות הסוד
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION
Windows (PowerShell)
gcloud secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION
Windows (cmd.exe)
gcloud secrets update SECRET_ID --version-destroy-ttl=TTL_DURATION
התשובה תכיל את הסוד החדש שנוצר.
REST
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- PROJECT_ID: מזהה הפרויקט Google Cloud
- SECRET_ID: מזהה הסוד
- TTL_DURATION: משך העיכוב בהשמדה של גרסאות הסוד
ה-method של ה-HTTP וכתובת ה-URL:
PATCH https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl
גוף בקשת JSON:
{
"version_destroy_ttl":"TTL_DURATION"
}
כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:
curl
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl"
PowerShell
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method PATCH `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl" | Select-Object -Expand Content
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name":"projects/PROJECT_ID/secrets/SECRET_ID",
"replication":{
"automatic":{
}
},
"createTime":"2023-10-16T17:10:16.345401Z",
"etag":"\"1607d90ee3d84c\"",
"versionDestroyTtl":"TTL_DURATION"
}
גרסאות הסוד שהושפעו ממשך העיכוב בהשמדה תלויות בגורמים הבאים:
-
כשמגדירים השהיית השמדה בפעם הראשונה בסוד, משך ההשהיה של השמדה משפיע על כל הגרסאות הפעילות (מופעלות ומושבתות) של הסוד.
-
כשמעדכנים או מסירים את משך העיכוב של ההשמדה, השינויים משתקפים רק בגרסאות חדשות של סודות שבהן מנסים לבצע את פעולת ההשמדה. גרסאות הסודות שכבר נקבע להן מועד השמדה ימשיכו להיות מושמדות במועד ההשמדה שנקבע.
השבתת ההשמדה המושהית
כדי להשבית את ההשמדה המאוחרת של גרסאות, משתמשים באחת מהשיטות הבאות:
המסוף
-
נכנסים לדף Secret Manager במסוף Google Cloud .
-
כדי לערוך סוד, משתמשים באחת מהשיטות הבאות:
-
לוחצים על Actions (פעולות) ליד הסוד שרוצים לערוך, ואז לוחצים על Edit (עריכה).
-
לוחצים על שם הסוד כדי לעבור לדף הפרטים של הסוד. בדף הפרטים של הסוד, לוחצים על עריכת הסוד.
-
-
בדף Edit secret (עריכת סוד), עוברים לקטע Delay secret version destroy (השהיית השמדה של גרסת סוד). מבטלים את הסימון בתיבה הגדרת משך הזמן להשמדה מושהית ולוחצים על עדכון ה-Secret.
gcloud
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- SECRET_ID: מזהה הסוד
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud secrets update SECRET_ID --remove-version-destroy-ttl
Windows (PowerShell)
gcloud secrets update SECRET_ID --remove-version-destroy-ttl
Windows (cmd.exe)
gcloud secrets update SECRET_ID --remove-version-destroy-ttl
REST
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- PROJECT_ID: מזהה הפרויקט Google Cloud
- SECRET_ID: מזהה הסוד
ה-method של ה-HTTP וכתובת ה-URL:
PATCH https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl
גוף בקשת JSON:
{}
כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:
curl
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl"
PowerShell
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method PATCH `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID?updateMask=version_destroy_ttl" | Select-Object -Expand Content
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name":"projects/PROJECT_ID/secrets/SECRET_ID",
"replication":{
"automatic":{
}
},
"createTime":"2023-10-16T17:10:16.345401Z",
"etag":"\"1607d90ee3d84c\""
}
תזמון של גרסאות סוד להשמדה מאוחרת
כדי לתזמן השמדה מושהית של גרסה סודית, משתמשים באחת מהשיטות הבאות:
המסוף
-
נכנסים לדף Secret Manager במסוף Google Cloud .
-
בדף Secret Manager, לוחצים על סוד כדי לגשת לגרסאות שלו. צריך להגדיר את ההשמדה המושהית של הגרסאות בסוד הזה.
-
בדף הפרטים של הסוד, בכרטיסייה Versions (גרסאות), בוחרים את גרסת הסוד שרוצים להשמיד.
-
לוחצים על פעולות ואז על השמדה.
