Habilitar la API Secret Manager

Secret Manager expone una API REST y una API gRPC para usar y gestionar secretos directamente o en tus aplicaciones. En esta página se describe cómo habilitar la API Secret Manager y configurar tu proyecto de Google Cloud para usar Secret Manager por primera vez.

Cuando te familiarices con Secret Manager, te recomendamos que utilices un proyecto Google Cloud independiente. Si eliminas el proyecto, también se eliminarán todos los recursos creados durante las pruebas, incluidos los recursos facturables.

Si desarrollas una aplicación en un IDE con Cloud Code instalado, Secret Manager se integra en la extensión. Esto significa que puedes crear, ver, actualizar y usar secretos sin tener que salir de tu IDE. Para obtener más información sobre cómo usar Secret Manager con Cloud Code, consulta la guía de gestión de secretos de tu IDE preferido: VS Code, IntelliJ o Cloud Shell Editor.

Antes de empezar

  1. In the Google Cloud console, go to the project selector page.

    Go to project selector

  2. Select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Habilitar la API Secret Manager

Consola

  1. En la Google Cloud consola, ve a la página API Secret Manager.

    Ir a la API Secret Manager

  2. Comprueba que el nombre de tu proyecto aparece en el selector de proyectos de la parte superior de la página.

    Si no ves el nombre de tu proyecto, haz clic en el selector de proyectos y, a continuación, selecciona tu proyecto.

  3. Haz clic en Enable (Habilitar).

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Para definir tu Google Cloud proyecto en la sesión de gcloud, ejecuta el comando gcloud config set project. Sustituye PROJECT_ID por el ID de tu proyecto. Google Cloud 
    gcloud config set project PROJECT_ID
  3. Para habilitar la API Secret Manager, ejecuta el comando gcloud services enable: 
    gcloud services enable secretmanager.googleapis.com
  4. Para comprobar que la API Secret Manager esté habilitada, ejecuta el comando gcloud services list: 
    gcloud services list --enabled

    Comprueba que la API Secret Manager aparece en la lista de APIs habilitadas.

Configurar Secret Manager para usar un endpoint regional

Para crear secretos regionales, debes configurar Secret Manager para que use endpoints regionales. Los endpoints regionales son endpoints de solicitud que solo permiten que se procesen las solicitudes si el recurso afectado se encuentra en la ubicación especificada por el endpoint. Si usas endpoints regionales, puedes ejecutar tus cargas de trabajo de forma que cumplan los requisitos de residencia de datos y soberanía de datos.

Los endpoints regionales usan el siguiente formato:

SERVICE_NAME.LOCATION.rep.googleapis.com

Para usar los endpoints regionales, debes actualizar tu configuración con la dirección del endpoint regional en función de cómo accedas al servicio Secret Manager.

gcloud

Para configurar la CLI de Google Cloud de forma que use endpoints regionales, sigue estos pasos:

  1. Asegúrate de que estás usando Google Cloud CLI 402.0.0 o una versión posterior.

  2. Asigna a la propiedad api_endpoint_overrides/secretmanager el endpoint regional que quieras usar:

    gcloud config set api_endpoint_overrides/secretmanager https://secretmanager.LOCATION.rep.googleapis.com/

    Sustituye LOCATION por el nombre de la Google Cloud ubicación admitida, como me-central2.

REST

Para conectarte al servicio Secret Manager mediante la API, sustituye la URL del endpoint de API genérico (https://secretmanager.googleapis.com/v1/) por el endpoint regional específico que quieras usar. Los puntos finales regionales usan el siguiente formato:

https://secretmanager.LOCATION.rep.googleapis.com/v1/

Sustituye LOCATION por el nombre de la Google Cloud ubicación admitida, como me-central2.

Para ver qué ubicaciones se admiten, consulta Ubicaciones de Secret Manager.

Configurar roles y permisos

Para obtener los permisos que necesitas para configurar Secret Manager, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de Secret Manager (roles/secretmanager.admin) en el proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Para obtener más información sobre el control de acceso de Secret Manager, consulta Control de acceso con IAM.

Siguientes pasos