我们建议您使用以下工具访问 Secret Manager API:
Google Cloud CLI,提供用于管理密文的命令行界面。
便捷、惯用的 Secret Manager 客户端库,可让您在应用源代码中访问和管理密文。客户端库支持多种语言(包括 C#(.NET)、Go、Java、Node.js、PHP、Python 和 Ruby)。
准备工作
对 Secret Manager API 的请求需要进行身份验证。如需了解详情,请参阅对 Secret Manager 进行身份验证。
将 Secret Manager 与 Compute Engine 和 Google Kubernetes Engine 搭配使用
如需将 Secret Manager 与 Compute Engine 或 GKE 上运行的工作负载结合使用,底层实例或节点必须具有 cloud-platform OAuth 范围。如果您收到包含以下消息的错误,则表示实例或节点未预配正确的 OAuth 范围。
Request had insufficient authentication scopes
如需使用 Secret Manager,所需的 OAuth 范围如下:
https://www.googleapis.com/auth/cloud-platform
创建新实例、实例组或节点池时,请指定 cloud-platform 范围:
gcloud
gcloud compute instances create "INSTANCE_ID" \
--scopes "https://www.googleapis.com/auth/cloud-platform"对于现有实例、实例组或节点池,请更新访问范围:
gcloud
gcloud compute instances set-service-account "INSTANCE_ID" \
--service-account "SERVICE_ACCOUNT_EMAIL" \
--scopes "https://www.googleapis.com/auth/cloud-platform"如需了解详情,请参阅 Compute Engine 服务账号权限。
将 Secret Manager 与 App Engine 搭配使用
如需将 Secret Manager 与 App Engine 上运行的工作负载结合使用,您必须授予对 App Engine 服务的任何所需权限。