Usar o Secret Manager com outros produtos

Neste tópico, fornecemos recursos para usar o Secret Manager com outros serviços do Google Cloud.

Cloud Build

Acesse os secrets do Secret Manager usando variáveis de ambiente nas etapas de build no Cloud Build. Para mais informações, consulte Como usar secrets do Secret Manager com o Cloud Build.

Cloud Code

Crie, visualize, atualize e use secrets no VS Code, no IntelliJ ou no Cloud Shell com o Gerenciador de secrets do Cloud Code.

Cloud Functions

Acesse os secrets do Secret Manager e os exponha como variáveis de ambiente ou usando o sistema de arquivos do Cloud Functions. Consulte Como usar secrets do Secret Manager com o Cloud Functions para mais informações.

Também é possível usar o Secret Manager com o Cloud Functions usando uma biblioteca de cliente do Secret Manager ou acessando diretamente a API Secret Manager.

Cloud Run

Acesse os secrets do Secret Manager e os exponha como variáveis de ambiente ou usando o sistema de arquivos dos serviços do Cloud Run. Para mais informações, consulte Como usar secrets do Secret Manager com o Cloud Run.

Também é possível usar o Secret Manager com os serviços do Cloud Run usando uma biblioteca de cliente do Secret Manager ou acessando a API Secret Manager diretamente.

Compute Engine

Importante: para usar o Gerenciador de secrets com cargas de trabalho em execução no Compute Engine ou no Google Kubernetes Engine, a instância ou o nó subjacente precisa ter o escopo cloud-platform do OAuth de dados. Para mais informações, consulte Como acessar a API Secret Manager.

Use o Secret Manager com cargas de trabalho em execução no Compute Engine usando uma biblioteca de cliente do Secret Manager ou acessando diretamente a API Secret Manager.

Google Kubernetes Engine

Use o Secret Manager com cargas de trabalho em execução no Google Kubernetes Engine (GKE) usando uma das opções a seguir:

Bibliotecas de cliente: a maneira recomendada de acessar os secrets do Secret Manager das cargas de trabalho em execução no Google Kubernetes Engine é usar uma biblioteca de cliente do Secret Manager autenticada com a federação de identidade da carga de trabalho para o GKE. Para mais informações, consulte as Práticas recomendadas do Secret Manager.
Complemento do Secret Manager (pré-lançamento): é possível usar o complemento do Secret Manager para acessar os secrets como volumes montados nos pods do Kubernetes. Para mais informações, consulte Usar o complemento do Secret Manager com o Google Kubernetes Engine.

Config Connector

Crie e gerencie secrets do Secret Manager com o Config Connector usando uma sintaxe declarativa. Veja a documentação do recurso Conector de configuração do Secret Manager para mais informações.

Justificativas de acesso às chaves

No Secret Manager, é possível usar as chaves do Cloud External Key Manager (Cloud EKM) para criptografar e descriptografar secrets. As justificativas de acesso às chaves funcionam adicionando um outro campo às solicitações do Cloud EKM que permite visualizar o motivo de cada solicitação para acessar as chaves gerenciadas externamente. Ela permite que você aprove ou negue a solicitação de acesso com base nessa justificativa. Os parceiros de gerenciamento de chaves externos permitem aprovar ou negar automaticamente essas solicitações com base na justificativa. Consulte a documentação sobre Justificativas de acesso às chaves para mais informações.