Crea un secret regionale

Questa pagina descrive come creare un secret regionale. Un secret contiene una o più versioni del secret, oltre a metadati come etichette e annotazioni. I contenuti effettivi di un secret sono archiviati in una versione del secret.

Prima di iniziare

1. Abilita l'API Secret Manager.

2. Configura Secret Manager per utilizzare un endpoint regionale.

3. Configurare l'autenticazione.

   Select the tab for how you plan to use the samples on this page:

   Console

   When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

   gcloud

   In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

   REST

   Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.

   After installing the Google Cloud CLI, initialize it by running the following command:

   gcloud init

   If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

   Per saperne di più, consulta la sezione Autenticarsi per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud .

   Ruoli obbligatori

   Per ottenere le autorizzazioni necessarie per creare un secret, chiedi all'amministratore di concederti il ruolo IAM Secret Manager Admin (roles/secretmanager.admin) nel progetto, nella cartella o nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

   Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

   Crea un secret regionale

   Puoi creare secret utilizzando la console Google Cloud , Google Cloud CLI, l'API Secret Manager o le librerie client di Secret Manager.

   Console

   1. Nella console Google Cloud , vai alla pagina Secret Manager.

      Vai a Secret Manager

   2. Nella pagina Secret Manager, fai clic sulla scheda Secret regionali, quindi fai clic su Crea secret regionale.

   3. Nella pagina Crea secret regionale, inserisci un nome per il secret nel campo Nome. Il nome di un secret può contenere lettere maiuscole e minuscole, numeri, trattini e trattini bassi. La lunghezza massima consentita per un nome è 255 caratteri.

   4. Inserisci un valore per il secret (ad esempio, abcd1234). Il valore del secret può essere in qualsiasi formato, ma non deve superare i 64 KiB. Puoi anche caricare un file di testo contenente il valore del secret utilizzando l'opzione Carica file. Questa azione crea automaticamente la versione del secret.

   5. Scegli la località in cui vuoi che venga archiviato il secret regionale dall'elenco Regione.

   6. Fai clic su Crea secret.

   gcloud

   Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

   • SECRET_ID: l'ID del secret o l'identificatore completo del secret
   • LOCATION: la Google Cloud posizione del secret

   Esegui questo comando:

   Linux, macOS o Cloud Shell

   gcloud secrets create SECRET_ID \
       --location=LOCATION

   Windows (PowerShell)

   gcloud secrets create SECRET_ID `
       --location=LOCATION

   Windows (cmd.exe)

   gcloud secrets create SECRET_ID ^
       --location=LOCATION

   REST

   Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

   • LOCATION: la Google Cloud posizione del secret
   • PROJECT_ID: l'ID progetto Google Cloud
   • SECRET_ID: l'ID del secret o l'identificatore completo del secret

   Metodo HTTP e URL:

   POST https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets?secretId=SECRET_ID

   Corpo JSON della richiesta:

   {}
   

   Per inviare la richiesta, scegli una di queste opzioni:

   curl

   Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets?secretId=SECRET_ID"

   PowerShell

   Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets?secretId=SECRET_ID" | Select-Object -Expand Content

   Dovresti ricevere una risposta JSON simile alla seguente:

   {
     "name": "projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID",
     "createTime": "2024-03-25T08:24:13.153705Z",
     "etag": "\"161477e6071da9\""
   }
   

   Go

   Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go di Secret Manager. Su Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.

   import (
   	"context"
   	"fmt"
   	"io"
   
   	secretmanager "cloud.google.com/go/secretmanager/apiv1"
   	"cloud.google.com/go/secretmanager/apiv1/secretmanagerpb"
   	"google.golang.org/api/option"
   )
   
   // createSecret creates a new secret with the given name. A secret is a logical
   // wrapper around a collection of secret versions. Secret versions hold the
   // actual secret material.
   func CreateRegionalSecret(w io.Writer, projectId, locationId, id string) error {
   	// parent := "projects/my-project/locations/my-location"
   	// id := "my-secret"
   
   	// Create the client.
   	ctx := context.Background()
   
   	//Endpoint to send the request to regional server
   	endpoint := fmt.Sprintf("secretmanager.%s.rep.googleapis.com:443", locationId)
   	client, err := secretmanager.NewClient(ctx, option.WithEndpoint(endpoint))
   	if err != nil {
   		return fmt.Errorf("failed to create secretmanager client: %w", err)
   	}
   	defer client.Close()
   
   	parent := fmt.Sprintf("projects/%s/locations/%s", projectId, locationId)
   
   	// Build the request.
   	req := &secretmanagerpb.CreateSecretRequest{
   		Parent:   parent,
   		SecretId: id,
   	}
   
   	// Call the API.
   	result, err := client.CreateSecret(ctx, req)
   	if err != nil {
   		return fmt.Errorf("failed to create regional secret: %w", err)
   	}
   	fmt.Fprintf(w, "Created regional secret: %s\n", result.Name)
   	return nil
   }
   

   Java

   Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java di Secret Manager. Su Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.

   import com.google.cloud.secretmanager.v1.LocationName;
   import com.google.cloud.secretmanager.v1.Secret;
   import com.google.cloud.secretmanager.v1.SecretManagerServiceClient;
   import com.google.cloud.secretmanager.v1.SecretManagerServiceSettings;
   import java.io.IOException;
   
   public class CreateRegionalSecret {
   
     public static void main(String[] args) throws IOException {
       // TODO(developer): Replace these variables before running the sample.
   
