Secret Manager è un servizio di gestione di secret e credenziali che ti consente di archiviare e gestire dati sensibili come chiavi API, nomi utente, password, certificati e altro ancora.
Un secret è una risorsa globale che contiene una raccolta di metadati e versioni del secret. I metadati possono includere posizioni di replica, etichette, annotazioni e autorizzazioni. Le versioni dei secret memorizzando il payload del secret effettivo, ad esempio una chiave API o una credenziale.
Con Secret Manager puoi:
Gestisci il rollback, il recupero e il controllo utilizzando le versioni: le versioni ti aiutano a gestire i rollout graduali e il rollback di emergenza. Se un segreto viene modificato o compromesso per errore, puoi ripristinare una versione precedente nota come valida. In questo modo vengono ridotti al minimo i potenziali tempi di inattività e le violazioni della sicurezza. Il controllo delle versioni mantiene un record storico delle modifiche apportate a un segreto, inclusi chi le ha apportate e quando. Ti aiuta per controllare i dati secret e tenere traccia di eventuali tentativi di accesso non autorizzati. Puoi fissare il secret a carichi di lavoro specifici e aggiungere alias per accedere più facilmente ai dati secret. Puoi anche disattivare o eliminare le versioni dei secret che non ti occorrono.
Cripta i dati secret in transito e at-rest: tutti i secret sono criptati per impostazione predefinita, sia in transito con TLS che at-rest con crittografia AES-256-bit chiave. Per chi richiede un controllo più granulare, puoi criptare i dati segreti con le chiavi di crittografia gestite dal cliente (CMEK). Con la chiave CMEK, puoi generare nuove chiavi di crittografia o importarne di esistenti per soddisfare i tuoi requisiti specifici.
Gestisci l'accesso ai secret utilizzando ruoli e condizioni granulari di Identity and Access Management (IAM): Con ruoli e autorizzazioni IAM, puoi fornire accesso granulare a specifici delle risorse di Secret Manager. Puoi separare le responsabilità per l'accesso, la gestione, il controllo e la rotazione dei secret.
Garantire disponibilità elevata e ripristino di emergenza con la replica dei secret: può replicare i tuoi segreti su più per garantire disponibilità elevata e ripristino di emergenza per le tue applicazioni a prescindere dalla loro posizione geografica. Puoi scegliere tra i seguenti criteri di replica:
- Automatico: è Google a decidere le regioni tenendo conto di disponibilità e latenza. Ti viene addebitato solo un costo per una località.
- Gestita dall'utente: puoi seleziona un insieme personalizzato di regioni in base ai tuoi requisiti. Ti viene addebitato un costo per ogni località.
Ruota automaticamente i secret per soddisfare i requisiti di sicurezza e conformità: Ruotare i tuoi segreti ti protegge dagli accessi non autorizzati e violazioni dei dati. La modifica regolare dei secret riduce il rischio di segreti obsoleti o dimenticati e garantisce la conformità a molti quadri normativi che richiedono la rotazione periodica di credenziali sensibili.
Applica la residenza dei dati utilizzando i secret regionali: la residenza dei dati richiede che determinati tipi di dati, spesso appartenenti a persone o organizzazioni specifiche, vengano archiviati in una posizione geografica definita. Puoi creare secret regionali e archiviare i tuoi dati sensibili in una località specifica per rispettare le leggi e le normative sulla sovranità dei dati.
Differenza tra gestione dei secret e gestione delle chiavi
La gestione dei secret e la gestione delle chiavi sono entrambi componenti critici della sicurezza dei dati, ma hanno scopi distinti e gestiscono diversi tipi di informazioni sensibili. La scelta tra la gestione dei secret e la gestione delle chiavi dipende dalle tue esigenze specifiche. Se vuoi archiviare e gestire in modo sicuro i dati riservati, un sistema di gestione dei secret è lo strumento giusto. Se vuoi gestire le chiavi di crittografia ed eseguire operazioni crittografiche, un sistema di gestione delle chiavi è la scelta migliore.
Puoi utilizzare la tabella seguente per comprendere le principali differenze tra Secret Manager e un sistema di gestione delle chiavi, come Cloud KMS.
| Funzionalità | Secret Manager | Cloud Key Management Service |
|---|---|---|
| Funzione principale | Archivia, gestisci e accedi ai secret come blob binari o stringhe di testo | Gestisci le chiavi di crittografia e utilizzale per criptare o decriptare i dati |
| Dati memorizzati | Valori effettivi dei secret. Con le autorizzazioni appropriate, puoi visualizzare i contenuti del secret. | Chiavi di crittografia. Non puoi visualizzare, estrarre o esportare i secret di crittografia (bit e byte) utilizzati per la crittografia le operazioni di decrittografia. |
| Crittografia | Crittografa i secret at-rest e in transito (utilizzando chiavi gestite da Google o dal cliente) | Fornisce funzionalità di crittografia e decriptazione per altri servizi |
| Casi d'uso tipici | Archiviare le informazioni di configurazione, come password di database, chiavi API o Certificati TLS richiesti da un'applicazione in fase di runtime | Gestisci carichi di lavoro di crittografia di grandi dimensioni, come la crittografia delle righe in un database crittografando i dati binari come immagini e file. Puoi anche utilizzare Cloud KMS per eseguire altre operazioni di crittografia, come la firma e la verifica. |
Passaggi successivi
- Scopri come crea un secret.
- Scopri come aggiungere una versione del secret.
- Scopri come modificare un secret.
- Scopri di più su quote e limitazioni.
- Scopri di più sulle best practice.