启用 Secret Manager API

Secret Manager 提供 REST API 和 gRPC API 以用于直接在应用中使用或管理密文。本页介绍了首次使用 Secret Manager 时如何启用 Secret Manager API 并配置项目。 Google Cloud

当您熟悉 Secret Manager 后,建议使用单独的 Google Cloud 项目。删除项目时,也会删除测试期间创建的所有资源,包括收费资源。

如果您是在安装了 Cloud Code 的 IDE 中开发应用,则 Secret Manager 已集成到该扩展程序中。这意味着,您无需离开 IDE 即可创建、查看、更新和使用 Secret。如需详细了解如何将 Secret Manager 与 Cloud Code 搭配使用,请参阅适用于您偏好的 IDE(VS CodeIntelliJCloud Shell Editor)的密钥管理指南。


  1. In the Google Cloud console, go to the project selector page.

  2. Select or create a Google Cloud project.

启用 Secret Manager API


  1. 在 Google Cloud 控制台中,前往 Secret Manager API 页面。

  2. 验证项目名称是否显示在页面顶部的项目选择器中。


  3. 点击启用


  1. In the Google Cloud console, activate Cloud Shell.

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 如需在 gcloud 会话中设置 Google Cloud 项目,请运行 gcloud config set project 命令。将 PROJECT_ID 替换为您的 Google Cloud 项目 ID。
    gcloud config set project PROJECT_ID
  3. 如需启用 Secret Manager API,请运行 gcloud services enable 命令:
    gcloud services enable secretmanager.googleapis.com
  4. 如需验证 Secret Manager API 是否已启用,请运行 gcloud services list 命令:
    gcloud services list --enabled

    验证已启用的 API 列表中是否列出了 Secret Manager API。

配置 Secret Manager 以使用区域性端点

如需创建区域级密钥,您必须将 Secret Manager 配置为使用区域端点。区域端点是请求端点,只有在受影响的资源存在于端点指定的位置时,才允许请求继续。使用区域端点,您可以根据符合数据驻留和数据主权要求的方式运行工作负载。



如需使用区域端点,您必须根据访问 Secret Manager 服务的方式,使用区域端点地址更新配置。


如需配置 Google Cloud CLI 以使用区域端点,请完成以下步骤:

  1. 确保您使用的是 Google Cloud CLI 402.0.0 或更高版本。

  2. api_endpoint_overrides/secretmanager 属性设置为您要使用的区域端点:

    gcloud config set api_endpoint_overrides/secretmanager https://secretmanager.LOCATION.rep.googleapis.com/

    LOCATION 替换为受支持的 Google Cloud 位置的名称,例如 me-central2


如需使用该 API 连接到 Secret Manager 服务,请将通用 API 端点网址 (https://secretmanager.googleapis.com/v1/) 替换为您要使用的特定区域性端点。区域端点使用以下格式:


LOCATION 替换为受支持的 Google Cloud 位置的名称,例如 me-central2

如需查看支持的位置,请参阅 Secret Manager 位置


如需获得设置 Secret Manager 所需的权限,请让您的管理员向您授予项目的 Secret Manager Admin (roles/secretmanager.admin) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限


如需详细了解 Secret Manager 的访问权限控制,请参阅使用 IAM 进行访问权限控制
