Как указать secretEnv в cloudbuild.yaml через аргументы gcloud cli или переменные среды

Question

Как указать secretEnv в cloudbuild.yaml через аргументы gcloud cli или переменные среды

Если я следую документу сборки облака, я должен указать зашифрованный секрет в cloudbuild.yaml.

secrets:
- kmsKeyName: projects/[PROJECT-ID]/locations/global/keyRings/[KEYRING-NAME]/cryptoKeys/[KEY-NAME]
  secretEnv:
    MY_SECRET: <base64-encoded encrypted secret>

Даже если он зашифрован, я не фиксирую секретное значение в коде. Скажите, пожалуйста, другой способ.

напр. через аргументы из gcloud builds submit команда или переменные среды и т. д.

4

gcloud google-cloud-build google-secret-manager google-cloud-kms

Источник

user12500881 31 янв '20 в 14:11

1 ответ

Решение

Другие вопросы по тегам gcloud google-cloud-build google-secret-manager google-cloud-kms

user365738 31 янв '20 в 19:02 2020-01-31 19:02 · Accepted Answer · 2020-01-31 19:02

Вместо этого вы можете использовать Google Secret Manager. Мы все еще обновляем документацию, но есть пример того, как вы можете использовать ее с Cloud Build:

Сначала создайте секрет:

$ echo -n "my-secret-data" | gcloud beta secrets create "my-api-key" \
    --replication-policy "automatic" \
    --data-file -

Предоставьте учетной записи службы Cloud Build разрешение на доступ к вашему секрету:

$ gcloud beta secrets add-iam-policy-binding "my-api-key" \
    --member "serviceAccount:<project-number>@cloudbuild.gserviceaccount.com" \
    --role "roles/secretmanager.secretAccessor"

Затем получите секрет на этапах сборки:

steps:
- name: 'gcr.io/cloud-builders/gcloud@sha256:c1dfa4702cae9416b28c45c9dcb7d48102043578d80bfdca57488f6179c2211b'
  entrypoint: 'bash'
  args:
  - '-c'
  - |
       gcloud beta secrets versions access --secret=my-api-key latest > /secrets/my-api-key
  volumes:
  - name: 'secrets'
    path: '/secrets'

- name: 'my-step'
  volumes:
  - name: 'secrets'
    path: '/secrets'
  args: # ... /secrets/my-api-key contains the secret