Secret Manager 提供 REST API 和 gRPC API 以用于直接在应用中使用或管理密文。本页介绍如何启用 Secret Manager API 并首次配置您的 Google Cloud 项目以使用 Secret Manager。
当您熟悉 Secret Manager 后,建议使用单独的 项目 Google Cloud 。删除项目时,也会删除测试期间创建的所有资源,包括收费资源。
如果您是在安装了 Cloud Code 的 IDE 中开发应用, 则 Secret Manager 会集成到该扩展程序中。这意味着,您无需离开 IDE 即可创建、查看、更新和使用密文。如需详细了解如何将 Secret Manager 与 Cloud Code 搭配使用,请参阅您偏好的 IDE(VS Code、IntelliJ或 Cloud Shell Editor)的密文管理指南。
准备工作
-
在 Google Cloud 控制台中,前往项目选择器页面。
-
选择或创建 Google Cloud 项目。
选择或创建项目所需的角色
- 选择项目:选择项目不需要特定的 IAM 角色,您可以选择已获授角色的任何项目。
-
创建项目:如需创建项目,您需要 Project Creator 角色
(
roles/resourcemanager.projectCreator),该角色包含resourcemanager.projects.create权限。了解如何授予 角色。
启用 Secret Manager API
控制台
在 Google Cloud 控制台中,前往 Secret Manager API 页面。
验证项目名称是否显示在页面顶部的项目选择器中。
如果您没有看到项目名称,请点击项目选择器,然后选择您的项目。
- 点击启用 。
gcloud
-
在 Google Cloud 控制台中,激活 Cloud Shell。
Cloud Shell 会话随即会在控制台的底部启动,并显示命令行提示符。 Google Cloud Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
- 如需在 gcloud 会话中设置项目,请运行
gcloud config set project命令。 Google Cloud 将 PROJECT_ID 替换为您的 Google Cloud 项目 ID。gcloud config set project PROJECT_ID
- 如需启用 Secret Manager API,请运行
gcloud services enable命令:gcloud services enable secretmanager.googleapis.com
- 如需验证 Secret Manager API 是否已启用,请运行
gcloud services list命令:gcloud services list --enabled
验证 Secret Manager API 是否在已启用的 API 列表中列出。
将 Secret Manager 配置为使用区域端点
如需创建区域级密钥,您必须将 Secret Manager 配置为使用区域端点。区域端点是请求端点,只有在受影响的资源存在于端点指定的位置时,才允许请求继续。 使用区域端点,您可以根据符合 数据驻留和数据主权要求的方式运行工作负载。
区域端点使用以下格式:
SERVICE_NAME.LOCATION.rep.googleapis.com
如需使用区域端点,您必须根据访问 Secret Manager 服务的方式,使用区域端点地址更新配置。
gcloud
如需配置 Google Cloud CLI 以使用区域端点,请完成以下步骤:
确保您使用的是 Google Cloud CLI 402.0.0 或更高版本。
将
api_endpoint_overrides/secretmanager属性设置为您要使用的区域端点:gcloud config set api_endpoint_overrides/secretmanager https://secretmanager.LOCATION.rep.googleapis.com/
将 LOCATION 替换为受支持 Google Cloud 位置的名称, 例如
me-central2。
REST
如需使用 API 连接到 Secret Manager 服务,请将通用 API 端点网址 (https://secretmanager.googleapis.com/v1/) 替换为您要使用的特定区域端点。区域端点使用以下格式:
https://secretmanager.LOCATION.rep.googleapis.com/v1/
将 LOCATION 替换为受支持 Google Cloud 位置的名称,
例如 me-central2。
如需查看支持哪些位置,请参阅 Secret Manager 位置。
无需进行其他配置即可从控制台访问区域化服务。
配置角色和权限
如需获得设置 Secret Manager 所需的权限,请让您的管理员为您授予项目的 Secret Manager Admin (roles/secretmanager.admin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
您也可以通过自定义 角色或其他预定义 角色来获取所需的权限。
如需详细了解 Secret Manager 的访问权限控制,请参阅 使用 IAM 进行访问权限控制。