1. Introduction
Dans cet atelier de programmation, nous avons décrit la procédure à suivre pour récupérer des identifiants ou des secrets à partir de l'API Google Cloud Secret Manager à l'aide du SDK ABAP pour Google Cloud.
Les services Google Cloud suivants sont utilisés dans cet atelier de programmation:
- Secret Manager
- Cloud Shell
Ce que vous allez faire
Vous allez effectuer les opérations suivantes:
- Activez l'API Secret Manager dans un projet Google Cloud.
- Créer un secret
- Ajoutez une version de secret.
- Accéder/Récupérer un secret à l'aide du SDK ABAP pour Google Cloud
Dans cet atelier de programmation, les étapes de création d'un secret et d'ajout d'une version de secret seront effectuées à l'aide de commandes gcloud. Vous pouvez également utiliser la bibliothèque cliente de Secret Manager fournie avec le SDK ABAP pour Google Cloud.
2. Conditions requises
- Un navigateur (Chrome ou Firefox, par exemple)
- Un projet Google Cloud pour lequel la facturation est activée ou créez un compte d'essai sans frais de 90 jours pour Google Cloud Platform.
- Interface utilisateur graphique SAP (Windows ou Java) installée sur votre système. Si l'interface utilisateur SAP est déjà installée sur votre ordinateur portable, connectez-vous à SAP à l'aide de l'adresse IP externe de la VM comme adresse du serveur d'applications. Si vous utilisez un Mac, vous pouvez également installer la GUI SAP pour Java disponible sur ce lien.
3. Avant de commencer
- Vous avez installé le SDK ABAP pour Google Cloud sur votre système. Pour configurer un nouveau système, consultez l'atelier de programmation Installer la version d'essai de la plate-forme ABAP 1909 sur Google Cloud Platform et installer le SDK ABAP.
- Vous allez utiliser Cloud Shell, un environnement de ligne de commande exécuté dans Google Cloud.
- Dans la console Cloud, cliquez sur "Activer Cloud Shell" en haut à droite :
- Exécutez les commandes suivantes pour vous authentifier pour votre compte et définir le projet par défaut sur
abap-sdk-poc
. La zoneus-west4-b
est utilisée comme exemple. Si nécessaire, veuillez modifier le projet et la zone dans les commandes suivantes en fonction de vos préférences.
gcloud auth login
gcloud config set project abap-sdk-poc
gcloud config set compute/zone us-west4-b
4. Présentation
Voici un bref aperçu de certaines des entités de Secret Manager que vous allez utiliser dans cet atelier de programmation:
- Secret : un secret est un objet de projet global qui contient un ensemble de métadonnées et de versions de secrets.
- Version de secret : une version de secret stocke les données réelles du secret, telles que des clés API, des mots de passe ou des certificats.
5. Activer Secret Manager dans votre projet Google Cloud
- Accédez à votre projet Google Cloud, puis cliquez sur Activer Cloud Shell en haut à droite.
- Exécutez la commande suivante pour activer l'API Cloud Secret Manager dans votre projet Google Cloud.
gcloud services enable secretmanager.googleapis.com
L'API Secret Manager devrait maintenant être activée dans votre projet Google Cloud.
6. Créer un compte de service avec des rôles utilisateur Secret Manager
Pour créer un compte de service avec les rôles requis, procédez comme suit:
- Exécutez la commande suivante dans le terminal Cloud Shell :
gcloud iam service-accounts create abap-sdk-secretmanager-tester \
--display-name="Service Account for Secret Manager"
- Ajoutez les rôles requis au compte de service créé à l'étape précédente pour créer un secret, ajouter une version de secret et y accéder.
gcloud endpoints services add-iam-policy-binding secretmanager.googleapis.com \ --member='serviceAccount:abap-sdk-secretmanager-tester@abap-sdk-poc.iam.gserviceaccount.com' \
--role='roles/roles/secretmanager.secrets.create'
gcloud endpoints services add-iam-policy-binding secretmanager.googleapis.com \ --member='serviceAccount:abap-sdk-secretmanager-tester@abap-sdk-poc.iam.gserviceaccount.com' \
--role='roles/roles/secretmanager.versions.add'
gcloud endpoints services add-iam-policy-binding secretmanager.googleapis.com \ --member='serviceAccount:abap-sdk-secretmanager-tester@abap-sdk-poc.iam.gserviceaccount.com' \
--role='roles/roles/secretmanager.versions.access'
Les commandes ci-dessus utilisent abap-sdk-poc
comme espace réservé pour le projet Google Cloud. Remplacez abap-sdk-poc
par l'ID de votre projet.
- Pour vérifier que le rôle a bien été ajouté, accédez à la page IAM. Le compte de service que vous avez créé doit être listé avec le rôle qui lui a été attribué.
7. Créer un secret
- Dans Cloud Shell, exécutez la commande suivante pour créer un secret nommé "demo-secret" pour cet atelier de programmation:
gcloud secrets create demo-secret \
--replication-policy="automatic"
Vous devriez voir un secret créé dans votre projet Google Cloud, comme illustré ci-dessous.
