Secret Manager è un servizio di gestione di secret e credenziali che consente di archiviare e gestire dati sensibili come chiavi API, nomi utente, password certificati e altro ancora.
Un secret è una risorsa globale che contiene una raccolta di le versioni dei metadati e dei secret. I metadati possono includere località di replica, etichette, annotazioni e autorizzazioni. Versioni del secret e archiviare l'effettivo payload secret, come una chiave API o una credenziale.
Con Secret Manager, puoi:
Gestire rollback, recupero e controllo tramite le versioni: le versioni ti aiutano gestire implementazioni graduali e rollback di emergenza, in caso di modifica accidentale di un secret o compromessa, puoi ripristinare una versione precedente non funzionante. Questo riduce al minimo possibili tempi di inattività e violazioni della sicurezza. Il controllo delle versioni conserva un record storico delle modifiche apportate a un secret, tra cui chi le ha apportate e quando. Ti aiuta per controllare i dati secret e tenere traccia di eventuali tentativi di accesso non autorizzati. Puoi fissare il secret a carichi di lavoro specifici e aggiungere alias per un facile accesso ai dati secret. Puoi anche disattivare o elimina le versioni del secret che non ti serve.
Cripta i dati secret in transito e at-rest: tutti i secret sono criptati per impostazione predefinita, sia in transito con TLS che at-rest con crittografia AES-256-bit chiave. Per coloro che richiedono un controllo più granulare, puoi criptare i tuoi dati secret con le chiavi di crittografia gestite dal cliente (CMEK). Utilizzo CMEK, puoi generare nuove chiavi di crittografia o importare quelle esistenti per i tuoi requisiti.
Gestisci l'accesso ai secret utilizzando ruoli e condizioni granulari di Identity and Access Management (IAM): Con ruoli e autorizzazioni IAM, puoi fornire accesso granulare a specifici Risorse di Secret Manager. Puoi separare le responsabilità relative all'accesso, la gestione, l'auditing e la rotazione dei secret.
Garantire disponibilità elevata e ripristino di emergenza con la replica dei secret: può replicare i tuoi segreti su più per garantire disponibilità elevata e ripristino di emergenza per le tue applicazioni a prescindere dalla loro posizione geografica. Puoi scegliere tra i seguenti criteri di replica:
- Automatico: è Google a decidere le regioni tenendo conto di disponibilità e latenza. Ti viene addebitato un solo costo per una località.
- Gestita dall'utente: puoi seleziona un insieme personalizzato di regioni in base ai tuoi requisiti. L'addebito avviene per località.
Ruota automaticamente i secret per soddisfare i requisiti di sicurezza e conformità: Ruotare i tuoi segreti ti protegge dagli accessi non autorizzati e violazioni dei dati. La modifica regolare dei secret riduce il rischio di segreti obsoleti o dimenticati e garantisce la conformità a molti quadri normativi che richiedono la rotazione periodica di credenziali sensibili.
Applica la residenza dei dati utilizzando secret regionali(anteprima): La residenza dei dati richiede che determinati tipi di dati, spesso appartenenti a specifici individui o in una posizione geografica definita. Puoi creare secret regionali e archivia i tuoi dati sensibili all'interno di una località specifica per rispettare le leggi sulla sovranità dei dati e alle normative vigenti.
Differenza tra gestione dei secret e gestione delle chiavi
La gestione dei secret e la gestione delle chiavi sono entrambi componenti critici della sicurezza dei dati, ma hanno scopi distinti e gestiscono diversi tipi di informazioni sensibili. La scelta tra la gestione dei secret e la gestione delle chiavi dipende dalle tue esigenze specifiche. Se vuoi archiviare e gestire i dati riservati in modo sicuro, un sistema di gestione dei secret sia lo strumento giusto. Se vuoi gestire le chiavi di crittografia ed eseguire operazioni crittografiche, un sistema di gestione delle chiavi è la scelta migliore.
Puoi utilizzare la seguente tabella per comprendere le differenze chiave tra Secret Manager e un sistema di gestione delle chiavi come Cloud KMS.
| Funzionalità | Secret Manager | Cloud Key Management Service |
|---|---|---|
| Funzione principale | Archivia, gestisci e accedi ai secret come BLOB binari o stringhe di testo | Gestisci le chiavi di crittografia e utilizzale per criptare o decriptare i dati |
| Dati memorizzati | Valori effettivi del secret. Con le autorizzazioni appropriate, puoi visualizzare i contenuti del secret. | Chiavi di crittografia. Non puoi visualizzare, estrarre o esportare i secret di crittografia (bit e byte) utilizzati per la crittografia le operazioni di decrittografia. |
| Crittografia | Cripta i secret at-rest e in transito (utilizzando chiavi gestite da Google o dal cliente) | Fornisce funzionalità di crittografia e decriptazione per altri servizi |
| Casi d'uso tipici | Archiviare le informazioni di configurazione, come password di database, chiavi API o Certificati TLS richiesti da un'applicazione in fase di runtime | Gestisci carichi di lavoro di crittografia di grandi dimensioni, come la crittografia delle righe in un database crittografando i dati binari come immagini e file. Puoi anche utilizzare Cloud KMS per eseguire altre operazioni crittografiche come la firma e la verifica. |
Passaggi successivi
- Scopri come crea un secret.
- Scopri come aggiungere una versione del secret.
- Scopri come modificare un secret.
- Scopri di più su quote e limitazioni.
- Scopri di più sulle best practice.