在 Cloud Code for VS Code 中使用 Secret Manager 管理密鑰

透過 Cloud Code 的 Secret Manager 整合功能,您可以在 IDE 中建立、查看、更新及使用 Secret,不必將 Secret 儲存在程式碼集。

本頁面說明如何在 IDE 中存取 Secret Manager,以及如何開始建立及管理密鑰。

啟用 Secret Manager API

使用 Cloud Code 管理密鑰時,密鑰會安全地儲存在 Secret Manager 中,並可在需要時以程式輔助方式擷取。您只需要啟用 Secret Manager API,並具備管理密鑰的適當權限:

  1. 請確認您使用的專案包含應用程式程式碼。您的密鑰必須與應用程式程式碼位於相同專案。

  2. 按一下 「Cloud Code」,然後展開「Secret Manager」探索工具。

  3. 如果尚未啟用 Secret Manager API,請在 Secret Manager 探索器中按一下「啟用 Secret Manager API」

建立密鑰

如要使用 Secret Manager 探索器建立密鑰,請按照下列步驟操作:

  1. 在 IDE 中,依序點選 「Cloud Code」,然後展開「Secret Manager」探索工具。

  2. 在「Secret Manager」瀏覽器中,按一下「新增」建立密鑰

    在「建立密鑰」對話方塊中,設定密鑰的專案、名稱、值和區域,並指定標籤來整理密鑰。

或者,您也可以使用編輯器建立密鑰:

  1. 在編輯器中開啟含有要儲存為密鑰的文字檔案。
  2. 醒目顯示要儲存為密鑰的文字,按一下滑鼠右鍵,然後點選「在 Secret Manager 中建立密鑰」
  3. 在「建立密鑰」對話方塊中,自訂密鑰的專案、名稱、值、區域和標籤。

建立新的密鑰版本

如要使用 Secret Manager 建立新版密鑰,請按照下列步驟操作:

  1. 在現有密鑰上按一下滑鼠右鍵,然後選擇「Create Secret Version」(建立密鑰版本)

  2. 在「建立版本」對話方塊中,使用「密鑰值」欄位或匯入檔案,設定現有密鑰的新值。

  3. 如要移除密鑰的所有舊版本,只保留您建立的新版本,請選擇「停用所有舊版本」

  4. 按一下「Create version」(建立版本)。系統會新增版本,您可以在「版本」下拉式選單下方,查看最新和先前的密鑰版本。

或者,您也可以在編輯器中建立新版密鑰:

  1. 在編輯器中開啟檔案,然後反白選取要儲存為密鑰的文字。

  2. 在醒目顯示的文字上按一下滑鼠右鍵,然後選擇「Add Version to Secret in Secret Manager」(在 Secret Manager 中將版本新增至密鑰)

管理密鑰版本

如要啟用、停用或銷毀 Secret 版本,請在 Secret 上按一下滑鼠右鍵,然後選取要執行的動作指令。您也可以查看已啟用密鑰版本的值。

查看密鑰

如要查看密鑰,請在「Secret Manager」檔案總管中,從清單選取密鑰。密鑰名稱下方會列出密鑰詳細資料,例如名稱、複製政策、建立時間戳記和資源 ID。

在 Google Cloud 控制台中查看密鑰

或者,您也可以在 Google Cloud 控制台中查看密鑰,方法是在「Secret Manager」檔案總管中對密鑰按一下滑鼠右鍵,然後點選「在 Cloud 控制台中開啟」

在 Secret Manager 中對密鑰按一下滑鼠右鍵,即可查看「在 Google Cloud 控制台中開啟」選項。屬性下拉式選單也會顯示在 Secret Manager 檢視畫面中。

在 Kubernetes 探索器中查看 Secret

如要在 Kubernetes 探索器中查看密鑰,請按照下列步驟操作:

  1. 按一下 「Cloud Code」,然後展開「Kubernetes」探索工具。
  2. 展開叢集,然後展開「Secrets」
  3. 展開密鑰即可查看詳細資料。

從應用程式存取密鑰

建立密鑰後,您可以在程式碼中加入密鑰,並設定驗證。

如要從應用程式存取密鑰:

  1. 安裝 Secret Manager 用戶端程式庫。

    1. 按一下 「Cloud Code」,然後展開「Cloud APIs」探索工具。

    2. 依序展開「Cloud Security」>「Secret Manager API」,然後按照「安裝用戶端程式庫」一節中的操作說明,為您使用的語言安裝程式庫。

  2. 自訂並在應用程式的程式碼中加入相關程式碼片段

    如要取得密鑰版本名稱以用於程式碼,請在「Secret Manager」面板中選取密鑰,然後按一下滑鼠右鍵並選擇「Copy Resource ID」(複製資源 ID)

  3. 如要完成驗證設定,請按照用戶端程式庫驗證指南操作:

    • 本機開發:如果您是在本機叢集 (例如 minikube 或 Docker Desktop) 或本機模擬器上開發,請完成本機開發部分中與工作流程相關的步驟。
    • 遠端開發:如果您在應用程式中使用 GKE 叢集或 Cloud Run 服務,請完成遠端開發部分中與工作流程相關的步驟,包括在服務帳戶中設定必要角色的 Secret Manager 專屬操作說明。

新增密鑰做為環境變數

如要將現有 Kubernetes 密鑰新增至部署項目做為環境變數,請按照下列步驟操作:

  1. 按一下 「Cloud Code」,然後展開「Kubernetes」探索工具。
  2. 展開 minikube 叢集,然後展開「Secrets」
  3. 以滑鼠右鍵按一下代表部署物件的密鑰,然後點選「Add Secret as Environment Variable」(新增密鑰做為環境變數)

將密鑰掛接為磁碟區

如要將現有的 Kubernetes 密鑰視為磁碟區掛接在部署項目的容器中,請按照下列步驟操作:

  1. 按一下 「Cloud Code」,然後展開「Kubernetes」探索工具。
  2. 展開 minikube 叢集,然後展開「Secrets」
  3. 在代表部署物件的密鑰上按一下滑鼠右鍵,然後點選「Mount Secret as Volume」

刪除 Secret

如要使用 Cloud Code 中的 Secret Manager 刪除密鑰,請按照下列步驟操作:

  1. 按一下 「Cloud Code」,然後展開「Secret Manager」探索工具。

  2. 對現有密鑰按一下滑鼠右鍵,然後選取「Open in Cloud Console」(在 Cloud 控制台中開啟)

  3. 在「Secret details」(密鑰詳細資料) 頁面中,按一下「DELETE」(刪除),然後按照提示刪除密鑰。

取得支援

如要提供意見回饋,請前往 GitHub 回報問題,或在 Stack Overflow 上提問。