我正在使用带有Pubsub触发器的Google Cloud Function(GCF),该触发器向第三方API发送HTTP请求。Google Cloud功能:支持Google Cloud KMS
GCF接收来自Pubsub主题的通知,该主题由不应该意识到第三方API的服务使用。
第三方API需要使用基本HTTP身份验证进行身份验证。
为了不必在源代码中对密码进行硬编码,我每次部署函数时都使用Google KMS生成新的加密密钥。每次实例化函数时,我都使用Google Cloud KMS来解密秘密。
对于使用KMS进行解密,我必须为NodeJS Google API提供服务帐户的私钥。
我今天的主要问题是,如果我希望GCF正常工作,我必须将我的私钥推送到GCloud Bucket。
可以通过使用Runtime Configurator或Deployment Manager来配置Google Cloud Function的机密吗?
谢谢你。
我试图解决同样的问题。我使用KMS来加密可部署包中的秘密,然后我尝试在运行时解密秘密,但后来意识到需要从云功能中明确进行身份验证 - 据我所知,这意味着您需要拥有至少某些形式的可部署包中未加密的秘密。 –