GCP服务帐户密钥通过secret manager轮换
我在GCP中有一个服务帐户,我将其密钥保存在一个秘密管理器中。
是否有办法为该保密服务帐户密钥设置计划的秘密轮换,以便发布/订阅将是GCP密钥,而不是由我管理?GCP是否提供此类托管发布/订阅服务?
共有1个答案
虽然没有内置的功能,但谷歌建议使用Keyrotator等工具来保护服务帐户密钥的安全
您还可以使用云SDK编写自己的脚本,该脚本将创建一个新密钥,获取并在Secrets Manager中更新:
# create the key
gcloud iam service-accounts keys create key-file \
--iam-account=sa-name@project-id.iam.gserviceaccount.com
# obtain new key
gcloud beta iam service-accounts keys get-public-key KEY_ID \
--iam-account=SA_NAME --output-file=FILENAME
#update the secret in secrets manager
gcloud secrets update secret-id \
--update-labels=key=value
# remove the old one
gcloud iam service-accounts keys disable key-id \
--iam-account=sa-name@project-id.iam.gserviceaccount.com
这当然是一个简化的代码,您可以在这里找到关于这些命令的更多信息-1,2
此类脚本可以定期运行,例如在GCE实例或云调度器上使用crontab。
-
我开发了以下代码,用于自动执行我的一些实例的启动/停止任务,这些实例不需要一直运行,而是在特定范围内运行。 这是我的代码:https://github.com/maartinpii/gcp-shst 我按照谷歌云平台指南(参考:https://cloud.google.com/iam/docs/understanding-service-accounts https://cloud.google.
-
像这个问题,Google Photos API-身份验证,我对Google Photos API的身份验证很好奇。问题的一个答案说 您需要配置OAuth2.0凭据(客户端ID和机密),而不是API密钥。更多详细信息请参阅以下开发人员文档:https://developers.google.com/photos/library/guides/get-start#request-id Google P
-
实际上,我想使用这个api回复我的google play应用程序的评论:https://developers.google.com/android-publisher/reply-to-reviews#gaining_access但是在这里,它想让我输入auth_token。首先,我在google play中添加了服务号。之后,我创建了一个密钥,并下载了密钥的json文件。使用这个json文件,我
-
我正在使用C#的“Google. Apis. Bigquery. v2客户端库”。 我授权使用“服务帐户”搜索BigQuery(请参阅http://www.afterlogic.com/mailbee-net/docs/OAuth2GoogleServiceAccounts.html). 要创建X509证书,我使用Google开发者控制台中的p12密钥。然而,现在json键是默认的。我可以用它来代
-
我正在构建一个Java Web应用程序,当经理批准他们的请求时,它会自动授予用户对其Windows PC的管理权限。 为了实现这一点,我将编写一个脚本来自动远程访问用户的计算机,并将他们添加到计算机的管理组中。我想为了做到这一点,我需要一个管理服务帐户来访问所有的计算机。 我的问题是,我如何安全地存储管理服务帐户信息?应用程序每次需要访问并授予用户管理员权限时都需要凭据,那么我如何让应用程序在没有
-
我在一个GCP项目中构建了一个Google Kubernetes引擎(GKE)集群。 根据集群上运行的应用程序的不同用例,我将应用程序与不同的服务帐户和不同的授予权限相关联。为此,我将Google服务帐户(GSA)与库伯内特斯集群服务帐户(KSA)绑定如下: 参考:https://cloud.google.com/kubernetes-engine/docs/how-to/workload-ide