Trang này được dịch bởi Cloud Translation API.

Truy xuất thông tin xác thực/bí mật từ Trình quản lý bí mật của Google Cloud bằng SDK ABAP cho Google Cloud

1. Giới thiệu

Trong lớp học lập trình này, chúng tôi đã liệt kê các bước về cách truy xuất thông tin đăng nhập hoặc bí mật từ API Trình quản lý bí mật của Google Cloud bằng ABAP SDK cho Google Cloud.

Các dịch vụ sau đây của Google Cloud được dùng trong lớp học lập trình này:

Secret Manager
Cloud Shell

Sản phẩm bạn sẽ tạo ra

Bạn sẽ thực hiện những việc sau:

Bật Secret Manager API trong một dự án Google Cloud.
Tạo một khoá bí mật.
Thêm một phiên bản bí mật.
Truy cập/Truy xuất một khoá bí mật bằng ABAP SDK cho Google Cloud.

Trong lớp học lập trình này, các bước tạo một bí mật và thêm một phiên bản bí mật sẽ được thực hiện thông qua các lệnh gcloud. Tuy nhiên, bạn cũng có thể thực hiện việc này bằng cách sử dụng thư viện ứng dụng cho Secret Manager được cung cấp cùng với ABAP SDK cho Google Cloud.

2. Yêu cầu

Một trình duyệt, chẳng hạn như Chrome hoặc Firefox.
Một dự án Google Cloud đã bật tính năng thanh toán hoặc Tạo tài khoản dùng thử miễn phí 90 ngày cho Google Cloud Platform.
SAP GUI (Windows hoặc Java) được cài đặt trong hệ thống của bạn. Nếu SAP GUI đã được cài đặt trên máy tính xách tay, hãy kết nối với SAP bằng địa chỉ IP bên ngoài của máy ảo làm IP của Máy chủ ứng dụng. Nếu đang dùng máy Mac, bạn cũng có thể cài đặt SAP GUI cho Java có trong đường liên kết này.

3. Trước khi bắt đầu

Bạn đã cài đặt ABAP SDK cho Google Cloud trên hệ thống của mình. Bạn có thể tham khảo lớp học lập trình – Cài đặt ABAP Platform Trial 1909 trên Google Cloud Platform và Cài đặt ABAP SDK để thiết lập một hệ thống mới.
Bạn sẽ sử dụng Cloud Shell, một môi trường dòng lệnh chạy trong Google Cloud.
Trong Cloud Console, hãy nhấp vào Activate Cloud Shell (Kích hoạt Cloud Shell) ở góc trên cùng bên phải:

Chạy các lệnh sau để xác thực tài khoản của bạn và đặt dự án mặc định thành abap-sdk-poc. Vùng us-west4-b được dùng làm ví dụ. Nếu cần, vui lòng thay đổi dự án và khu vực trong các lệnh sau dựa trên lựa chọn ưu tiên của bạn.

gcloud auth login
gcloud config set project abap-sdk-poc
gcloud config set compute/zone us-west4-b

4. Tổng quan

Dưới đây là thông tin tổng quan nhanh về một số thực thể của Secret Manager mà bạn sẽ sử dụng trong lớp học lập trình này:

Bí mật – Bí mật là một đối tượng trên toàn dự án, chứa một tập hợp siêu dữ liệu và các phiên bản bí mật.
Phiên bản bí mật – Phiên bản bí mật lưu trữ dữ liệu bí mật thực tế, chẳng hạn như khoá API, mật khẩu hoặc chứng chỉ.

5. Bật Secret Manager trong dự án Google Cloud

Chuyển đến Dự án trên Google Cloud rồi nhấp vào Kích hoạt Cloud Shell ở góc trên bên phải.

Thực thi lệnh sau để bật Cloud Secret Manager API trong Dự án Google Cloud của bạn.

gcloud services enable secretmanager.googleapis.com

Giờ đây, bạn sẽ bật được Secret Manager API trong Dự án Google Cloud của mình.

