Criar e acessar um secret usando o Secret Manager
Saiba como criar e acessar secrets usando o Secret Manager no Google Cloud.
Para seguir as instruções passo a passo desta tarefa diretamente no console do Google Cloud, clique em Orientação:
Antes de começar
- Ative a API Secret Manager uma vez por projeto.
- Atribua o papel de administrador do Secret Manager (
roles/secretmanager.admin
) no projeto, na pasta ou na organização. Faça a autenticação na API Secret Manager de uma destas formas:
- Se você estiver usando bibliotecas de cliente para acessar a API Secret Manager, configure o Application Default Credentials.
- Se você estiver usando a Google Cloud CLI para acessar a API Secret Manager, use suas credenciais da Google Cloud CLI para autenticação.
- Para autenticar uma chamada REST, use as credenciais da Google Cloud CLI ou Application Default Credentials.
Criar um secret e acessar uma versão dele
Os exemplos a seguir demonstram como criar um secret e acessar o conteúdo de uma versão secreta.
Console
Para criar o secret e a versão dele:
-
Acesse a página do Secret Manager no console do Google Cloud:
-
Na página Gerenciador de secrets, clique em Criar secret.
-
Na página Criar secret, em Nome, digite
my-secret
. -
No campo Valor do secret, insira
my super secret data
. -
Clique no botão Criar secret.
Para acessar o conteúdo da versão secreta, faça o seguinte:
-
Acesse a página do Secret Manager no console do Google Cloud:
-
Na página Secret Manager, clique em my-secret.
-
Na página Detalhes do secret, na tabela Versões, localize a versão 1.
-
Na coluna Ações, clique em Ver mais
. -
Clique em Visualizar valor do secret no menu.
-
Uma caixa de diálogo que mostra o valor do secret é exibida. Clique em Concluído para fechar a caixa de diálogo.
gcloud
Para usar o Secret Manager na linha de comando, primeiro instale ou faça upgrade para a versão 378.0.0 ou mais recente da Google Cloud CLI. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Para criar um secret e armazenar uma string como o conteúdo da primeira versão do secret, faça o seguinte:
$ echo -n "my super secret data" | gcloud secrets create my-secret \
--replication-policy="replication-policy" \
--data-file=-
Em que replication-policy é automatic
ou user-managed
.
Para acessar o conteúdo de uma versão do secret específica, faça o seguinte:
$ gcloud secrets versions access 1 --secret="my-secret"
Para acessar o conteúdo da versão secreta mais recente, faça o seguinte:
$ gcloud secrets versions access latest --secret="my-secret"
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento em C# e instale o SDK do C# do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Go e instale o SDK do Go do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Java e instale o SDK do Java do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Node.js do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
PHP
Para executar este código, veja primeiro como usar o PHP no Google Cloud e instalar o SDK do PHP do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Python e instale o SDK do Python do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento em Ruby e instale o SDK do Ruby do Secret Manager. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
API
Esses exemplos usam curl para demonstrar o uso da API. É possível gerar tokens de acesso com o gcloud auth print-access-token. No Compute Engine ou no GKE, você precisa fazer a autenticação com o escopo do cloud-platform.
Para criar o secret e armazenar uma string como o conteúdo de uma versão do secret, faça o seguinte:
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets?secretId=my-secret" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json" \
--data "{\"replication\": {\"automatic\": {}}}"
Para acessar o conteúdo da versão do secret, siga estas etapas:
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/my-secret/versions/1:access" \
--request "GET" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json"
A seguir
- Saiba como editar um secret.
- Saiba mais sobre como gerenciar o acesso a secrets.
- Saiba como atribuir um alias a uma versão do secret.
- Saiba como configurar notificações em um secret.
- Saiba mais sobre as práticas recomendadas.