Datastream si integra con Secret Manager per consentirti di archiviare in modo sicuro le risorse di autenticazione, come le password del database di origine. Anziché utilizzare una password di testo normale quando crei un profilo di connessione, crea e utilizza un secret.
Cosa sono i secret
I secret sono risorse globali che contengono metadati, come etichette, annotazioni e autorizzazioni.
I secret hanno anche versioni secret. Le versioni dei secret archiviano i dati effettivi per la risorsa secret, come chiavi API, password o certificati. Ogni versione ha un identificatore univoco o un timestamp.
In che modo i secret differiscono dalle chiavi di crittografia
La gestione dei secret è importante quanto la gestione delle chiavi di crittografia, ma si concentra su un'area diversa della sicurezza dei dati. Potresti utilizzare l'uno o l'altro, a seconda dei tuoi casi d'uso e dei tipi di informazioni sensibili che memorizzi.
In genere, selezioni i secret per archiviare e gestire in modo sicuro i tuoi dati sensibili come blob binari o stringhe di testo. I secret archiviano i dati effettivi, ma per accedervi sono necessarie autorizzazioni specifiche definite nei metadati dei secret.
D'altra parte, le chiavi di crittografia sono una scelta migliore se devi criptare o decriptare i dati. Non puoi visualizzare o estrarre i dati di crittografia effettivi utilizzati per la crittografia. I sistemi di gestione delle chiavi come Cloud Key Management Service vengono in genere utilizzati per gestire scenari più impegnativi, ad esempio la crittografia di righe in un database o di immagini e file.
Se hai bisogno di un ulteriore livello di protezione per i tuoi dati, puoi attivare le chiavi di crittografia gestite dal cliente (CMEK) e utilizzare le tue chiavi di crittografia archiviate in Cloud Key Management Service per proteggere i secret in Secret Manager. Per ulteriori informazioni su come utilizzare CMEK con Datastream, consulta Utilizzare le chiavi di crittografia gestite dal cliente (CMEK).
Utilizzare Secret Manager con Datastream
Per archiviare i dati sensibili da utilizzare con Datastream, devi creare un secret utilizzando Secret Manager. Per ulteriori informazioni, vedi Creare un secret.
Puoi anche creare un secret quando definisci i dettagli di connessione per il tuo profilo di connessione. Per informazioni dettagliate, vedi Creare profili di connessione.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per utilizzare Secret Manager con Datastream, chiedi all'amministratore di concederti il ruolo IAM Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) nel account di servizio Datastream.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.