6. Tạo Tài khoản dịch vụ có vai trò người dùng Secret Manager

Để tạo một tài khoản dịch vụ có các vai trò bắt buộc, hãy thực hiện các bước sau:

Chạy lệnh sau trong cửa sổ dòng lệnh Cloud Shell:

gcloud iam service-accounts create abap-sdk-secretmanager-tester \
--display-name="Service Account for Secret Manager"

Thêm các vai trò bắt buộc vào tài khoản dịch vụ đã tạo ở bước trước để tạo một khoá bí mật, thêm một phiên bản khoá bí mật và truy cập vào một phiên bản khoá bí mật.

gcloud endpoints services add-iam-policy-binding secretmanager.googleapis.com \ --member='serviceAccount:abap-sdk-secretmanager-tester@abap-sdk-poc.iam.gserviceaccount.com' \
--role='roles/roles/secretmanager.secrets.create'

gcloud endpoints services add-iam-policy-binding secretmanager.googleapis.com \ --member='serviceAccount:abap-sdk-secretmanager-tester@abap-sdk-poc.iam.gserviceaccount.com' \
--role='roles/roles/secretmanager.versions.add'

gcloud endpoints services add-iam-policy-binding secretmanager.googleapis.com \ --member='serviceAccount:abap-sdk-secretmanager-tester@abap-sdk-poc.iam.gserviceaccount.com' \
--role='roles/roles/secretmanager.versions.access'

Các lệnh trên sử dụng abap-sdk-poc làm phần giữ chỗ cho Dự án Google Cloud. Thay abap-sdk-poc bằng mã dự án của bạn.

Để xác minh rằng vai trò đã được thêm, hãy chuyển đến trang IAM. Tài khoản dịch vụ mà bạn đã tạo sẽ xuất hiện cùng với vai trò được chỉ định cho tài khoản đó.

7. Tạo một Secret

Trong cloud shell, hãy chạy lệnh sau để tạo một bí mật có tên "demo-secret" cho lớp học lập trình này:

gcloud secrets create demo-secret \
    --replication-policy="automatic"

Bạn sẽ thấy một khoá bí mật được tạo trong dự án Google Cloud của mình như minh hoạ dưới đây.

8. Thêm một phiên bản bí mật

Trong Cloud Shell, hãy chạy lệnh sau để thêm một phiên bản bí mật vào bí mật "demo-secret".

echo -n "This is my super secret data" | \
    gcloud secrets versions add demo-secret --data-file=-

Một phiên bản bí mật được tạo. Để xem chi tiết, hãy nhấp vào "demo-secret" .

Nhấp vào biểu tượng ba dấu chấm ở bên phải rồi chọn Xem giá trị bí mật, bí mật đã lưu sẽ xuất hiện.

9. Tạo cấu hình SDK trong SAP

Giờ đây, sau khi bạn thiết lập các điều kiện tiên quyết trên Google Cloud, chúng ta có thể chuyển sang bước định cấu hình trên SAP. Đối với cấu hình liên quan đến việc xác thực và kết nối, ABAP SDK cho Google Cloud sẽ sử dụng bảng /GOOG/CLIENT_KEY.

Để duy trì cấu hình trong bảng /GOOG/CLIENT_KEY, hãy thực hiện các bước sau:

Trong SAP GUI, hãy nhập mã giao dịch SPRO.
Nhấp vào SAP Reference IMG.
Nhấp vào ABAP SDK for Google Cloud > Basic Settings > Configure Client Key (ABAP SDK cho Google Cloud > Cài đặt cơ bản > Định cấu hình khoá ứng dụng).
Duy trì các giá trị sau đối với các trường:

Trường	Mô tả
Tên khoá Google Cloud	SECRET_MANAGER_DEMO
Tên tài khoản dịch vụ Google Cloud	abap-sdk-secretmanager-tester@abap-sdk-poc.iam.gserviceaccount.com
Phạm vi Google Cloud	https://www.googleapis.com/auth/cloud-platform
Mã nhận dạng dự án trên Google Cloud	<<Mã dự án của bạn trên Google Cloud>>
Lớp uỷ quyền	/GOOG/CL_AUTH_GOOGLE

Để trống các trường khác.

10. Truy xuất khoá bí mật bằng SDK

Đăng nhập vào hệ thống SAP.
Chuyển đến mã giao dịch SE38 rồi tạo một báo cáo có tên "ZDEMO_ACCESS_SECRET".
Trong cửa sổ bật lên, hãy cung cấp thông tin chi tiết như minh hoạ bên dưới rồi nhấp vào Lưu.

Trong cửa sổ bật lên tiếp theo, hãy chọn Local Object hoặc cung cấp tên gói nếu thích hợp.

