Secret Manager es un servicio de administración de secretos y credenciales que te permite almacenar y administrar datos sensibles, como claves de API, nombres de usuario, contraseñas, certificados y mucho más.
Un secreto es un recurso global que contiene una colección de metadatos y versiones del Secret. Los metadatos pueden incluir ubicaciones de replicación, etiquetas, anotaciones y permisos. Versiones de los secretos almacenar la carga útil real del secreto, como una clave o credencial de API.
Con Secret Manager, puedes hacer lo siguiente:
Administra la reversión, la recuperación y la auditoría con versiones: Las versiones te ayudan a gestionar lanzamientos graduales y reversiones de emergencia. Si un secreto se cambia o se vulnera por accidente, puedes volver a una versión anterior que se sepa que es correcta. Esto minimiza el tiempo de inactividad potencial y las violaciones de la seguridad. El control de versiones mantiene un registro histórico de cambios realizados en un secreto, como quién los hizo y cuándo. Te ayuda auditar datos de secretos y rastrear cualquier intento de acceso no autorizado. Puedes fijar un secreto versiones a cargas de trabajo específicas y agrega alias para facilitar el acceso a los datos del Secret. También puedes inhabilitar o destruir versiones de Secrets que no necesitas.
Encriptar tus datos de secretos en tránsito y en reposo: Todos los secretos están encriptados. de forma predeterminada, tanto en tránsito con TLS como en reposo con encriptación AES de 256 bits claves. Para aquellos que requieran un control más detallado, puedes encriptar tus datos de secretos con claves de encriptación administradas por el cliente (CMEK). Usando como CMEK, puedes generar claves de encriptación nuevas o importar las existentes y los requisitos de cumplimiento.
Administrar el acceso a los Secrets con las condiciones y los roles detallados de Identity and Access Management (IAM): Con roles y permisos de IAM, puedes proporcionar acceso detallado a recursos recursos de Secret Manager. Puedes segregar las responsabilidades de acceso, administrar, auditar y rotar secretos.
Garantiza la alta disponibilidad y la recuperación ante desastres con la replicación de secretos: puedes replicar tus Secrets en múltiples regiones a fin de garantizar una alta disponibilidad y recuperación ante desastres para tus aplicaciones sin importar su ubicación geográfica. Puedes elegir entre las siguientes políticas de replicación:
- Automática: Google decide las regiones y considerar la disponibilidad y la latencia. Solo se te cobra por una ubicación.
- Administradas por el usuario: selecciona un conjunto personalizado de regiones según tus requisitos. Se te cobra por ubicación.
Rota los secretos automáticamente para cumplir con tus requisitos de seguridad y cumplimiento: Rotar tus secretos te protege contra el acceso no autorizado y las violaciones de la seguridad de los datos. Cambiar los secretos periódicamente reduce el riesgo de secretos inactivos u olvidados y garantiza el cumplimiento de muchos marcos regulatorios. que requieren rotación periódica de credenciales sensibles.
Aplica la residencia de datos con Secrets regionales(versión preliminar): La residencia de los datos requiere que ciertos tipos de datos, que a menudo pertenecen a individuos o organizaciones, se almacenen en una ubicación geográfica definida. Puedes crear secretos regionales y almacenar tus datos sensibles en una ubicación específica para cumplir con las leyes de soberanía de los datos y reglamentaciones.
Diferencia entre la administración de Secrets y la administración de claves
La administración de secretos y la administración de claves son componentes fundamentales de la seguridad de los datos, pero cumplen propósitos distintos y manejan diferentes tipos de información sensible. Elegir entre la administración de secretos y la administración de claves depende de tus necesidades específicas. Si quieres almacenar y administrar de forma segura datos confidenciales, un sistema de administración de Secrets es la herramienta adecuada. Si quieres administrar claves de encriptación y realizar operaciones criptográficas un sistema de administración de claves es la mejor opción.
Puedes usar la siguiente tabla para comprender las diferencias clave entre Secret Manager y un sistema de administración de claves, como Cloud KMS.
| Atributo | Secret Manager | Cloud Key Management Service |
|---|---|---|
| Función principal | Almacena, administra y accede a secretos como BLOB binarios o cadenas de texto | Administrar claves criptográficas y usarlas para encriptar o desencriptar datos |
| Datos almacenados | Los valores del secreto reales. Con los permisos adecuados, puedes ver los contenidos del Secret. | Claves criptográficas No puedes ver, extraer ni exportar Secrets criptográficos (los bits y bytes) que se usan para la encriptación y de encriptación y desencriptación. |
| Encriptación | Encripta los secretos en reposo y en tránsito (mediante claves administradas por Google o por el cliente). | Proporciona capacidades de encriptación y desencriptación para otros servicios. |
| Casos de uso típicos | Almacenar información de configuración como contraseñas de bases de datos, claves de API o Certificados TLS que necesita una aplicación en el entorno de ejecución | Manejar grandes cargas de trabajo de encriptación, como la encriptación de filas en una base de datos o y encriptar datos binarios, como imágenes y archivos. También puedes usar Cloud KMS para realizar otras operaciones criptográficas, como firmas y verificación. |
¿Qué sigue?
- Aprende a hacer lo siguiente: crear un secreto.
- Obtén más información para agregar una versión del Secret.
- Obtén más información para editar un secreto.
- Obtén más información sobre cuotas y limitaciones.
- Obtén más información sobre las prácticas recomendadas.