Secret Manager è un servizio di gestione di secret e credenziali che ti consente di archiviare e gestire dati sensibili come chiavi API, nomi utente, password, certificati e altro ancora.
Un secret è una risorsa globale che contiene una raccolta di le versioni dei metadati e dei secret. I metadati possono includere località di replica, etichette, annotazioni e autorizzazioni. Versioni del secret e archiviare l'effettivo payload secret, come una chiave API o una credenziale.
Con Secret Manager puoi:
Gestire rollback, ripristino e controllo tramite le versioni: le versioni ti aiutano gestire implementazioni graduali e rollback di emergenza, in caso di modifica accidentale di un secret o compromessa, puoi ripristinare una versione precedente non funzionante. In questo modo vengono ridotti al minimo i potenziali tempi di inattività e le violazioni della sicurezza. Il controllo delle versioni conserva un record storico delle modifiche apportate a un secret, tra cui chi le ha apportate e quando. Ti aiuta a controllare i dati riservati e a monitorare eventuali tentativi di accesso non autorizzati. Puoi bloccare le versioni dei segreti su carichi di lavoro specifici e aggiungere alias per accedere più facilmente ai dati dei segreti. Puoi anche disattivare o eliminare le versioni dei secret che non ti occorrono.
Crittografa i dati dei segreti in transito e a riposo: tutti i segreti sono criptati per impostazione predefinita, sia in transito con TLS sia a riposo con chiavi di crittografia AES a 256 bit. Per coloro che richiedono un controllo più granulare, puoi criptare i tuoi dati secret con le chiavi di crittografia gestite dal cliente (CMEK). Utilizzo CMEK, puoi generare nuove chiavi di crittografia o importare quelle esistenti per i tuoi requisiti.
Gestisci l'accesso ai secret utilizzando i ruoli e le condizioni IAM (Identity and Access Management) granulari: con le autorizzazioni e i ruoli IAM, puoi fornire l'accesso granulare a risorse Secret Manager specifiche. Puoi separare le responsabilità di accesso, la gestione, l'auditing e la rotazione dei secret.
Garantire disponibilità elevata e ripristino di emergenza con la replica dei secret: può replicare i tuoi segreti su più per garantire disponibilità elevata e ripristino di emergenza per le tue applicazioni a prescindere dalla loro posizione geografica. Puoi scegliere tra i seguenti criteri di replica:
- Automatica: Google decide le regioni tenendo conto della disponibilità e della latenza. Ti viene addebitato un solo costo per una località.
- Gestita dall'utente: puoi seleziona un insieme personalizzato di regioni in base ai tuoi requisiti. L'addebito avviene per località.
Ruota automaticamente i secret per soddisfare i requisiti di sicurezza e conformità: Ruotare i tuoi segreti ti protegge dagli accessi non autorizzati e violazioni dei dati. La modifica regolare dei secret riduce il rischio di secret obsoleti o dimenticati e garantisce la conformità a molti framework normativi che richiedono la rotazione periodica delle credenziali sensibili.
Applica la residenza dei dati utilizzando i secret regionali (anteprima): la residenza dei dati richiede che determinati tipi di dati, spesso appartenenti a persone o organizzazioni specifiche, vengano archiviati in una posizione geografica definita. Puoi creare secret regionali e archiviare i tuoi dati sensibili in una località specifica per rispettare le leggi e le normative sulla sovranità dei dati.
Differenza tra gestione dei secret e gestione delle chiavi
La gestione dei secret e la gestione delle chiavi sono entrambi componenti critici della sicurezza dei dati, ma hanno scopi distinti e gestiscono diversi tipi di informazioni sensibili. La scelta tra la gestione dei secret e la gestione delle chiavi dipende dalle tue esigenze specifiche. Se vuoi archiviare e gestire in modo sicuro i dati riservati, un sistema di gestione dei secret è lo strumento giusto. Se vuoi gestire le chiavi di crittografia ed eseguire operazioni crittografiche, un sistema di gestione delle chiavi è la scelta migliore.
Puoi utilizzare la seguente tabella per comprendere le differenze chiave tra Secret Manager e un sistema di gestione delle chiavi come Cloud KMS.
| Funzionalità | Secret Manager | Cloud Key Management Service |
|---|---|---|
| Funzione principale | Archivia, gestisci e accedi ai secret come blob binari o stringhe di testo | Gestisci le chiavi di crittografia e utilizzale per criptare o decriptare i dati |
| Dati memorizzati | Valori effettivi del secret. Con le autorizzazioni appropriate, puoi visualizzare i contenuti del secret. | Chiavi crittografiche. Non puoi visualizzare, estrarre o esportare i secret di crittografia (bit e byte) utilizzati per la crittografia le operazioni di decrittografia. |
| Crittografia | Crittografa i secret at-rest e in transito (utilizzando chiavi gestite da Google o dal cliente) | Fornisce funzionalità di crittografia e decriptazione per altri servizi |
| Casi d'uso tipici | Archiviare le informazioni di configurazione, come password di database, chiavi API o Certificati TLS richiesti da un'applicazione in fase di runtime | Gestisci carichi di lavoro di crittografia di grandi dimensioni, come la crittografia delle righe in un database crittografando i dati binari come immagini e file. Puoi anche utilizzare Cloud KMS per eseguire altre operazioni di crittografia, come la firma e la verifica. |
Passaggi successivi
- Scopri come creare un secret.
- Scopri come aggiungere una versione del secret.
- Scopri come modificare un secret.
- Scopri di più su quote e limitazioni.
- Scopri di più sulle best practice.