本頁面由 Cloud Translation API 翻譯而成。

使用 Secret Manager 儲存機密資料

Datastream 與 Secret Manager 整合，可讓您安全地儲存驗證資源，例如來源資料庫密碼。建立連線設定檔時，請建立並使用密鑰，而非使用純文字密碼。

什麼是密鑰

密鑰是包含中繼資料 (例如標籤、註解和權限) 的全域資源。

密鑰也有密鑰版本。密鑰版本會儲存密鑰資源的實際資料，例如 API 金鑰、密碼或憑證。每個版本都有專屬 ID 或時間戳記。

密鑰與加密金鑰有何不同

管理密鑰與管理加密金鑰同樣重要，但前者著重於資料安全性的不同領域。視用途和儲存的機密資訊類型而定，您可能會使用其中一種服務。

您通常會選取密鑰，以二進位 blob 或文字字串的形式安全地儲存及管理機密資料。Secret 會儲存實際資料，但如要存取，您需要 Secret 中繼資料定義的特定權限。

另一方面，如果您需要加密或解密資料，則加密金鑰是較好的選擇。您無法查看或擷取用於加密的實際加密資料。Cloud Key Management Service 等金鑰管理系統通常用於管理更嚴苛的情境，例如加密資料庫中的資料列，或是加密圖片和檔案。

如要為資料提供額外保護，您可以啟用客戶管理的加密金鑰 (CMEK)，並使用儲存在 Cloud Key Management Service 中的自有加密金鑰，保護 Secret Manager 中的密鑰。如要進一步瞭解如何將 CMEK 與 Datastream 搭配使用，請參閱「使用客戶管理的加密金鑰 (CMEK)」。

搭配使用 Secret Manager 與 Datastream

如要儲存機密資料以供 Datastream 使用，您需要使用 Secret Manager 建立密鑰。詳情請參閱「建立密鑰」。

您也可以在定義連線設定檔的連線詳細資料時建立密鑰。詳情請參閱「建立連線設定檔」。

必要的角色

如要取得使用 Datastream 搭配 Secret Manager 的必要權限，請要求管理員將 Datastream 服務帳戶的「Secret Manager 密鑰存取者」 (roles/secretmanager.secretAccessor) IAM 角色授予您。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。