O Datastream se integra ao Secret Manager para que você possa armazenar recursos de autenticação com segurança, como senhas do banco de dados de origem. Em vez de usar uma senha de texto simples ao criar um perfil de conexão, crie e use um secret.
O que são secrets
Os secrets são recursos globais que contêm metadados, como rótulos, anotações e permissões.
Os secrets também têm versões. As versões do secret armazenam os dados reais do recurso secret, como chaves de API, senhas ou certificados. Cada versão tem um identificador exclusivo ou um carimbo de data/hora.
Qual é a diferença entre secrets e chaves de criptografia?
Gerenciar secrets é tão importante quanto gerenciar chaves de criptografia, mas se concentra em uma área diferente da segurança de dados. Você pode usar um ou outro, dependendo dos seus casos de uso e dos tipos de informações sensíveis que você armazena.
Normalmente, você seleciona secrets para armazenar e gerenciar com segurança seus dados sensíveis como blobs binários ou strings de texto. Os secrets armazenam os dados reais, mas para acessá-los, você precisa de permissões específicas definidas nos metadados dos secrets.
Por outro lado, as chaves de criptografia são uma opção melhor se você precisar criptografar ou descriptografar dados. Não é possível ver nem extrair os dados criptográficos reais usados para criptografia. Sistemas de gerenciamento de chaves, como o Cloud Key Management Service, são usados normalmente para gerenciar cenários mais exigentes, por exemplo, criptografar linhas em um banco de dados ou imagens e arquivos.
Se você precisar de uma camada extra de proteção para seus dados, ative as chaves de criptografia gerenciadas pelo cliente (CMEK) e use suas próprias chaves de criptografia armazenadas no Cloud Key Management Service para proteger secrets no Secret Manager. Para mais informações sobre como usar a CMEK com o Datastream, consulte Usar chaves de criptografia gerenciadas pelo cliente (CMEK).
Usar o Secret Manager com o Datastream
Para armazenar seus dados sensíveis para uso com o Datastream, crie um secret usando o Secret Manager. Para mais informações, consulte Criar um secret.
Também é possível criar um secret ao definir os detalhes de conexão do perfil de conexão. Para informações detalhadas, consulte Criar perfis de conexão.
Funções exigidas
Para receber as permissões necessárias
para usar o Secret Manager com o Datastream,
peça ao administrador para conceder a você o
papel do IAM de acessador de secrets do Secret Manager (roles/secretmanager.secretAccessor)
na conta de serviço do Datastream.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.