访问 Secret Manager API

我们建议您使用以下工具访问 Secret Manager API：

• Google Cloud CLI，提供用于管理密文的命令行界面。

• 便捷、惯用的 Secret Manager 客户端库，可让您在应用源代码中访问和管理密文。客户端库支持多种语言（包括 C#(.NET)、Go、Java、Node.js、PHP、Python 和 Ruby）。

准备工作

1. 启用 Secret Manager API。

2. 对 Secret Manager API 的请求需要进行身份验证。如需了解详情，请参阅为 Secret Manager 设置身份验证。

将 Secret Manager 与 Compute Engine 和 Google Kubernetes Engine 搭配使用

如需将 Secret Manager 与 Compute Engine 或 GKE 上运行的工作负载结合使用，底层实例或节点必须具有 cloud-platform OAuth 范围。如果您收到包含以下消息的错误，则表示实例或节点未预配正确的 OAuth 范围。

Request had insufficient authentication scopes

如需使用 Secret Manager，所需的 OAuth 范围如下：

https://www.googleapis.com/auth/cloud-platform

创建新实例、实例组或节点池时，请指定 cloud-platform 范围：

gcloud compute instances create "INSTANCE_ID" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

对于现有实例、实例组或节点池，请更新访问范围：

gcloud compute instances set-service-account "INSTANCE_ID" \
    --service-account "SERVICE_ACCOUNT_EMAIL" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

如需了解详情，请参阅 Compute Engine 服务账号权限。

将 Secret Manager 与 App Engine 搭配使用

如需将 Secret Manager 与 App Engine 上运行的工作负载结合使用，您必须授予对 App Engine 服务的任何所需权限。

后续步骤

• 详细了解如何使用 IAM 管理对 Secret Manager 资源的访问权限。
• 了解如何创建 Secret 并访问 Secret 版本。