此页面由 Cloud Translation API 翻译。

访问 Secret Manager API

我们建议您使用以下工具访问 Secret Manager API：

Google Cloud CLI，提供用于管理密文的命令行界面。
方便、惯用的 Secret Manager 客户端库，让您可以访问和管理 Secret 密钥。客户端库支持多种语言（包括 C# (.NET)、Go、Java、Node.js、PHP、Python 和 Ruby）。

准备工作

启用 Secret Manager API。
对 Secret Manager API 的请求需要进行身份验证。有关详情，请参阅向 Secret Manager 进行身份验证。

将 Secret Manager 与 Compute Engine 和 Google Kubernetes Engine 搭配使用

如需将 Secret Manager 与 Compute Engine 或 GKE 上运行的工作负载结合使用，底层实例或节点必须具有 cloud-platform OAuth 范围。如果您收到包含以下消息的错误，则表示实例或节点未预配正确的 OAuth 范围。

Request had insufficient authentication scopes

如需使用 Secret Manager，所需的 OAuth 范围如下：

https://www.googleapis.com/auth/cloud-platform

创建新的实例、实例组或节点池时，指定 cloud-platform 范围：

gcloud

gcloud compute instances create "INSTANCE_ID" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

对于现有实例、实例组或节点池更新访问权限范围：

gcloud

gcloud compute instances set-service-account "INSTANCE_ID" \
    --service-account "SERVICE_ACCOUNT_EMAIL" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

请参阅 Compute Engine 服务账号权限。

将 Secret Manager 与 App Engine 搭配使用

如需将 Secret Manager 与 App Engine 上运行的工作负载结合使用，您必须授予对 App Engine 服务的任何所需权限。

后续步骤

详细了解如何使用 IAM 管理对 Secret Manager 资源的访问权限。
了解如何创建 Secret 和访问 Secret 版本。