Datastream se integra con Secret Manager para que puedas almacenar de forma segura recursos de autenticación, como contraseñas de bases de datos de origen. En lugar de usar una contraseña de texto sin formato al crear un perfil de conexión, crea y usa un secreto.
Qué son los secretos
Los secretos son recursos globales que contienen metadatos, como etiquetas, anotaciones y permisos.
Los secretos también tienen versiones de secretos. Las versiones de secretos almacenan los datos reales del recurso secreto, como claves de API, contraseñas o certificados. Cada versión tiene un identificador único o una marca de tiempo.
¿En qué se diferencian los secretos de las claves de cifrado?
Gestionar secretos es tan importante como gestionar claves de cifrado, pero se centra en un área diferente de la seguridad de los datos. Puedes usar uno u otro en función de tus casos prácticos y de los tipos de información sensible que almacenes.
Normalmente, se seleccionan secretos para almacenar y gestionar de forma segura los datos sensibles en forma de blobs binarios o de cadenas de texto. Los secretos almacenan los datos reales, pero para acceder a ellos, necesitas permisos específicos que se definen en los metadatos de los secretos.
Por otro lado, las claves de cifrado son una mejor opción si necesitas cifrar o descifrar datos. No puedes ver ni extraer los datos criptográficos reales que se usan para el cifrado. Los sistemas de gestión de claves, como Cloud Key Management Service, se suelen usar para gestionar situaciones más exigentes, como cifrar filas en una base de datos o imágenes y archivos.
Si necesitas una capa de protección adicional para tus datos, puedes habilitar las claves de cifrado gestionadas por el cliente (CMEK) y usar tus propias claves de cifrado almacenadas en Cloud Key Management Service para proteger los secretos en Secret Manager. Para obtener más información sobre cómo usar CMEK con Datastream, consulta Usar claves de encriptado gestionadas por el cliente (CMEK).
Usar Secret Manager con Datastream
Para almacenar datos sensibles que se puedan usar con Datastream, debe crear un secreto con Secret Manager. Para obtener más información, consulta el artículo Crear un secreto.
También puedes crear un secreto al definir los detalles de conexión de tu perfil de conexión. Para obtener información detallada, consulta el artículo Crear perfiles de conexión.
Roles obligatorios
Para obtener los permisos que necesitas para usar Secret Manager con Datastream, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Permiso para acceder a los recursos de Secret Manager (roles/secretmanager.secretAccessor) en la cuenta de servicio de Datastream.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.