O Secret Manager expõe uma API REST e uma API gRPC para usar e gerenciar secrets diretamente ou nos seus aplicativos. Neste tópico, mostramos como ativar a API Secret Manager.
Quando a API Secret Manager está ativada, é possível usar as ferramentas a seguir para integrá-lo aos aplicativos e processos.
O SDK do Cloud, que fornece uma interface de linha de comando para gerenciar secrets de clientes.
Bibliotecas de cliente do Secret Manager, idiomáticas e convenientes, que permitem acessar e gerenciar secrets no código-fonte do aplicativo. Estão disponíveis bibliotecas de cliente em várias linguagens, incluindo C# (.NET), Go, Java, Node.js, PHP, Python e Ruby.
Como ativar o acesso à API
Antes de começar a usar o Secret Manager, ative o acesso à API.
- Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
-
No Console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.
-
Verifique se o faturamento está ativado para seu projeto na nuvem. Saiba como confirmar se o faturamento está ativado para o projeto.
- Ative a API necessária.
- Instale e inicialize o SDK do Cloud..
-
No Console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.
-
Verifique se o faturamento está ativado para seu projeto na nuvem. Saiba como confirmar se o faturamento está ativado para o projeto.
- Ative a API necessária.
- Instale e inicialize o SDK do Cloud..
Autenticando
As solicitações para a API Secret Manager exigem autenticação. Ao usar o
SDK do Cloud ou uma biblioteca de cliente,
as informações de autenticação geralmente são injetadas na solicitação automaticamente.
Por exemplo, se você autenticar com a ferramenta de linha de comando gcloud, solicitações futuras injetarão automaticamente a autenticação.
gcloud
gcloud auth login --update-adc
Ao usar a API diretamente, é necessário transmitir informações de autenticação com a solicitação como um cabeçalho. Este exemplo demonstra o uso do curl para autenticar na API Secret Manager:
API
curl "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets" \
--header "Authorization: Bearer ACCESS_TOKEN"
PROJECT_ID é o ID do projeto do Google Cloud em que você quer usar o Gerenciador de secrets.
ACCESS_TOKEN é um token de acesso OAuth. Ele é especificado como o cabeçalho
Authorizationcom um valor prefixado deBearer.
Se você tiver o SDK do Cloud instalado, poderá gerar um token de acesso OAuth temporário executando:
gcloud
gcloud auth print-access-token
Para saber mais sobre outras maneiras de gerar tokens temporários de acesso OAuth, consulte Como criar credenciais de curta duração. Para saber mais sobre a autenticação no Google Cloud, consulte Visão geral da autenticação do Google Cloud.
Escopos do OAuth
Para usar o Secret Manager com cargas de trabalho em execução no Compute Engine
ou no GKE, a instância ou o nó subjacente precisa ter o
escopo cloud-platform do OAuth. Se você receber um erro com a mensagem
a seguir, isso significa que a instância ou o nó não foram provisionados com os escopos
OAuth corretos.
Request had insufficient authentication scopes
O escopo do OAuth necessário para usar o Secret Manager é:
https://www.googleapis.com/auth/cloud-platform
Ao criar uma nova instância, grupo de instâncias ou pool de nós,
especifique o escopo do cloud-platform:
gcloud
gcloud compute instances create "INSTANCE_ID" \
--scopes "https://www.googleapis.com/auth/cloud-platform"
Para uma instância existente, um grupo de instâncias ou um pool de nós, atualize os escopos de acesso:
gcloud
gcloud compute instances set-service-account "INSTANCE_ID" \
--service-account "SERVICE_ACCOUNT_EMAIL" \
--scopes "https://www.googleapis.com/auth/cloud-platform"
Para mais informações, consulte Permissões da conta de serviço do Compute Engine.
App Engine
Para usar o Secret Manager com cargas de trabalho em execução no App Engine, é preciso conceder as permissões necessárias ao serviço do App Engine.
A seguir
- Siga o guia de início rápido.
- Saiba mais sobre como gerenciar o acesso aos recursos do Secret Manager.