本文档介绍 Secret Manager 的主要概念。
密文管理和密钥管理
Secret Manager 允许您以二进制 blob 或文本字符串形式存储、管理和访问 secrets。使用适当的权限,您可以查看密文的内容。
Secret Manager 非常适合用于存储应用运行时所需的数据库密码、API 密钥或 TLS 证书等配置信息。
借助 Cloud KMS 等密钥管理系统,您可以管理加密密钥并利用它们来加密或解密数据。但是,您无法查看、提取或导出密钥材料。
同样,您可以使用密钥管理系统,在传输或存储敏感数据之前对其进行加密。然后,您可以在使用敏感数据之前对其进行解密。与使用 Secret Manager 相比,使用密钥管理系统保护密文的方式相对复杂且效率较低。
Cloud KMS 设计旨在处理大型加密工作负载,例如加密数据库中的行或加密二进制文件数据(如映像和文件)。您还可以使用 Cloud KMS 执行其他加密操作,例如签名和验证。
如需详细了解载荷大小、资源数量和速率限制,请参阅 Secret Manager 配额。
密文
密文是包含项目元数据和密文版本的项目 - 全球对象。元数据可以包含复制位置、标签、注释和权限。密文版本会存储实际的密文数据,例如 API 密钥或凭据。
版本
密文版本会存储实际的密文数据,例如 API 密钥、密码或证书。
您可以处理密文的各个版本。您无法修改版本,但可以删除它。
Rotation
您可以通过向密文添加新的密文版本来轮替密文。只要给定版本已启用,您就可以访问给定密文的任何版本。要阻止使用密文版本,您可以停用该版本。
您还可以安排 Secret 进行轮替。
后续步骤
- 了解如何创建 Secret。
- 了解如何添加 Secret 版本。
- 了解如何修改 Secret。
- 了解配额和限制。
- 了解最佳实践。