Trong ABAP Editor, hãy thêm mã sau:

* Data declarations
 DATA:
   lv_p_projects_id TYPE string,
   lv_p_secrets_id  TYPE string,
   lv_p_versions_id TYPE string.

 TRY.
* Open HTTP Connection
     DATA(lo_client) = NEW /goog/cl_secretmgr_v1( iv_key_name = 'SECRET_MANAGER_DEMO' ).

* Populate relevant parameters
 lv_p_projects_id = lo_client->gv_project_id.
 lv_p_secrets_id = 'demo-secret'.
 lv_p_versions_id = 'latest'.

* Call API method: secretmanager.projects.secrets.versions.access
     lo_client->access_versions(
       EXPORTING
         iv_p_projects_id = lv_p_projects_id
         iv_p_secrets_id  = lv_p_secrets_id
         iv_p_versions_id = lv_p_versions_id
       IMPORTING
         es_output        = DATA(ls_output)
         ev_ret_code      = DATA(lv_ret_code)
         ev_err_text      = DATA(lv_err_text)
         es_err_resp      = DATA(ls_err_resp) ).
     IF lo_client->is_success( lv_ret_code ).
      cl_http_utility=>if_http_utility~decode_base64(
        EXPORTING
          encoded = ls_output-payload-data
        RECEIVING
          decoded = DATA(lv_decoded_secret) ).
       DATA(lv_msg) = 'Secret data fetched successfully, Decoded Secret: ' && lv_decoded_secret.
      cl_demo_output=>display( lv_msg ).
     ELSE.
       lv_msg = lv_ret_code && ':' && lv_err_text.
       cl_demo_output=>display( lv_msg ).

     ENDIF.

* Close HTTP Connection
     lo_client->close( ).

   CATCH /goog/cx_sdk INTO DATA(lo_exception).
     MESSAGE lo_exception->get_text( ) TYPE 'E'.

 ENDTRY.

Lưu và kích hoạt chương trình báo cáo.
Thực thi báo cáo (nhấn F8).

Khi thực thi thành công, bạn sẽ thấy kết quả báo cáo như minh hoạ dưới đây:

11. Xin chúc mừng

Xin chúc mừng! Bạn đã truy xuất thành công một bí mật được lưu trữ trong Google Cloud Platform Secret Manager bằng ABAP SDK cho Google Cloud.

Google Cloud Secret Manager cũng có các tính năng khác, chẳng hạn như:

Vá một khoá bí mật
Huỷ một phiên bản bí mật
Xoá khoá bí mật

Bạn có thể gọi các tính năng Secret Manager này thông qua ABAP SDK cho Google Cloud từ các ứng dụng SAP của mình.

12. Dọn dẹp

Nếu bạn không muốn tiếp tục với các khoá học lập trình bổ sung liên quan đến ABAP SDK cho Google Cloud, vui lòng tiến hành dọn dẹp.

Xoá dự án

Thận trọng: Việc xoá một dự án sẽ gây ra những tác động sau:

Mọi nội dung trong dự án sẽ bị xoá. Nếu đã dùng một dự án hiện có cho các việc cần làm trong tài liệu này, thì khi xoá dự án đó, bạn cũng sẽ xoá mọi công việc khác mà bạn đã thực hiện trong dự án.
Mã dự án tuỳ chỉnh sẽ bị mất. Khi tạo dự án này, có thể bạn đã tạo một mã dự án tuỳ chỉnh mà bạn muốn sử dụng trong tương lai. Để giữ lại những URL sử dụng mã dự án, chẳng hạn như URL appspot.com, hãy xoá các tài nguyên đã chọn trong dự án thay vì xoá toàn bộ dự án.

Nếu bạn dự định khám phá nhiều cấu trúc, hướng dẫn hoặc hướng dẫn bắt đầu nhanh, thì việc sử dụng lại các dự án có thể giúp bạn tránh vượt quá hạn mức dự án.

Xoá dự án trên Google Cloud:

gcloud projects delete abap-sdk-poc

Xoá từng tài nguyên

Xoá phiên bản điện toán:

gcloud compute instances delete abap-trial-docker

Xoá các quy tắc về tường lửa:

gcloud compute firewall-rules delete sapmachine

Xoá tài khoản dịch vụ:

gcloud iam service-accounts delete \
 abap-sdk-secretmanager-tester@abap-sdk-poc.iam.gserviceaccount.com