Acessar a API Secret Manager

Recomendamos que você acesse a API Secret Manager usando as seguintes ferramentas:

  • A Google Cloud CLI, que fornece uma interface de linha de comando para gerenciar segredos.

  • Bibliotecas de cliente do Secret Manager convenientes e idiomáticas, que permitem acessar e gerenciar secrets no código-fonte do aplicativo. Estão disponíveis bibliotecas de cliente em várias linguagens, incluindo C#(.NET), Go, Java, Node.js, PHP, Python e Ruby.

Antes de começar

  1. Ative a API Secret Manager.

  2. As solicitações para a API Secret Manager exigem autenticação. Para mais informações, consulte Autenticar no Secret Manager.

Usar o Secret Manager com o Compute Engine e o Google Kubernetes Engine

Para usar o Secret Manager com cargas de trabalho em execução no Compute Engine ou no GKE, a instância ou o nó subjacente precisa ter o escopo cloud-platform do OAuth. Se você receber um erro com a mensagem a seguir, isso significa que a instância ou o nó não foram provisionados com os escopos OAuth corretos.

Request had insufficient authentication scopes

O escopo do OAuth necessário para usar o Secret Manager é:

https://www.googleapis.com/auth/cloud-platform

Ao criar uma nova instância, grupo de instâncias ou pool de nós, especifique o escopo do cloud-platform:

gcloud

gcloud compute instances create "INSTANCE_ID" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

Para uma instância existente, um grupo de instâncias ou um pool de nós, atualize os escopos de acesso:

gcloud

gcloud compute instances set-service-account "INSTANCE_ID" \
    --service-account "SERVICE_ACCOUNT_EMAIL" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

Para mais informações, consulte Permissões da conta de serviço do Compute Engine.

Usar o Secret Manager com o App Engine

Para usar o Secret Manager com cargas de trabalho em execução no App Engine, é preciso conceder as permissões necessárias ao serviço do App Engine.

A seguir