Secret Manager es un servicio de administración de credenciales y secretos que te permite almacenar y administrar datos sensibles, como claves de API, nombres de usuario, contraseñas, certificados y mucho más.
Un secreto es un recurso global que contiene una colección de metadatos y versiones de secretos. Los metadatos pueden incluir ubicaciones de replicación, etiquetas, anotaciones y permisos. Las versiones de secretos almacenan la carga útil secreta real, como una clave de API o una credencial.
Con Secret Manager, puedes hacer lo siguiente:
Administra la reversión, la recuperación y la auditoría con las versiones: Las versiones te ayudan a gestionar lanzamientos graduales y reversiones de emergencia. Si un secreto se cambia o se vulnera por accidente, puedes volver a una versión anterior que se sepa que es correcta. Esto minimiza los posibles tiempos de inactividad y las violaciones de la seguridad. El control de versiones mantiene un registro histórico de cambios realizados en un secreto, como quién los hizo y cuándo. Te ayuda a auditoría los datos secretos y hacer un seguimiento de los intentos de acceso no autorizado. Puedes fijar un secreto versiones a cargas de trabajo específicas y agrega alias para facilitar el acceso a los datos del Secret. También puedes inhabilitar o destruir versiones de Secrets que no necesitas.
Encripta tus datos secretos en tránsito y en reposo: Todos los secretos se encriptan de forma predeterminada, tanto en tránsito con TLS como en reposo con claves de encriptación AES de 256 bits. Para aquellos que requieran un control más detallado, puedes encriptar tus datos de secretos con claves de encriptación administradas por el cliente (CMEK). Usando como CMEK, puedes generar claves de encriptación nuevas o importar las existentes y los requisitos de cumplimiento.
Administrar el acceso a los Secrets con las condiciones y los roles detallados de Identity and Access Management (IAM): Con roles y permisos de IAM, puedes proporcionar acceso detallado a recursos recursos de Secret Manager. Puedes segregar las responsabilidades de acceso, administrar, auditar y rotar secretos.
Garantiza la alta disponibilidad y la recuperación ante desastres con la replicación de secretos: Puedes replicar tus secretos en varias regiones para garantizar la alta disponibilidad y la recuperación ante desastres de tus aplicaciones, independientemente de su ubicación geográfica. Puedes elegir entre las siguientes políticas de replicación:
- Automática: Google decide las regiones según la disponibilidad y la latencia. Solo se te cobra por una ubicación.
- Administradas por el usuario: selecciona un conjunto personalizado de regiones según tus requisitos. Se te cobra por ubicación.
Rota los secretos automáticamente para cumplir con tus requisitos de seguridad y cumplimiento: Rotar tus secretos te protege contra el acceso no autorizado y las violaciones de la seguridad de los datos. Cambiar los secretos periódicamente reduce el riesgo de secretos inactivos u olvidados y garantiza el cumplimiento de muchos marcos regulatorios. que requieren rotación periódica de credenciales sensibles.
Aplicar la residencia de datos con Secrets regionales: La residencia de los datos requiere que ciertos tipos de datos, que a menudo pertenecen a individuos o organizaciones, se almacenen en una ubicación geográfica definida. Puedes crear secretos regionales y almacenar tus datos sensibles en una ubicación específica para cumplir con las leyes de soberanía de los datos y reglamentaciones.
Diferencia entre la administración de secretos y la administración de claves
La administración de Secrets y de claves son componentes fundamentales de la seguridad de los datos, pero tienen propósitos distintos y manejan diferentes tipos de información sensible. La elección entre la administración de secretos y la administración de claves depende de tus necesidades específicas. Si quieres almacenar y administrar de forma segura datos confidenciales, un sistema de administración de Secrets es la herramienta adecuada. Si deseas administrar claves de encriptación y realizar operaciones criptográficas, la mejor opción es un sistema de administración de claves.
Puedes usar la siguiente tabla para comprender las diferencias clave entre Secret Manager y un sistema de administración de claves, como Cloud KMS.
| Atributo | Secret Manager | Cloud Key Management Service |
|---|---|---|
| Función principal | Almacena, administra y accede a secretos como BLOB binarios o cadenas de texto | Administrar claves criptográficas y usarlas para encriptar o desencriptar datos |
| Datos almacenados | Valores reales del secreto. Con los permisos adecuados, puedes ver el contenido del secreto. | Claves criptográficas No puedes ver, extraer ni exportar Secrets criptográficos (los bits y bytes) que se usan para la encriptación y de encriptación y desencriptación. |
| Encriptación | Encripta los secretos en reposo y en tránsito (con claves administradas por Google o por el cliente) | Proporciona capacidades de encriptación y desencriptación para otros servicios. |
| Casos de uso típicos | Almacenar información de configuración como contraseñas de bases de datos, claves de API o Certificados TLS que necesita una aplicación en el entorno de ejecución | Manejar grandes cargas de trabajo de encriptación, como la encriptación de filas en una base de datos o Encriptar datos binarios, como imágenes y archivos. También puedes usar Cloud KMS para realizar otras operaciones criptográficas, como la firma y la verificación. |
¿Qué sigue?
- Obtén más información para crear un secreto.
- Obtén más información para agregar una versión de Secret.
- Obtén más información para editar un secreto.
- Obtén más información sobre cuotas y limitaciones.
- Obtén información sobre las prácticas recomendadas.