存取 Secret Manager API

建議您使用下列工具存取 Secret Manager API：

• Google Cloud CLI，可提供用於管理密鑰的指令列介面。

• 方便好用的 Secret Manager 用戶端程式庫，可讓您從應用程式原始碼存取及管理密鑰。用戶端程式庫支援多種語言，包括 C#(.NET)、Go、Java、Node.js、PHP、Python 和 Ruby。

事前準備

1. 啟用 Secret Manager API。

2. 對 Secret Manager API 發出的要求必須經過驗證。詳情請參閱設定 Secret Manager 的驗證作業。

搭配使用 Secret Manager 與 Compute Engine 和 Google Kubernetes Engine

如要搭配使用 Secret Manager 與在 Compute Engine 或 GKE 上執行的工作負載，基礎執行個體或節點必須具備 cloud-platform OAuth 範圍。如果收到下列錯誤訊息，表示執行個體或節點未佈建正確的 OAuth 範圍。

Request had insufficient authentication scopes

使用 Secret Manager 時，需要下列 OAuth 範圍：

https://www.googleapis.com/auth/cloud-platform

建立新的執行個體、執行個體群組或節點集區時，請指定 cloud-platform 範圍：

gcloud compute instances create "INSTANCE_ID" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

如果是現有執行個體、執行個體群組或節點集區，請更新存取範圍：

gcloud compute instances set-service-account "INSTANCE_ID" \
    --service-account "SERVICE_ACCOUNT_EMAIL" \
    --scopes "https://www.googleapis.com/auth/cloud-platform"

詳情請參閱 Compute Engine 服務帳戶權限。

搭配使用 Secret Manager 與 App Engine

如要搭配在 App Engine 上執行的工作負載使用 Secret Manager，您必須將必要權限授予 App Engine 服務。

後續步驟

• 進一步瞭解如何使用 IAM 管理 Secret Manager 資源的存取權。
• 瞭解如何建立密鑰及存取密鑰版本。