Admin API aufrufen

Secret Manager stellt eine REST API und eine gRPC API zur Verfügung, um Secrets direkt oder in Ihren Anwendungen zu verwenden und zu verwalten. In diesem Thema wird gezeigt, wie die Secret Manager API aktiviert wird.

Wenn die Secret Manager API aktiviert ist, können Sie mit den folgenden Tools den Secret Manager in Ihre Anwendungen und Prozesse integrieren.

  • Das Cloud SDK, das eine Befehlszeile zum Verwalten von Secrets von Clients bereitstellt.

  • Praktische, idiomatische Secret Manager-Clientbibliotheken, mit denen Sie von Ihrem Anwendungsquellcode auf Secrets zugreifen und diese verwalten können. Clientbibliotheken sind in vielen Sprachen verfügbar, einschließlich C# (.NET), Go, Java, Node.js, PHP, Python und Ruby.

API-Zugriff aktivieren

Bevor Sie Secret Manager verwenden, müssen Sie den API-Zugriff aktivieren.

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  4. Aktivieren Sie die erforderliche API.

    Aktivieren Sie die API

  5. Installieren und initialisieren Sie das Cloud SDK.
  6. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  7. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  8. Aktivieren Sie die erforderliche API.

    Aktivieren Sie die API

  9. Installieren und initialisieren Sie das Cloud SDK.

Authentifizierung

Anfragen an die Secret Manager API erfordern eine Authentifizierung. Bei Verwendung des Cloud SDK oder einer Clientbibliothek werden Authentifizierungsinformationen in der Regel automatisch in die Anfrage eingefügt. Wenn Sie sich beispielsweise mit dem gcloud-Befehlszeilentool authentifizieren, wird bei zukünftigen Anfragen die Authentifizierung automatisch eingefügt.

gcloud

gcloud auth login --update-adc

Wenn Sie die API direkt verwenden, müssen Sie Authentifizierungsinformationen mit der Anfrage als Header übergeben. In diesem Beispiel wird die Verwendung von curl zur Authentifizierung bei der Secret Manager API veranschaulicht:

API

curl "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets" \
    --header "Authorization: Bearer ACCESS_TOKEN"
  • PROJECT_ID ist die ID des Google Cloud-Projekts, in dem Sie Secret Manager verwenden möchten.

  • ACCESS_TOKEN ist ein OAuth-Zugriffstoken. Es wird als Authorization-Header mit dem Präfixwert Bearer angegeben.

Wenn Sie das Cloud SDK installiert haben, können Sie mit dem folgenden Befehl ein temporäres OAuth-Zugriffstoken generieren:

gcloud

gcloud auth print-access-token

Weitere Möglichkeiten zum Generieren temporärer OAuth-Zugriffstokens finden Sie unter Kurzlebige Anmeldedaten erstellen. Weitere Informationen zur Authentifizierung bei Google Cloud finden Sie unter Google Cloud-Authentifizierung.

OAuth-Bereiche

Damit Sie Secret Manager mit Arbeitslasten verwenden können, die in Compute Engine oder GKE ausgeführt werden, muss die zugrunde liegende Instanz oder der zugrunde liegende Knoten den OAuth-Bereich cloud-platform haben. Wenn Sie eine Fehlermeldung mit der folgenden Meldung erhalten, wurde die Instanz oder der Knoten nicht mit den richtigen OAuth-Bereichen bereitgestellt.

Request had insufficient authentication scopes

Der erforderliche OAuth-Bereich für die Verwendung von Secret Manager ist:

https://www.googleapis.com/auth/cloud-platform

Geben Sie beim Erstellen einer neuen Instanz, Instanzgruppe oder eines Knotenpools den Bereich cloud-platform an:

gcloud

gcloud compute instances create "INSTANCE_ID" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

Aktualisieren Sie für eine vorhandene Instanz, eine Instanzgruppe oder einen Knotenpool die Zugriffsbereiche:

gcloud

gcloud compute instances set-service-account "INSTANCE_ID" \
    --service-account "SERVICE_ACCOUNT_EMAIL" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

Weitere Informationen finden Sie unter Compute Engine-Dienstkontoberechtigungen.

App Engine

Wenn Sie Secret Manager mit Arbeitslasten verwenden möchten, die in App Engine ausgeführt werden, müssen Sie dem App Engine-Dienst die erforderlichen Berechtigungen erteilen.

Nächste Schritte