このページは Cloud Translation API によって翻訳されました。

Secret Manager を使用して機密データを保存する

Datastream は Secret Manager と統合されているため、ソースデータベースのパスワードなどの認証リソースを安全に保存できます。接続プロファイルを作成するときにプレーンテキストのパスワードを使用するのではなく、シークレットを作成して使用します。

シークレットとは

シークレットは、ラベル、アノテーション、権限などのメタデータを含むグローバルリソースです。

シークレットにはシークレットバージョンもあります。シークレットバージョンには、API キー、パスワード、証明書などのシークレットリソースの実際のデータが保存されます。各バージョンには一意の識別子またはタイムスタンプがあります。

シークレットと暗号鍵の違い

シークレットの管理は暗号鍵の管理と同様に重要ですが、データセキュリティの異なる領域に重点を置いています。ユースケースと保存する機密情報の種類に応じて、どちらか一方を使用します。

通常は、機密データをバイナリ blob またはテキスト文字列として安全に保存して管理するために、シークレットを選択します。シークレットには実際のデータが保存されますが、アクセスするには、シークレットメタデータで定義された特定の権限が必要です。

一方、データの暗号化または復号が必要な場合は、暗号鍵が適しています。暗号化に使用される実際の暗号データは表示または抽出できません。Cloud Key Management Service などの鍵管理システムは、通常、データベース内の行、画像、ファイルなどの暗号化など、より要求の厳しいシナリオを管理するために使用されます。

データに追加の保護レイヤが必要な場合は、顧客管理の暗号鍵（CMEK）を有効にして、Cloud Key Management Service に保存されている独自の暗号鍵を使用して、Secret Manager のシークレットを保護できます。Datastream で CMEK を使用する方法の詳細については、顧客管理の暗号鍵（CMEK）を使用するをご覧ください。

Datastream で Secret Manager を使用する

Datastream で使用する機密データを保存するには、Secret Manager を使用してシークレットを作成する必要があります。詳細については、シークレットを作成するをご覧ください。

接続プロファイルの接続の詳細を定義するときに、シークレットを作成することもできます。詳細については、接続プロファイルを作成するをご覧ください。

必要なロール

Datastream で Secret Manager を使用するために必要な権限を取得するには、Datastream サービスアカウントに対する Secret Manager のシークレットアクセサー（roles/secretmanager.secretAccessor）IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。