Secret Manager ist ein Dienst für Secrets und Anmeldedaten mit der Sie sensible Daten wie API-Schlüssel, Nutzernamen, Passwörter Zertifikate und mehr.
Ein Secret ist eine globale Ressource, die eine Sammlung von Metadaten und Secret-Versionen. Die Metadaten können Replikationsorte, Labels, Anmerkungen und Berechtigungen. Secret-Versionen die eigentliche geheime Nutzlast speichern, z. B. einen API-Schlüssel oder einen Berechtigungsnachweis.
Mit Secret Manager können Sie Folgendes tun:
Rollback, Wiederherstellung und Prüfung mithilfe von Versionen verwalten: Versionen unterstützen Sie Schrittweise Roll-outs und Notfall-Rollbacks verwalten, wenn ein Secret versehentlich geändert wird oder kompromittiert wurde, können Sie eine frühere, fehlerfreie Version wiederherstellen. Dadurch wird die Ausfallzeiten und Sicherheitsverstöße. Bei der Versionsverwaltung werden Verlaufsdaten an einem Secret vorgenommene Änderungen, einschließlich wer die Änderungen wann vorgenommen hat. Sie hilft Ihnen, geheime Daten prüfen und unbefugte Zugriffsversuche verfolgen. Sie können das Secret anpinnen bestimmten Arbeitslasten zuordnen und Aliasse hinzufügen für einen einfacheren Zugriff auf Secret-Daten. Sie können die Funktion auch deaktivieren oder Löschen von Secret-Versionen, die die Sie nicht benötigen.
Geheime Daten bei der Übertragung und im inaktiven Zustand verschlüsseln: Alle Secrets werden verschlüsselt. standardmäßig sowohl bei der Übertragung mit TLS als auch im inaktiven Zustand mit AES-256-Bit-Verschlüsselung Schlüssel. Wenn Sie eine detailliertere Kontrolle benötigen, können Sie Ihre Secret-Daten verschlüsseln. mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK). Mit Mit einem CMEK können Sie neue Verschlüsselungsschlüssel generieren oder vorhandene Schlüssel importieren, um Ihre spezifischen Anforderungen.
Zugriff auf Secrets mit fein abgestuften IAM-Rollen (Identity and Access Management) verwalten: Mit IAM-Rollen und -Berechtigungen können Sie detaillierten Zugriff auf bestimmte Secret Manager-Ressourcen. Sie können die Zuständigkeiten für den Zugriff, Verwalten, Prüfen und Rotieren von Secrets.
Hohe Verfügbarkeit und Notfallwiederherstellung durch Secret-Replikation gewährleisten: Sie können Ihre Secrets auf mehreren Regionen, um Hochverfügbarkeit und Notfallwiederherstellung für Ihre Anwendungen zu gewährleisten unabhängig von ihrem geografischen Standort. Sie können zwischen den folgenden Replikationsrichtlinien wählen:
- Automatisch: Google bestimmt die Regionen. unter Berücksichtigung von Verfügbarkeit und Latenz. Sie zahlen nur für einen Standort.
- Vom Nutzer verwaltet: Sie können Wählen Sie je nach Ihren Anforderungen eine benutzerdefinierte Gruppe von Regionen aus. Die Abrechnung erfolgt pro Standort.
Secrets automatisch rotieren lassen, um Ihre Sicherheits- und Complianceanforderungen zu erfüllen: Das Rotieren von Secrets schützt vor unbefugte Zugriffe und Datenpannen. Regelmäßige Änderungen Ihrer Secrets verringern das Risiko von veralteten oder vergessenen Geheimnissen erfahren und die Einhaltung vieler rechtlicher Rahmenbedingungen sicherstellen. die eine regelmäßige Rotation sensibler Anmeldedaten erfordern.
Erzwingen des Datenstandorts mit regionalen Secrets(Vorschau): Der Datenstandort erfordert dass bestimmte Arten von Daten, die oft zu bestimmten Personen gehören, an einem definierten geografischen Standort gespeichert werden. Sie können regionale Secrets speichern und Ihre sensiblen Daten an einem bestimmten Standort, um die Gesetze zur Datenhoheit einzuhalten und Vorschriften.
Unterschied zwischen Secret-Verwaltung und Schlüsselverwaltung
Die Verwaltung von Secrets und die Schlüsselverwaltung sind wichtige Komponenten der Datensicherheit. Sie dienen jedoch unterschiedlichen Zwecken und verarbeiten verschiedene Arten von vertraulichen Informationen. Die Wahl zwischen der Verwaltung von Secrets und der Schlüsselverwaltung hängt von Ihren spezifischen Anforderungen ab. Wenn Sie vertrauliche Daten sicher speichern und verwalten möchten, bietet sich ein System zur Verwaltung von Secrets an. ist das richtige Tool. Wenn Sie Verschlüsselungsschlüssel verwalten und kryptografische Vorgänge durchführen möchten, ist ein Schlüsselverwaltungssystem die bessere Wahl.
Anhand der folgenden Tabelle können Sie die wichtigsten Unterschiede zwischen Secret Manager verstehen und ein Schlüsselverwaltungssystem wie Cloud KMS.
| Feature | Secret Manager | Cloud Key Management Service |
|---|---|---|
| Hauptfunktion | Secrets als binäre Blobs oder Textstrings speichern, verwalten und darauf zugreifen | Kryptografische Schlüssel verwalten und zum Verschlüsseln oder Entschlüsseln von Daten verwenden |
| Gespeicherte Daten | Tatsächliche Secret-Werte. Mit den entsprechenden Berechtigungen können Sie die des Secrets. | Kryptografische Schlüssel. Die tatsächlichen kryptografischer Secrets (Bits und Byte), die für die Verschlüsselung und Entschlüsselungsvorgängen. |
| Verschlüsselung | Verschlüsselt Secrets im Ruhezustand und bei der Übertragung (mit von Google oder vom Kunden verwalteten Schlüsseln) | Bietet Ver- und Entschlüsselungsfunktionen für andere Dienste |
| Typische Anwendungsfälle | Speichern Sie Konfigurationsinformationen wie Datenbankpasswörter, API-Schlüssel oder TLS-Zertifikate, die von einer Anwendung zur Laufzeit benötigt werden | Bewältigen Sie große Verschlüsselungsarbeitslasten, z. B. das Verschlüsseln von Zeilen in einer Datenbank oder Verschlüsselung von Binärdaten wie Bildern und Dateien. Sie können auch Cloud KMS um andere kryptografische Vorgänge wie das Signieren und Überprüfen durchzuführen. |
Nächste Schritte
- Hier erfahren Sie, wie Sie Erstellen Sie ein Secret.
- Weitere Informationen zum Hinzufügen einer Secret-Version
- Weitere Informationen zum Bearbeiten von Secrets
- Informationen zu Kontingenten und Einschränkungen
- Weitere Informationen zu Best Practices