Accede a la API

Secret Manager expone una API de REST y una API de gRPC para usar y administrar secretos directamente o en tus aplicaciones. En este tema, se muestra cómo habilitar la API de Secret Manager.

Cuando se habilita la API de Secret Manager, puedes usar las siguientes herramientas para integrar Secret Manager en tus aplicaciones y procesos.

  • La CLI de Google Cloud, que proporciona una interfaz de línea de comandos para administrar los secretos de los clientes

  • Bibliotecas cliente de Secret Manager idiomáticas y convenientes, que te permitirán acceder y administrar secretos desde el código fuente de la aplicación. Las bibliotecas cliente están disponibles en muchos lenguajes, incluidos C# (.NET), Go, Java, Node.js, PHP, Python y Ruby.

Habilita el acceso a la API

Antes de comenzar a usar Secret Manager, debes habilitar el acceso a la API.

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

  4. Habilita la API necesaria.

    Habilita la API

  5. Instala y, luego, inicializa Google Cloud CLI.
  6. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  7. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

  8. Habilita la API necesaria.

    Habilita la API

  9. Instala y, luego, inicializa Google Cloud CLI.

Autenticando

Las solicitudes a la API de Secret Manager requieren autenticación. Cuando se usa la CLI de Google Cloud o una biblioteca cliente, la información de autenticación suele insertarse en la solicitud de forma automática. Por ejemplo, si realizas la autenticación con Google Cloud CLI, las solicitudes futuras introducirán la autenticación de forma automática.

gcloud

gcloud auth login --update-adc

Cuando usas la API de forma directa, debes pasar la información de autenticación con la solicitud como encabezado. En este ejemplo se muestra cómo usar curl para autenticarte en la API de Secret Manager:

API

curl "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets" \
    --header "Authorization: Bearer ACCESS_TOKEN"
  • PROJECT_ID es el ID del proyecto de Google Cloud en el que deseas usar Secret Manager.

  • ACCESS_TOKEN es un token de acceso de OAuth. Se especifica como el encabezado Authorization con un valor con el prefijo Bearer.

Si tienes instalada la CLI de Google Cloud, puedes generar un token de acceso OAuth temporal si ejecutas el siguiente comando:

gcloud

gcloud auth print-access-token

Para obtener información sobre otras formas de generar tokens de acceso OAuth temporales, consulta Crea credenciales de corta duración. Para obtener más información sobre la autenticación en Google Cloud, consulta Descripción general de la autenticación.

Alcances de OAuth

Para usar Secret Manager con cargas de trabajo que se ejecutan en Compute Engine o GKE, la instancia o el nodo subyacente debe tener el permiso de OAuth cloud-platform. Si recibes un error con el siguiente mensaje, significa que la instancia o el nodo no se aprovisionaron con los permisos de OAuth correctos.

Request had insufficient authentication scopes

El permiso de OAuth requerido para usar Secret Manager es el siguiente:

https://www.googleapis.com/auth/cloud-platform

Cuando crees una instancia nueva, un grupo de instancias o un grupo de nodos, especifica el permiso cloud-platform:

gcloud

gcloud compute instances create "INSTANCE_ID" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

Para una instancia existente, un grupo de instancias o un grupo de nodos, actualiza los permisos de acceso:

gcloud

gcloud compute instances set-service-account "INSTANCE_ID" \
    --service-account "SERVICE_ACCOUNT_EMAIL" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

Consulta los permisos de la cuenta de servicio de Compute Engine para obtener más información.

App Engine

Para usar Secret Manager con cargas de trabajo que se ejecutan en App Engine, debes otorgar los permisos necesarios al servicio de App Engine.

¿Qué sigue?