此页面由 Cloud Translation API 翻译。

启用 Secret Manager API

Secret Manager 提供 REST API 和 gRPC API 以用于直接在应用中使用或管理密文。本页介绍了首次使用 Secret Manager 时如何启用 Secret Manager API 并配置 Google Cloud 项目。

当您熟悉 Secret Manager 后，建议使用单独的 Google Cloud 项目。删除项目时，也会删除测试期间创建的所有资源，包括收费资源。

如果您是在安装了 Cloud Code 的 IDE 中开发应用，则 Secret Manager 已集成到该扩展程序中。这意味着，您无需离开 IDE 即可创建、查看、更新和使用 Secret。如需详细了解如何将 Secret Manager 与 Cloud Code 搭配使用，请参阅适用于您偏好的 IDE（VS Code、IntelliJ 或 Cloud Shell Editor）的密钥管理指南。

准备工作

In the Google Cloud console, go to the project selector page.

Go to project selector
Select or create a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

启用 Secret Manager API

控制台

在 Google Cloud 控制台中，前往 Secret Manager API 页面。

前往 Secret Manager API
验证项目名称是否显示在页面顶部的项目选择器中。

如果您没有看到项目名称，请点击项目选择器，然后选择您的项目。
点击启用。

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
如需在 gcloud 会话中设置 Google Cloud 项目，请运行 gcloud config set project 命令。将 PROJECT_ID 替换为您的 Google Cloud 项目 ID。
```
gcloud config set project PROJECT_ID
```
如需启用 Secret Manager API，请运行 gcloud services enable 命令：
```
gcloud services enable secretmanager.googleapis.com
```
如需验证 Secret Manager API 是否已启用，请运行 gcloud services list 命令：
```
gcloud services list --enabled
```
验证已启用的 API 列表中是否列出了 Secret Manager API。

配置 Secret Manager 以使用区域性端点

如需创建区域级密钥，您必须将 Secret Manager 配置为使用区域端点。区域端点是请求端点，只有在受影响的资源存在于端点指定的位置时，才允许请求继续。使用区域端点，您可以根据符合数据驻留和数据主权要求的方式运行工作负载。

区域端点采用以下格式：

SERVICE_NAME.LOCATION.rep.googleapis.com

如需使用区域端点，您必须根据访问 Secret Manager 服务的方式，使用区域端点地址更新配置。

gcloud

如需配置 Google Cloud CLI 以使用区域端点，请完成以下步骤：

确保您使用的是 Google Cloud CLI 402.0.0 或更高版本。
将 api_endpoint_overrides/secretmanager 属性设置为您要使用的区域端点：
```
gcloud config set api_endpoint_overrides/secretmanager https://secretmanager.LOCATION.rep.googleapis.com/
```
将 LOCATION 替换为受支持的 Google Cloud 位置的名称，例如 me-central2。

REST

如需使用该 API 连接到 Secret Manager 服务，请将通用 API 端点网址 (https://secretmanager.googleapis.com/v1/) 替换为您要使用的特定区域性端点。区域端点使用以下格式：

https://secretmanager.LOCATION.rep.googleapis.com/v1/

将 LOCATION 替换为受支持的 Google Cloud 位置的名称，例如 me-central2。

如需查看支持的位置，请参阅 Secret Manager 位置。

配置角色和权限

如需获得设置 Secret Manager 所需的权限，请让您的管理员向您授予项目的 Secret Manager Admin (roles/secretmanager.admin) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

如需详细了解 Secret Manager 的访问权限控制，请参阅使用 IAM 进行访问权限控制。

后续步骤

了解身份验证。
了解如何创建地区性 Secret。
了解如何添加区域性 Secret 版本。