ワークスペース用Google Secret Managerの設定
このガイドでは、WorkatoでワークスペースレベルのGoogle Secret Managerを設定する方法について説明します。
スコープの切り替え
プロジェクトレベルの既存のシークレット参照は、ワークスペースレベルのSecrets managementに切り替えると動作しなくなります。 これらの参照を、ワークスペースレベルのシークレットを使用するように再設定する必要があります。
前提条件
開始する前に、次のものがあることを確認してください:
Workatoで:
- ワークスペース管理者設定へのアクセス権。
Google Cloudで:
- 有効なGCPプロジェクト: 請求が有効になっている有効なGoogle Cloudプロジェクトが必要です。
- Secret Managerのセットアップ: Secret Managerでシークレットがすでに作成されている必要があります。 存在しない場合は、コネクションを設定する前に作成してください。
- サービスアカウント: 次のロールが割り当てられたサービスアカウントが必要です:
- Secret Manager Secret Accessor(
roles/secretmanager.secretAccessor) - Secret Manager Viewer(
roles/secretmanager.viewer)
- Secret Manager Secret Accessor(
- サービスアカウントキー: サービスアカウントのJSONキーファイルが必要です。
サービスアカウントを作成していない場合は、Google Cloudサービスアカウントの設定を参照してください。
ワークスペースレベルでGoogle Secret Managerを有効化
次の手順を実行して、ワークスペースレベルのSecrets managementソリューションとしてGoogle Secret Managerを有効にします:
Workatoにサインインします。
ワークスペース管理者 > Settings > External secrets managerに移動します。
外部シークレットマネージャーを使用トグルを有効にします。
スコープドロップダウンメニューを使用して、ワークスペース全体にSecrets managementを設定を選択します。
ワークスペース全体にシークレットを設定
どのシークレットマネージャーを使用しますかドロップダウンメニューを使用して、Google Secret Managerを選択します。
Set up connectionをクリックします。
スコープについて
Google Secret Managerは、ワークスペースレベルまたはプロジェクトレベルで設定できます。 選択したスコープにより、シークレットがプロジェクト全体に適用される方法が決まります:
- ワークスペースレベル: すべてのプロジェクトがワークスペースのシークレットマネージャー設定を継承します。 これにより管理は一元化されますが、同じSecret Managerコネクションがすべてのプロジェクトに適用されます。
- プロジェクトレベル: 各プロジェクトは、他のプロジェクトまたはワークスペース設定から独立した独自のシークレットマネージャー設定を使用します。 これにより柔軟性は得られますが、プロジェクトごとのセットアップが必要です。
Google Secret Managerへの接続
次の手順を実行して、WorkatoとGoogle CloudプロジェクトのSecret Managerとの間のコネクションを設定します:
コネクション名フィールドに、このコネクションの名前を入力します。
Google Secret Managerへの接続
ロケーションドロップダウンメニューを使用して、このコネクションを保存するプロジェクトまたはフォルダを選択します。
コネクションタイプドロップダウンメニューを使用して、このコネクションがクラウドかオンプレミスかを指定します。
プロジェクトIDフィールドに、Google Cloud内のプロジェクトのIDを入力します。 これは、GCP Consoleのプロジェクトセレクターまたはプロジェクトダッシュボードで確認できます。
クライアントメールフィールドにサービスアカウントのメールアドレスを入力します。 サービスアカウントには、Secret Manager Secret Accessor(roles/secretmanager.secretAccessor)およびSecret Manager Viewer(roles/secretmanager.viewer)ロールが割り当てられている必要があります。
サービスアカウントのJSONキーファイルから秘密鍵を指定します。
秘密鍵の取得
サービスアカウントの作成時にダウンロードしたJSONキーファイルを開きます。
JSONファイル内のprivate_keyフィールドを見つけます。
秘密鍵の値全体(-----BEGIN PRIVATE KEY-----および-----END PRIVATE KEY-----マーカーを含む)をコピーします。
秘密鍵フィールドに貼り付けます。
接続をクリックします。
コネクションの検証
コネクションに失敗する場合は、次を確認してください:
- プロジェクトIDフィールドに、プロジェクト番号ではなくプロジェクトIDが含まれていることを確認する
- クライアントメールがGoogle Cloudのサービスアカウントのメールアドレスと一致していることを確認する
- 秘密鍵に余分なスペースや不足している文字がないことを確認する
- サービスアカウントにSecret Manager Secret Accessor(
roles/secretmanager.secretAccessor)およびSecret Manager Viewer(roles/secretmanager.viewer)ロールがあることを確認します - Google CloudプロジェクトでSecret Manager APIが有効になっていることを確認する
次のステップ
これで、次に進むことができます:
関連資料
Last updated: