Secret Manager ist ein Dienst zum Verwalten von Secrets und Anmeldedaten, mit dem Sie sensible Daten wie API-Schlüssel, Nutzernamen, Passwörter und Zertifikate speichern und verwalten können.
Ein Secret ist eine globale Ressource, die eine Sammlung von Metadaten und Secret-Versionen enthält. Die Metadaten können Labels, Anmerkungen und Berechtigungen enthalten.
In einer Secret-Version werden die eigentlichen Secret-Daten wie API-Schlüssel, Passwörter oder Zertifikate gespeichert. Jede Version wird durch eine eindeutige ID oder einen eindeutigen Zeitstempel identifiziert.
Mit Secret Manager haben Sie folgende Möglichkeiten:
-
Rollback, Wiederherstellung und Prüfung mithilfe von Versionen verwalten: Versionen unterstützen Sie Schrittweise Roll-outs und Notfall-Rollbacks verwalten, wenn ein Secret versehentlich geändert wird oder kompromittiert wurde, können Sie eine frühere, fehlerfreie Version wiederherstellen. Dadurch wird die Ausfallzeiten und Sicherheitsverstöße. Bei der Versionsverwaltung werden Verlaufsdaten an einem Secret vorgenommene Änderungen, einschließlich wer die Änderungen wann vorgenommen hat. Sie hilft Ihnen, geheime Daten prüfen und unbefugte Zugriffsversuche verfolgen. Sie können das Secret anpinnen Arbeitslasten an bestimmte Arbeitslasten anpassen Aliasse für einfacheren Zugriff auf geheime Daten. Sie können auch deaktivieren oder Secret löschen die Sie nicht benötigen.
-
Geheimdaten während der Übertragung und in inaktivem Zustand verschlüsseln: Alle Geheimnisse werden standardmäßig verschlüsselt, sowohl während der Übertragung mit TLS als auch in inaktivem Zustand mit AES-256-Bit-Verschlüsselungsschlüsseln. Wenn Sie eine detailliertere Kontrolle benötigen, können Sie Ihre vertraulichen Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsseln. Mit CMEK können Sie neue Verschlüsselungsschlüssel generieren oder vorhandene Schlüssel importieren um Ihre spezifischen Anforderungen zu erfüllen.
-
Zugriff auf Secrets mit fein abgestuften IAM-Rollen (Identity and Access Management) verwalten: Mit IAM-Rollen und -Berechtigungen können Sie detaillierte Zugriffsrechte auf bestimmte Secret Manager-Ressourcen. Sie können die Zuständigkeiten für den Zugriff, die Verwaltung, die Prüfung und die Rotation von Secrets trennen.
-
Hochverfügbarkeit und Notfallwiederherstellung mit der Replikation von Geheimnissen sicherstellen: Sie können Ihre Geheimnisse in mehreren Regionen replizieren, um unabhängig vom geografischen Standort eine hohe Verfügbarkeit und Notfallwiederherstellung für Ihre Anwendungen zu gewährleisten. Sie können zwischen den folgenden Replikationsrichtlinien wählen:
-
Automatische Replikation: Google entscheidet der Regionen unter Berücksichtigung von Verfügbarkeit und Latenz. Sie zahlen nur für einen Standort.
-
Vom Nutzer verwaltete Replikation: Sie können je nach Ihren Anforderungen eine benutzerdefinierte Gruppe von Regionen auswählen. Die Abrechnung erfolgt pro Standort.
-
-
Secrets automatisch rotieren lassen, um Ihre Sicherheits- und Complianceanforderungen zu erfüllen: Geheimnisse aufdecken Schutz vor unbefugtem Zugriff und Datenpannen. Wenn Sie Ihre Secrets regelmäßig ändern, verringern Sie das Risiko, dass veraltete oder vergessene Secrets verwendet werden. Außerdem wird die Einhaltung vieler regulatorischer Rahmenbedingungen sichergestellt, die eine regelmäßige Rotation sensibler Anmeldedaten erfordern.
