Secret Manager를 사용하여 민감한 정보 저장

Datastream은 Secret Manager와 통합되어 소스 데이터베이스 비밀번호와 같은 인증 리소스를 안전하게 저장할 수 있습니다. 연결 프로필을 만들 때 일반 텍스트 비밀번호를 사용하는 대신 보안 비밀을 만들어 사용하세요.

보안 비밀이란 무엇인가요?

보안 비밀은 라벨, 주석, 권한과 같은 메타데이터가 포함된 전역 리소스입니다.

보안 비밀에는 보안 비밀 버전도 있습니다. 보안 비밀 버전은 API 키, 비밀번호, 인증서와 같은 보안 비밀 리소스의 실제 데이터를 저장합니다. 각 버전에는 고유한 식별자 또는 타임스탬프가 있습니다.

보안 비밀과 암호화 키의 차이점

보안 비밀 관리는 암호화 키 관리만큼 중요하지만 데이터 보안의 다른 영역에 중점을 둡니다. 사용 사례와 저장하는 민감한 정보의 유형에 따라 둘 중 하나를 사용할 수 있습니다.

일반적으로 보안 비밀을 선택하여 민감한 데이터를 바이너리 blob 또는 텍스트 문자열로 안전하게 저장하고 관리합니다. 보안 비밀은 실제 데이터를 저장하지만, 데이터에 액세스하려면 보안 비밀 메타데이터에 정의된 특정 권한이 필요합니다.

반면 데이터를 암호화하거나 복호화해야 하는 경우에는 암호화 키를 사용하는 것이 더 좋습니다. 암호화에 사용되는 실제 암호화 데이터를 보거나 추출할 수 없습니다. Cloud Key Management Service와 같은 키 관리 시스템은 일반적으로 데이터베이스의 행 또는 이미지 및 파일을 암호화하는 등 더 까다로운 시나리오를 관리하는 데 사용됩니다.

데이터에 추가 보호 레이어가 필요한 경우 고객 관리 암호화 키 (CMEK)를 사용 설정하고 Cloud Key Management Service에 저장된 자체 암호화 키를 사용하여 Secret Manager의 보안 비밀을 보호할 수 있습니다. Datastream에서 CMEK를 사용하는 방법에 대한 자세한 내용은 고객 관리 암호화 키 (CMEK) 사용을 참고하세요.

Datastream에서 Secret Manager 사용

Datastream에서 사용할 민감한 정보를 저장하려면 Secret Manager를 사용하여 보안 비밀을 만들어야 합니다. 자세한 내용은 보안 비밀 만들기를 참고하세요.

연결 프로필의 연결 세부정보를 정의할 때 보안 비밀을 만들 수도 있습니다. 자세한 내용은 연결 프로필 만들기를 참고하세요.

필요한 역할

Datastream에서 Secret Manager를 사용하는 데 필요한 권한을 얻으려면 관리자에게 Datastream 서비스 계정에 대한 Secret Manager 보안 비밀 접근자 (roles/secretmanager.secretAccessor) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.