Создать секрет

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

1. Посмотрите описание команды CLI для создания секрета:

   yc lockbox secret create --help
   

2. Выполните команду:

   yc lockbox secret create \
     --name <имя_секрета> \
     --description <описание_секрета> \
     --payload "<массив_с_содержимым_секрета>" \
     --cloud-id <идентификатор_облака> \
     --folder-id <идентификатор_каталога> \
     --deletion-protection
   

   Где:

   • --name — имя секрета. Обязательный параметр.

   • --description — описание секрета. Необязательный параметр.

   • --payload — содержимое секрета в виде массива формата YAML или JSON.

     Вы можете одновременно передать один или несколько ключей key. Если секрет будет содержать несколько значений, перечислите их через запятую. Если ключи будут содержать значения в бинарном формате, передавайте их в кодировке base64.

     Например, для сохранения ключа username с текстовым значением myusername и ключа avatar с загруженным из файла avatar.jpg значением в бинарном формате можно указать:

     [{'key': 'username', 'text_value': 'myusername'},{'key': 'avatar', 'binary_value': $(base64 -w 0 ./avatar.jpg)}]

   • --cloud-id — идентификатор облака, в котором будет создан секрет.

   • --folder-id — идентификатор каталога, в котором будет создан секрет.

   • --deletion-protection — защита от удаления секрета. Пока опция включена, удалить секрет невозможно. Не защищает содержимое секрета. Необязательный параметр.

   Пример команды для создания секрета:

   yc lockbox secret create \
    --name sample-secret \
    --description sample_secret \
    --payload "[{'key': 'username', 'text_value': 'myusername'},{'key': 'avatar', 'binary_value': $(base64 -w 0 ./avatar.jpg)}]" \
    --cloud-id b1gwa87mbaom******** \
    --folder-id b1qt6g8ht345******** \
    --deletion-protection
   

   В этом примере создается секрет с двумя ключами: один ключ с текстовым значением, другой — со значением в бинарном формате.

   Результат:

   id: e6q6nbjfu9m2********
   folder_id: b1qt6g8ht345********
   created_at: "2023-10-09T16:29:11.402Z"
   ...
      - username
      - avatar
   deletion_protection: true
   

Секрет содержит только метаинформацию о себе: имя, описание, уникальный идентификатор и т. д. Для начала работы с секретом необходимо, после его создания, создать версию секрета.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

   resource "yandex_lockbox_secret" "my_secret" {
     name                = "<имя_секрета>"
     description         = "<описание_секрета>"
     folder_id           = "<идентификатор_каталога>"
     kms_key_id          = "<идентификатор_ключа_шифрования>"
     deletion_protection = <флаг_защиты_от_удаления>
     labels              = {
       <ключ_метки_1> = "<значение_метки_1>",
       <ключ_метки_2> = "<значение_метки_2>"
     }
   }
   

   Где:

   • name — имя секрета. Обязательный параметр.
   • description — описание секрета. Необязательный параметр.
   • folder_id — идентификатор каталога в котором будет создан секрет. Необязательный параметр.
   • kms_key_id — идентификатор ключа шифрования Key Management Service. Указанный ключ Key Management Service используется для шифрования секрета. Если не указывать ключ Key Management Service, секрет будет зашифрован специальным системным ключом. Необязательный параметр.
   • deletion_protection — флаг защиты от удаления. Для включения защиты укажите значение true. Для отключения защиты — false. Значение по умолчанию false. Необязательный параметр.
   • labels — метка ресурса в формате <ключ>:"<значение>". Необязательный параметр.

   Более подробную информацию о параметрах ресурса yandex_lockbox_secret в Terraform, см. в документации провайдера.

2. Создайте ресурсы:

   1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

   2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate
      

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.
      

   3. Выполните команду:

      terraform plan
      

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

   4. Примените изменения конфигурации:

      terraform apply
      

   5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

После этого в указанном каталоге будет создан секрет. Проверить появление секрета и его настройки можно в консоли управления или с помощью команды CLI:

yc lockbox secret get <имя_секрета>

Чтобы создать секрет, воспользуйтесь методом REST API create для ресурса Secret или вызовом gRPC API SecretService/Create.