Acesso à API

O Secret Manager expõe uma API REST e uma API gRPC para usar e gerenciar secrets diretamente ou nos seus aplicativos. Neste tópico, mostramos como ativar a API Secret Manager.

Quando a API Secret Manager está ativada, é possível usar as ferramentas a seguir para integrá-lo aos aplicativos e processos.

  • O SDK do Cloud, que fornece uma interface de linha de comando para gerenciar secrets de clientes.

  • Bibliotecas de cliente do Secret Manager, idiomáticas e convenientes, que permitem acessar e gerenciar secrets no código-fonte do aplicativo. Estão disponíveis bibliotecas de cliente em várias linguagens, incluindo C# (.NET), Go, Java, Node.js, PHP, Python e Ruby.

Como ativar o acesso à API

Antes de começar a usar o Secret Manager, ative o acesso à API.

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
  2. No Console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Verifique se o faturamento está ativado para seu projeto na nuvem. Saiba como confirmar se o faturamento está ativado para o projeto.

  4. Ative a API necessária.

    Ative a API

  5. Instale e inicialize o SDK do Cloud..
  6. No Console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  7. Verifique se o faturamento está ativado para seu projeto na nuvem. Saiba como confirmar se o faturamento está ativado para o projeto.

  8. Ative a API necessária.

    Ative a API

  9. Instale e inicialize o SDK do Cloud..

Autenticando

As solicitações para a API Secret Manager exigem autenticação. Ao usar o SDK do Cloud ou uma biblioteca de cliente, as informações de autenticação geralmente são injetadas na solicitação automaticamente. Por exemplo, se você autenticar com a ferramenta de linha de comando gcloud, solicitações futuras injetarão automaticamente a autenticação.

gcloud

gcloud auth login --update-adc

Ao usar a API diretamente, é necessário transmitir informações de autenticação com a solicitação como um cabeçalho. Este exemplo demonstra o uso do curl para autenticar na API Secret Manager:

API

curl "https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets" \
    --header "Authorization: Bearer ACCESS_TOKEN"
  • PROJECT_ID é o ID do projeto do Google Cloud em que você quer usar o Gerenciador de secrets.

  • ACCESS_TOKEN é um token de acesso OAuth. Ele é especificado como o cabeçalho Authorization com um valor prefixado de Bearer.

Se você tiver o SDK do Cloud instalado, poderá gerar um token de acesso OAuth temporário executando:

gcloud

gcloud auth print-access-token

Para saber mais sobre outras maneiras de gerar tokens temporários de acesso OAuth, consulte Como criar credenciais de curta duração. Para saber mais sobre a autenticação no Google Cloud, consulte Visão geral da autenticação do Google Cloud.

Escopos do OAuth

Para usar o Secret Manager com cargas de trabalho em execução no Compute Engine ou no GKE, a instância ou o nó subjacente precisa ter o escopo cloud-platform do OAuth. Se você receber um erro com a mensagem a seguir, isso significa que a instância ou o nó não foram provisionados com os escopos OAuth corretos.

Request had insufficient authentication scopes

O escopo do OAuth necessário para usar o Secret Manager é:

https://www.googleapis.com/auth/cloud-platform

Ao criar uma nova instância, grupo de instâncias ou pool de nós, especifique o escopo do cloud-platform:

gcloud

gcloud compute instances create "INSTANCE_ID" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

Para uma instância existente, um grupo de instâncias ou um pool de nós, atualize os escopos de acesso:

gcloud

gcloud compute instances set-service-account "INSTANCE_ID" \
    --service-account "SERVICE_ACCOUNT_EMAIL" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

Para mais informações, consulte Permissões da conta de serviço do Compute Engine.

App Engine

Para usar o Secret Manager com cargas de trabalho em execução no App Engine, é preciso conceder as permissões necessárias ao serviço do App Engine.

A seguir