Datastream ist in Secret Manager eingebunden, sodass Sie Authentifizierungsressourcen wie Passwörter für Quelldatenbanken sicher speichern können. Anstatt ein Klartextpasswort zu verwenden, wenn Sie ein Verbindungsprofil erstellen, sollten Sie ein Secret erstellen und verwenden.
Was sind Secrets?
Secrets sind globale Ressourcen, die Metadaten wie Labels, Anmerkungen und Berechtigungen enthalten.
Secrets haben auch Secret-Versionen. In Secret-Versionen werden die tatsächlichen Daten für die Secret-Ressource gespeichert, z. B. API-Schlüssel, Passwörter oder Zertifikate. Jede Version hat eine eindeutige Kennung oder einen Zeitstempel.
Wie unterscheiden sich Secrets von Verschlüsselungsschlüsseln?
Die Verwaltung von Secrets ist genauso wichtig wie die Verwaltung von Verschlüsselungsschlüsseln, konzentriert sich jedoch auf einen anderen Bereich der Datensicherheit. Je nach Anwendungsfall und Art der vertraulichen Informationen, die Sie speichern, können Sie die eine oder die andere Methode verwenden.
Normalerweise wählen Sie Secrets aus, um Ihre vertraulichen Daten als binäre Blobs oder Textstrings sicher zu speichern und zu verwalten. In Secrets werden die eigentlichen Daten gespeichert. Für den Zugriff auf diese Daten benötigen Sie jedoch bestimmte Berechtigungen, die in den Secret-Metadaten definiert sind.
Verschlüsselungsschlüssel sind dagegen besser geeignet, wenn Sie Daten verschlüsseln oder entschlüsseln müssen. Sie können die tatsächlichen kryptografischen Daten, die für die Verschlüsselung verwendet werden, nicht ansehen oder extrahieren. Schlüsselverwaltungssysteme wie Cloud Key Management Service werden in der Regel für anspruchsvollere Szenarien verwendet, z. B. zum Verschlüsseln von Zeilen in einer Datenbank oder von Bildern und Dateien.
Wenn Sie eine zusätzliche Schutzebene für Ihre Daten benötigen, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) aktivieren und Ihre eigenen Verschlüsselungsschlüssel verwenden, die in Cloud Key Management Service gespeichert sind, um Secrets in Secret Manager zu schützen. Weitere Informationen zur Verwendung von CMEK mit Datastream finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden.
Secret Manager mit Datastream verwenden
Wenn Sie Ihre sensiblen Daten für die Verwendung mit Datastream speichern möchten, müssen Sie mit Secret Manager ein Secret erstellen. Weitere Informationen finden Sie unter Secret erstellen.
Sie können auch ein Secret erstellen, wenn Sie Verbindungsdetails für Ihr Verbindungsprofil definieren. Ausführliche Informationen finden Sie unter Verbindungsprofile erstellen.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) für das Datastream-Dienstkonto zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden von Secret Manager mit Datastream benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.