-
Datenhoheit mithilfe regionaler Geheimnisse erzwingen: Gemäß dem Datenhoheitsprinzip müssen bestimmte Arten von Daten, die oft bestimmten Personen oder Organisationen gehören, an einem bestimmten geografischen Standort gespeichert werden. Sie können regionale Geheimnisse erstellen und Ihre vertraulichen Daten an einem bestimmten Standort speichern, um die Gesetze und Bestimmungen zur Datensouveränität einzuhalten.
Unterschied zwischen Secrets-Verwaltung und Schlüsselverwaltung
Die Verwaltung von Secrets und des Schlüssels ist wichtige Komponenten der Datensicherheit. Sie dienen jedoch unterschiedlichen Zwecken und verarbeiten verschiedene Arten von vertraulichen Informationen. Die Wahl zwischen der Verwaltung von Secrets und der Schlüsselverwaltung hängt von Ihren spezifischen Anforderungen ab. Wenn Sie vertrauliche Daten sicher speichern und verwalten möchten, ist ein Secret-Management-System das richtige Tool. Wenn Sie Verschlüsselungsschlüssel verwalten und kryptografische Vorgänge ausführen möchten, ist ein Schlüsselverwaltungssystem die bessere Wahl.
In der folgenden Tabelle finden Sie die wichtigsten Unterschiede zwischen Secret Manager und einem Schlüsselverwaltungssystem wie dem Cloud Key Management Service (Cloud KMS).
| Funktion | Secret Manager | Cloud KMS |
|---|---|---|
| Hauptfunktion | Secrets als binäre Blobs oder Textstrings speichern, verwalten und darauf zugreifen | Kryptografische Schlüssel verwalten und zum Verschlüsseln oder Entschlüsseln von Daten verwenden |
| Gespeicherte Daten | Tatsächliche Secret-Werte. Mit den entsprechenden Berechtigungen können Sie die des Secrets. | Kryptografische Schlüssel. Die tatsächlichen kryptografischer Secrets (Bits und Byte), die für die Verschlüsselung und Entschlüsselungsvorgängen. |
| Verschlüsselung | Verschlüsselt ruhende und übertragene Geheimnisse mit von Google verwalteten oder vom Kunden verwalteten Schlüsseln. | Bietet Verschlüsselungs- und Entschlüsselungsmöglichkeiten für andere Dienste. |
| Typische Anwendungsfälle | Konfigurationsinformationen wie Datenbankpasswörter, API-Schlüssel oder TLS-Zertifikate speichern, die von einer Anwendung zur Laufzeit benötigt werden. | Bewältigen Sie große Verschlüsselungsarbeitslasten, z. B. das Verschlüsseln von Zeilen in einer Datenbank oder Verschlüsselung von Binärdaten wie Bildern und Dateien. Sie können Cloud KMS auch für andere kryptografische Vorgänge wie das Signieren und Verifizieren verwenden. |
Verschlüsselung von Secrets
Secret Manager verschlüsselt Ihre Secret-Daten immer, bevor sie beibehalten werden auf dem Laufwerk gespeichert. Weitere Informationen zu Google Cloud-Verschlüsselungsoptionen finden Sie unter Verschlüsselung inaktiver Daten.
Die serverseitigen Verschlüsselungsschlüssel werden in Store Manager für Sie verwaltet. Wir verwenden dabei dieselben erprobten Schlüsselverwaltungssysteme wie für unsere eigenen verschlüsselten Daten, einschließlich strenger Schlüsselzugriffskontrollen und Prüfprozesse. Secret Manager verschlüsselt inaktive Nutzerdaten mit AES-256. Diese Art der Verschlüsselung erfordert Ihrerseits keinerlei Einrichtung oder Konfiguration. Sie können dennoch wie gewohnt auf den Dienst zugreifen. Auch die Leistung bleibt erhalten. Ihre Secret-Daten werden automatisch und transparent entschlüsselt, wenn ein autorisierter Nutzer darauf zugreift.
Die Secret Manager API kommuniziert immer über eine sichere HTTP(S)-Verbindung.
Diejenigen, die eine zusätzliche Sicherheitsebene benötigen, können CMEK aktivieren und ihren eigenen verwenden. Verschlüsselungsschlüssel, die im Cloud Key Management Service gespeichert sind, um die in Secret Manager In der Dokumentation zu CMEK finden Sie weitere Informationen zum Konfigurieren und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln.