Secret Manager API には、次のツールを使用してアクセスすることをおすすめします。
Google Cloud CLI。これは、シークレットを管理するためのコマンドライン インターフェースを提供します。
便利で慣用的な Secret Manager クライアント ライブラリ。これにより、アプリケーション ソースコード内からシークレットにアクセスして管理することができます。クライアント ライブラリは、C#(.NET)、Go、Java、Node.js、PHP、Python、Ruby など、多くの言語で利用できます。
始める前に
Secret Manager API へのリクエストには認証が必要です。詳細については、Secret Manager への認証をご覧ください。
Compute Engine と Google Kubernetes Engine で Secret Manager を使用する
Compute Engine または GKE で動作しているワークロードで Secret Manager を使用するには、基盤となるインスタンスまたはノードに cloud-platform OAuth スコープが必要です。次のメッセージを含むエラーが表示された場合、インスタンスまたはノードに正しい OAuth スコープがプロビジョニングされていないことを意味します。
Request had insufficient authentication scopes
Secret Manager を使用するために必要な OAuth スコープは次のとおりです。
https://www.googleapis.com/auth/cloud-platform
新しいインスタンス、インスタンス グループ、またはノードプールを作成する場合は、cloud-platform スコープを指定します。
gcloud
gcloud compute instances create "INSTANCE_ID" \
--scopes "https://www.googleapis.com/auth/cloud-platform"
既存のインスタンス、インスタンス グループ、またはノードプールの場合は、アクセス スコープを更新します。
gcloud
gcloud compute instances set-service-account "INSTANCE_ID" \
--service-account "SERVICE_ACCOUNT_EMAIL" \
--scopes "https://www.googleapis.com/auth/cloud-platform"
詳細については、Compute Engine のサービス アカウント権限をご覧ください。
App Engine で Secret Manager を使用する
App Engine で動作しているワークロードで Secret Manager を使用するには、App Engine サービスに必要な権限を付与する必要があります。
次のステップ
- IAM で Secret Manager リソースへのアクセスを管理する方法について学習する。
- シークレットを作成してシークレット バージョンにアクセスする方法を学習する。