O Secret Manager expõe uma API REST e uma API gRPC para usar e gerir secrets diretamente ou nas suas aplicações. Esta página descreve como ativar a API Secret Manager e configurar o seu projeto do Google Cloud para usar o Secret Manager pela primeira vez. Google Cloud
Quando estiver a familiarizar-se com o Secret Manager, recomendamos que use um projeto Google Cloud separado. A eliminação do projeto também elimina todos os recursos criados durante os testes, incluindo os recursos faturáveis.
Se estiver a desenvolver uma aplicação num IDE com o Cloud Code instalado, o Secret Manager é integrado na extensão. Isto significa que pode criar, ver, atualizar e usar segredos sem ter de sair do IDE. Para mais informações sobre a utilização do Secret Manager com o Cloud Code, consulte o guia de gestão de segredos para o seu IDE preferencial, VS Code, IntelliJ> ou Cloud Shell Editor.
Antes de começar
-
In the Google Cloud console, go to the project selector page.
-
Select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
Ative a API Secret Manager
Consola
Na Google Cloud consola, aceda à página API Secret Manager.
Verifique se o nome do seu projeto aparece no seletor de projetos na parte superior da página.
Se não vir o nome do seu projeto, clique no seletor de projetos e, de seguida, selecione o seu projeto.
- Clique em Ativar.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
- Para definir o seu Google Cloud projeto na sessão do gcloud, execute o comando
gcloud config set project. Substitua PROJECT_ID pelo ID do seu Google Cloud projeto.gcloud config set project PROJECT_ID
- Para ativar a API Secret Manager, execute o comando
gcloud services enable:gcloud services enable secretmanager.googleapis.com
- Para verificar se a API Secret Manager está ativada, execute o comando
gcloud services list:gcloud services list --enabled
Verifique se a API Secret Manager está listada na lista de APIs ativadas.
Configure o Secret Manager para usar um ponto final regional
Para criar segredos regionais, tem de configurar o Secret Manager para usar endpoints regionais. Os pontos finais regionais são pontos finais de pedidos que só permitem que os pedidos prossigam se o recurso afetado existir na localização especificada pelo ponto final. A utilização de pontos finais regionais permite-lhe executar as suas cargas de trabalho de uma forma que esteja em conformidade com os requisitos de residência dos dados e soberania dos dados.
Os pontos finais regionais usam o seguinte formato:
SERVICE_NAME.LOCATION.rep.googleapis.com
Para usar pontos finais regionais, tem de atualizar a configuração com o endereço do ponto final regional, consoante a forma como acede ao serviço Secret Manager.
gcloud
Para configurar a Google Cloud CLI para usar pontos finais regionais, conclua os passos seguintes:
Certifique-se de que está a usar a CLI do Google Cloud 402.0.0 ou mais recente.
Defina a propriedade
api_endpoint_overrides/secretmanagerpara o ponto final regional que quer usar:gcloud config set api_endpoint_overrides/secretmanager https://secretmanager.LOCATION.rep.googleapis.com/
Substitua LOCATION pelo nome da localização Google Cloud suportada, como
me-central2.
REST
Para se ligar ao serviço Secret Manager através da API, substitua o URL do ponto final da API genérico (https://secretmanager.googleapis.com/v1/) pelo ponto final regional específico que quer usar. Os pontos finais regionais usam o seguinte formato:
https://secretmanager.LOCATION.rep.googleapis.com/v1/
Substitua LOCATION pelo nome da localização Google Cloud suportada, como me-central2.
Para ver que localizações são suportadas, consulte o artigo Localizações do Secret Manager.
Não é necessária nenhuma configuração adicional para aceder ao serviço regionalizado a partir da consola.
Configure funções e autorizações
Para receber as autorizações de que
precisa para configurar o Gestor Secreto,
peça ao seu administrador para lhe conceder a função de IAM de
administrador do Gestor Secreto (roles/secretmanager.admin)
no projeto.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Para mais informações sobre o controlo de acesso do Secret Manager, consulte o artigo Controlo de acesso com a IAM.
O que se segue?
- Saiba mais acerca da autenticação.
- Saiba como criar um segredo regional.
- Saiba como adicionar uma versão secreta regional.