       // Your GCP project ID.
       String projectId = "your-project-id";
       // Location of the secret.
       String locationId = "your-location-id";
       // Resource ID of the secret to create.
       String secretId = "your-secret-id";
       createRegionalSecret(projectId, locationId, secretId);
     }
   
     // Create a new regional secret 
     public static Secret createRegionalSecret(
         String projectId, String locationId, String secretId) 
         throws IOException {
   
       // Endpoint to call the regional secret manager sever
       String apiEndpoint = String.format("secretmanager.%s.rep.googleapis.com:443", locationId);
       SecretManagerServiceSettings secretManagerServiceSettings =
           SecretManagerServiceSettings.newBuilder().setEndpoint(apiEndpoint).build();
   
       // Initialize the client that will be used to send requests. This client only needs to be
       // created once, and can be reused for multiple requests.
       try (SecretManagerServiceClient client = 
           SecretManagerServiceClient.create(secretManagerServiceSettings)) {
         // Build the parent name from the project.
         LocationName location = LocationName.of(projectId, locationId);
   
         // Build the regional secret to create.
         Secret secret =
             Secret.newBuilder().build();
   
         // Create the regional secret.
         Secret createdSecret = client.createSecret(location.toString(), secretId, secret);
         System.out.printf("Created regional secret %s\n", createdSecret.getName());
   
         return createdSecret;
       }
     }
   }

   Node.js

   Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Secret Manager. Su Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.

   /**
    * TODO(developer): Uncomment these variables before running the sample.
    */
   // const projectId = 'my-project'
   // const locationId = 'locationId';
   // const secretId = 'my-secret';
   const parent = `projects/${projectId}/locations/${locationId}`;
   
   // Imports the Secret Manager libray
   
   const {SecretManagerServiceClient} = require('@google-cloud/secret-manager');
   
   // Adding the endpoint to call the regional secret manager sever
   const options = {};
   options.apiEndpoint = `secretmanager.${locationId}.rep.googleapis.com`;
   // Instantiates a client
   const client = new SecretManagerServiceClient(options);
   
   async function createRegionalSecret() {
     const [secret] = await client.createSecret({
       parent: parent,
       secretId: secretId,
     });
   
     console.log(`Created regional secret ${secret.name}`);
   }
   
   createRegionalSecret();

   Python

   Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Secret Manager. Su Compute Engine o GKE, devi eseguire l'autenticazione con l'ambito cloud-platform.

   from google.cloud import secretmanager_v1
   
   
   def create_regional_secret(
       project_id: str,
       location_id: str,
       secret_id: str,
       ttl: Optional[str] = None,
   ) -> secretmanager_v1.Secret:
       """
       Creates a new regional secret with the given name.
       """
   
       # Endpoint to call the regional secret manager sever
       api_endpoint = f"secretmanager.{location_id}.rep.googleapis.com"
   
       # Create the Secret Manager client.
       client = secretmanager_v1.SecretManagerServiceClient(
           client_options={"api_endpoint": api_endpoint},
       )
   
       # Build the resource name of the parent project.
       parent = f"projects/{project_id}/locations/{location_id}"
   
       # Create the secret.
       response = client.create_secret(
           request={
               "parent": parent,
               "secret_id": secret_id,
               "secret": {"ttl": ttl},
           }
       )
   
       # Print the new secret name.
       print(f"Created secret: {response.name}")
   
       return response
   
   

   Aggiungi una versione del secret

   Secret Manager esegue automaticamente il controllo delle versioni dei dati secret utilizzando le versioni dei secret. Le operazioni sulle chiavi, ad esempio accesso, eliminazione, disabilitazione e abilitazione, vengono applicate a versioni specifiche del secret. Con Secret Manager, puoi associare i secret a versioni specifiche come 42 o ad alias dinamici come latest. Per saperne di più, vedi Aggiungere una versione del secret.

   Accedere a una versione del secret

   Per accedere ai dati del secret da una particolare versione del secret per l'autenticazione riuscita, vedi Accedere a una versione del secret regionale.

   Passaggi successivi

   • Controlla le quote e i limiti di frequenza per i diversi tipi di richieste API (accesso, lettura e scrittura) per progetto.
   • Aggiungere la crittografia CMEK ai secret regionali
   • Aggiungere una versione del secret regionale
   Invia feedback