如何在已部署的 Cloud 运行 服务(托管)中使用 Google Secret?

How to use a Google Secret in a deployed Cloud Run Service (managed)?

我有一个 运行ning 云 运行 服务 user-service。出于测试目的,我通过环境变量以纯文本形式传递了客户端机密。现在一切正常,我想改用一个秘密。

在“Edit Revision”选项的“Variables”选项卡中,我可以声明环境变量,但我不知道如何传递秘密?我是否只需要在变量的值字段中传递 ${my-secret-id} 之类的秘密名称?此选项卡中没有关于如何使用机密的文档,只有顶部的提示:

Store and consume secrets using Secret Manager


Google 有您可以在 api.

中使用的 Secret Manager 客户端库的文档

这应该可以帮助你做你想做的事 https://cloud.google.com/secret-manager/docs/reference/libraries

由于您没有指定语言,我有一个 nodejs 示例,说明如何使用您的项目 ID 和机密名称访问最新版本的机密。我添加这个的原因是因为文档对您需要作为名称提供的字符串不清楚。

 const [version] = await this.secretClient.accessSecretVersion({
        name: `projects/${process.env.project_id}/secrets/${secretName}/versions/latest`,
 return version.payload.data.toString()

请务必在您的 api 在 GCP 中使用的服务帐户的 IAM 设置中允许秘密管理器访问。

2021 年更新:现在有一个云 运行 预览,用于将秘密加载到环境变量或卷。 https://cloud.google.com/run/docs/configuring/secrets

问题现在已得到解答,但是我在使用 Cloud 运行 和 Java & Quarkus 以及使用 GraalVM 创建的本机图像时遇到了类似的问题。

虽然云 运行 在撰写本文时是一项非常有趣的技术,但它缺乏通过云 运行 配置加载机密的能力。在进行本地开发时,这无疑增加了我的应用程序的复杂性。

此外Google的文档真的很差。快速入门缺少一个清晰的 Java 示例,用于获取秘密 [1] 而无需以相同的方法设置它 - 我希望这是最常见的用例!

javadoc 本身似乎大部分都是使用 protobuf 语言自动生成的。有各种类似命名的方法,如 getSecretgetSecretVersionaccessSecretVersion

我真的很想看到 Google 在这方面有所改进。我认为对专门的团队使用适当的文档为通用语言制作库并不过分。

这是我用来加载此信息的片段。它需要 GCP Secret 库以及用于加载项目 ID 的 GCP Cloud Core 库。

public String getSecret(final String secretName) {
    LOGGER.info("Going to load secret {}", secretName);

    // SecretManagerServiceClient should be closed after request
    try (SecretManagerServiceClient client = buildClient()) {
        // Latest is an alias to the latest version of a secret
        final SecretVersionName name = SecretVersionName.of(getProjectId(), secretName, "latest");
        return client.accessSecretVersion(name).getPayload().getData().toStringUtf8();

private String getProjectId() {

    if (projectId == null) {
        projectId = ServiceOptions.getDefaultProjectId();

    return projectId;

private SecretManagerServiceClient buildClient() {
    try {
        return SecretManagerServiceClient.create();
    } catch(final IOException e) {
        throw new RuntimeException(e);

以下文档 (https://cloud.google.com/sdk/gcloud/reference/run/deploy) 指出:

Specify secrets to mount or provide as environment variables. Keys starting with a forward slash '/' are mount paths. All other keys correspond to environment variables. The values associated with each of these should be in the form SECRET_NAME:KEY_IN_SECRET; you may omit the key within the secret to specify a mount of all keys within the secret. For example: '--update-secrets=/my/path=mysecret,ENV=othersecret:key.json' will create a volume with secret 'mysecret' and mount that volume at '/my/path'. Because no secret key was specified, all keys in 'mysecret' will be included. An environment variable named ENV will also be created whose value is the value of 'key.json' in 'othersecret'. At most one of these may be specified

这是一段 Java 代码,用于获取您的云 运行 项目的所有秘密。它需要 com.google.cloud/google-cloud-secretmanager 神器。

Map<String, String> secrets = new HashMap<>();          
String projectId;
String url = "http://metadata.google.internal/computeMetadata/v1/project/project-id";
HttpURLConnection conn = (HttpURLConnection)(new URL(url).openConnection());
conn.setRequestProperty("Metadata-Flavor", "Google");
try {
   InputStream in = conn.getInputStream();
   projectId = new String(in.readAllBytes(), StandardCharsets.UTF_8);
} finally {
Set<String> names = new HashSet<>();
try (SecretManagerServiceClient client = SecretManagerServiceClient.create()) {
   ProjectName projectName = ProjectName.of(projectId);
   ListSecretsPagedResponse pagedResponse = client.listSecrets(projectName);
      .forEach(secret -> { names.add(secret.getName()); });
   for (String secretName : names) {
      String name = secretName.substring(secretName.lastIndexOf("/") + 1);
      SecretVersionName nameParam = SecretVersionName.of(projectId, name, "latest");
      String secretValue = client.accessSecretVersion(nameParam).getPayload().getData().toStringUtf8();
      secrets.put(secretName, secretValue);

您现在可以从 Secret Manager 读取机密作为 Cloud 运行 中的环境变量。这意味着您可以审核您的机密、设置每个机密的权限、版本机密等,并且您的代码无需更改。

您可以通过 Cloud Console GUI (console.cloud.google.com) 指向机密,或者在从命令行部署 Cloud 运行 服务时进行配置:

gcloud beta run deploy SERVICE --image IMAGE_URL --update-secrets=ENV_VAR_NAME=SECRET_NAME:VERSION



Cloud 运行 对引用 Secret Manager Secrets 的支持现已正式发布 (GA)。