8. Ajouter une version de secret
- Dans Cloud Shell, exécutez la commande suivante pour ajouter une version de secret au secret "demo-secret".
echo -n "This is my super secret data" | \
gcloud secrets versions add demo-secret --data-file=-
Une version de secret est créée. Pour afficher les détails, cliquez sur "demo-secret" .
- Cliquez sur les trois points à droite, puis sélectionnez Afficher la valeur du secret. Le secret stocké s'affiche.
9. Créer des configurations de SDK dans SAP
Maintenant que vous avez configuré les conditions préalables côté Google Cloud, nous pouvons passer à la configuration côté SAP. Pour la configuration de l'authentification et de la connectivité associée, le SDK ABAP pour Google Cloud utilise la table /GOOG/CLIENT_KEY.
Pour gérer la configuration dans la table /GOOG/CLIENT_KEY, procédez comme suit:
- Dans l'IUG de SAP, saisissez le code de transaction SPRO.
- Cliquez sur SAP Reference IMG.
- Cliquez sur SDK ABAP pour Google Cloud > Paramètres de base > Configurer la clé client.
- Maintenez les valeurs suivantes pour les champs:
Champ | Description |
Nom de la clé Google Cloud | SECRET_MANAGER_DEMO |
Nom du compte de service Google Cloud | abap-sdk-secretmanager-tester@abap-sdk-poc.iam.gserviceaccount.com |
Champ d'application Google Cloud | https://www.googleapis.com/auth/cloud-platform |
Identifiant de projet Google Cloud | <<ID de votre projet Google Cloud>> |
Classe d'autorisation | /GOOG/CL_AUTH_GOOGLE |
Laissez les autres champs vides.
10. Récupérer un secret à l'aide du SDK
- Connectez-vous à votre système SAP.
- Accédez au code de transaction SE38, puis créez un rapport nommé "ZDEMO_ACCESS_SECRET".
- Dans la fenêtre pop-up qui s'affiche, renseignez les informations comme indiqué ci-dessous, puis cliquez sur Enregistrer.
- Dans la fenêtre pop-up suivante, sélectionnez Objet local ou indiquez un nom de package, le cas échéant.
- Dans l'éditeur ABAP, ajoutez le code suivant :
* Data declarations
DATA:
lv_p_projects_id TYPE string,
lv_p_secrets_id TYPE string,
lv_p_versions_id TYPE string.
TRY.
* Open HTTP Connection
DATA(lo_client) = NEW /goog/cl_secretmgr_v1( iv_key_name = 'SECRET_MANAGER_DEMO' ).
* Populate relevant parameters
lv_p_projects_id = lo_client->gv_project_id.
lv_p_secrets_id = 'demo-secret'.
lv_p_versions_id = 'latest'.
* Call API method: secretmanager.projects.secrets.versions.access
lo_client->access_versions(
EXPORTING
iv_p_projects_id = lv_p_projects_id
iv_p_secrets_id = lv_p_secrets_id
iv_p_versions_id = lv_p_versions_id
IMPORTING
es_output = DATA(ls_output)
ev_ret_code = DATA(lv_ret_code)
ev_err_text = DATA(lv_err_text)
es_err_resp = DATA(ls_err_resp) ).
IF lo_client->is_success( lv_ret_code ).
cl_http_utility=>if_http_utility~decode_base64(
EXPORTING
encoded = ls_output-payload-data
RECEIVING
decoded = DATA(lv_decoded_secret) ).
DATA(lv_msg) = 'Secret data fetched successfully, Decoded Secret: ' && lv_decoded_secret.
cl_demo_output=>display( lv_msg ).
ELSE.
lv_msg = lv_ret_code && ':' && lv_err_text.
cl_demo_output=>display( lv_msg ).
ENDIF.
* Close HTTP Connection
lo_client->close( ).
CATCH /goog/cx_sdk INTO DATA(lo_exception).
MESSAGE lo_exception->get_text( ) TYPE 'E'.
ENDTRY.
- Enregistrez et activez le programme de création de rapports.
- Exécutez le rapport (appuyez sur F8).
Si l'exécution réussit, le résultat du rapport s'affiche comme suit:
11. Félicitations !
Félicitations ! Vous avez récupéré un secret stocké dans Google Cloud Platform Secret Manager à l'aide du SDK ABAP pour Google Cloud.
Google Cloud Secret Manager propose également d'autres fonctionnalités, par exemple:
- Appliquer un correctif à un secret
- Détruire une version de secret
- Supprimer un secret
Vous pouvez appeler ces fonctionnalités Secret Manager via le SDK ABAP pour Google Cloud à partir de vos applications SAP.
12. Effectuer un nettoyage
Si vous ne souhaitez pas poursuivre les ateliers de programmation supplémentaires liés au SDK ABAP pour Google Cloud, veuillez procéder au nettoyage.
Supprimer le projet
- Supprimez le projet Google Cloud:
gcloud projects delete abap-sdk-poc
Supprimer des ressources individuelles
- Supprimez l'instance de calcul:
gcloud compute instances delete abap-trial-docker
- Supprimez les règles de pare-feu:
gcloud compute firewall-rules delete sapmachine
- Supprimez le compte de service :
gcloud iam service-accounts delete \
abap-sdk-secretmanager-tester@abap-sdk-poc.iam.gserviceaccount.com