-
בתיבת הדו-שיח לאישור שמופיעה, מזינים את מזהה ה-Secret כדי לאשר, ואז לוחצים על תזמון מחיקה של הגרסאות שנבחרו.
gcloud
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- SECRET_VERSION_ID: המזהה של הגרסה או מזהה מוגדר במלואו של הגרסה
- SECRET_ID: מזהה הסוד
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID
Windows (PowerShell)
gcloud secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID
Windows (cmd.exe)
gcloud secrets versions destroy SECRET_VERSION_ID --secret=SECRET_ID
REST
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- PROJECT_ID: מזהה הפרויקט Google Cloud
- SECRET_ID: מזהה הסוד
- VERSION_ID: המזהה של הגרסה או מזהה מוגדר במלואו של הגרסה
ה-method של ה-HTTP וכתובת ה-URL:
POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:destroy
גוף בקשת JSON:
{}
כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:
curl
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:destroy"
PowerShell
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:destroy" | Select-Object -Expand Content
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
"createTime":"2023-10-16T17:21:55.920036Z",
"state":"DISABLED",
"replicationStatus":{
"automatic":{
}
},
"etag":"\"1607d8b2fc1cf4\"",
"scheduledDestroyTime":"2023-10-16T17:26:57.459395960Z"
}
הגרסה הסודית מושבתת באופן מיידי ונקבע לה מועד להשמדה אחרי שתוקף משך ההשהיה של ההשמדה יפוג. התאריך והשעה המדויקים שבהם הגרסה תושמד מופיעים בעמודה Scheduled for destruction on (השמדה מתוזמנת ל) בטבלה Versions (גרסאות).
שחזור גרסאות של סודות
אפשר לשחזר גרסה של סוד שמתוזמנת להשמדה על ידי הפעלה או השבתה של גרסת הסוד.
הפעלת גרסה של סוד שמתוזמנת להשמדה
כדי להפעיל גרסה של סוד שנקבעה להשמדה, משתמשים באחת מהשיטות הבאות:
המסוף
-
נכנסים לדף Secret Manager במסוף Google Cloud .
-
בדף Secret Manager, לוחצים על סוד כדי לגשת לגרסאות שלו.
-
בדף הפרטים של הסוד, בכרטיסייה Versions, בוחרים את גרסת הסוד שמתוזמנת להשמדה.
-
לוחצים על פעולות ואז על הפעלה.
-
בתיבת הדו-שיח לאישור שמופיעה, לוחצים על הפעלת הגרסאות שנבחרו.
gcloud
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- SECRET_VERSION_ID: המזהה של הגרסה או מזהה מוגדר במלואו של הגרסה
- SECRET_ID: מזהה הסוד
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID
Windows (PowerShell)
gcloud secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID
Windows (cmd.exe)
gcloud secrets versions enable SECRET_VERSION_ID --secret=SECRET_ID
REST
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- PROJECT_ID: מזהה הפרויקט Google Cloud
- SECRET_ID: מזהה הסוד
- VERSION_ID: המזהה של הגרסה או מזהה מוגדר במלואו של הגרסה
ה-method של ה-HTTP וכתובת ה-URL:
POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:enable
גוף בקשת JSON:
{}
כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:
curl
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:enable"
PowerShell
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:enable" | Select-Object -Expand Content
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
"createTime":"2023-10-16T17:21:55.920036Z",
"state":"ENABLED",
"replicationStatus":{
"automatic":{
}
},
"etag":"\"1607d8b3e8e1bc\""
}
השבתה של גרסת סוד שמתוזמנת להשמדה
כדי להשבית גרסת סוד שמתוזמנת להשמדה, משתמשים באחת מהשיטות הבאות:
המסוף
-
נכנסים לדף Secret Manager במסוף Google Cloud .
-
בדף Secret Manager, לוחצים על סוד כדי לגשת לגרסאות שלו.
-
בדף הפרטים של הסוד, בכרטיסייה Versions, בוחרים את גרסת הסוד שמתוזמנת להשמדה.
-
לוחצים על פעולות ואז על השבתה.
-
בתיבת הדו-שיח לאישור שמופיעה, לוחצים על השבתת הגרסאות שנבחרו.
gcloud
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- SECRET_VERSION_ID: המזהה של הגרסה או מזהה מוגדר במלואו של הגרסה
- SECRET_ID: מזהה הסוד
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID
Windows (PowerShell)
gcloud secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID
Windows (cmd.exe)
gcloud secrets versions disable SECRET_VERSION_ID --secret=SECRET_ID
התשובה מכילה את הגרסה המושבתת של הסוד.
REST
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- PROJECT_ID: מזהה הפרויקט Google Cloud
- SECRET_ID: מזהה הסוד
- VERSION_ID: המזהה של הגרסה או מזהה מוגדר במלואו של הגרסה
ה-method של ה-HTTP וכתובת ה-URL:
POST https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:disable
גוף בקשת JSON:
{}
כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:
curl
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:disable"
PowerShell
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID:disable" | Select-Object -Expand Content
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name":"projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION_ID",
"createTime":"2023-10-16T17:21:55.920036Z",
"state":"DISABLED",
"replicationStatus":{
"automatic":{
}
},
"etag":"\"1607d8b3e8e1bc\""
}