Secret Manager는 API 키, 사용자 이름, 비밀번호, 인증서와 같은 민감한 정보를 저장하고 관리할 수 있는 보안 비밀 및 사용자 인증 정보 관리 서비스입니다.
보안 비밀은 메타데이터 및 보안 비밀 버전 모음이 포함된 전역 리소스입니다. 메타데이터에는 라벨, 주석, 권한이 포함될 수 있습니다.
보안 비밀 버전은 API 키, 비밀번호 또는 인증서와 같은 실제 보안 비밀 데이터를 저장합니다. 각 버전은 고유한 ID 또는 타임스탬프로 식별됩니다.
Secret Manager를 사용하여 다음을 수행할 수 있습니다.
버전을 사용하여 롤백, 복구, 감사 관리: 버전을 사용하면 점진적 출시와 긴급 롤백을 관리할 수 있습니다. 보안 비밀이 실수로 변경되거나 손상된 경우 이전의 양호한 상태로 알려진 버전으로 되돌릴 수 있습니다. 이렇게 하면 잠재적인 다운타임과 보안 침해를 최소화할 수 있습니다. 버전 관리는 변경한 사람 및 시기를 포함하여 보안 비밀 변경사항에 대한 이전 기록을 유지합니다. 보안 비밀 데이터를 감사하고 승인되지 않은 액세스 시도를 추적하는 데 도움이 됩니다. 보안 비밀 버전을 특정 워크로드에 고정하고 별칭을 추가하여 보안 비밀 데이터에 더 쉽게 액세스할 수 있습니다. 필요하지 않은 보안 비밀 버전을 사용 중지하거나 폐기할 수도 있습니다.
전송 중 및 저장 중 비밀 데이터 암호화: 모든 비밀은 기본적으로 TLS를 사용하여 전송 중일 때와 저장 중일 때 모두 AES-256비트 암호화 키를 사용하여 암호화됩니다. 더 세부적인 제어가 필요한 경우 고객 관리 암호화 키(CMEK)로 보안 비밀 데이터를 암호화할 수 있습니다. CMEK를 사용하면 특정 요구사항을 충족하기 위해 새 암호화 키를 생성하거나 기존 키를 가져올 수 있습니다.
세분화된 Identity and Access Management(IAM) 역할 및 조건을 사용하여 보안 비밀에 대한 액세스 관리: IAM 역할 및 권한을 사용하여 특정 Secret Manager 리소스에 세분화된 액세스 권한을 제공할 수 있습니다. 보안 비밀에 액세스, 관리, 감사, 순환하는 책임을 분리할 수 있습니다.
보안 비밀 복제로 고가용성 및 재해 복구 보장: 여러 리전에 걸쳐 보안 비밀을 복제하여 지리적 위치에 관계없이 애플리케이션의 고가용성과 재해 복구를 보장할 수 있습니다. 다음 복제 정책 중에서 선택할 수 있습니다.
자동 복제: Google에서 가용성과 지연 시간을 고려하여 리전을 결정합니다. 위치 1개에 대해서만 요금이 청구됩니다.
사용자 관리 복제: 요구사항에 따라 커스텀 리전 집합을 선택할 수 있습니다. 위치별로 요금이 청구됩니다.
보안 및 규정 준수 요구사항을 충족하도록 보안 비밀 자동 순환: 보안 비밀 순환은 무단 액세스 및 데이터 유출을 방지합니다. 보안 비밀을 정기적으로 변경하면 오래되거나 손실된 보안 비밀의 위험이 줄어들고 민감한 사용자 인증 정보를 주기적으로 순환해야 하는 여러 규제 프레임워크를 준수할 수 있습니다.
리전 보안 비밀을 사용하여 데이터 상주 적용: 데이터 상주는 특정 개인 또는 조직에 속하는 경우가 많은 특정 유형의 데이터를 지정된 지리적 위치 내에 저장해야 합니다. 데이터 주권법 및 규정을 준수하기 위해 리전 보안 비밀을 만들고 특정 위치 내에 민감한 정보를 저장할 수 있습니다.
보안 비밀 관리와 키 관리 간의 차이점
보안 비밀 관리와 키 관리는 모두 데이터 보안의 중요한 구성요소이지만 서로 다른 목적을 수행하고 서로 다른 유형의 민감한 정보를 처리합니다.
특정 수요에 따라 보안 비밀 관리와 키 관리 중에서 선택할 수 있습니다.
기밀 데이터를 안전하게 저장하고 관리하려면 보안 비밀 관리 시스템이 적합한 도구입니다. 암호화 키를 관리하고 암호화 작업을 수행하려면 키 관리 시스템을 사용하는 것이 더 좋습니다.
암호화 키 암호화 및 복호화 작업에 사용되는 실제 암호화 보안 비밀(비트 및 바이트)을 보거나 추출하거나 내보낼 수 없습니다.
암호화
저장 데이터와 전송 중인 보안 비밀을 암호화합니다(Google 관리 키 또는 고객 관리 키 사용).
다른 서비스에 암호화 및 복호화 기능을 제공합니다.
일반적인 사용 사례
런타임 시 애플리케이션에 필요한 데이터베이스 비밀번호, API 키, TLS 인증서와 같은 구성 정보를 저장합니다.
데이터베이스의 행 암호화 또는 이미지 및 파일과 같은 바이너리 데이터 암호화와 같은 대규모 암호화 워크로드를 처리합니다. Cloud KMS를 사용하면 서명 및 확인 등의 다른 암호화 작업을 수행할 수도 있습니다.
보안 비밀 암호화
Secret Manager는 디스크에 유지되기 전에 항상 보안 비밀 데이터를 암호화합니다. Google Cloud 암호화 옵션에 대한 자세한 내용은 저장 데이터 암호화를 참조하세요.
Secret Manager는 엄격한 키 액세스 제어와 감사를 포함하여 Google에서 자체적으로 데이터를 암호화하는 데 사용하는 동일한 강화된 키 관리 시스템을 사용하여 개발자 대신 서버 측 암호화 키를 관리합니다. Secret Manager는 AES-256을 사용하여 사용자 저장 데이터를 암호화합니다. 필요한 설정이나 구성이 없고 서비스에 액세스하는 방식을 수정할 필요가 없으며 눈에 띄는 성능 저하도 없습니다. 보안 비밀 데이터는 승인된 사용자가 액세스할 때 자동으로 투명하게 복호화됩니다.
Secret Manager API는 항상 보안 HTTP(S) 연결을 통해 통신합니다.
추가 보호 레이어가 필요한 사람은 CMEK를 사용 설정하고 Cloud Key Management Service에 저장된 자체 암호화 키를 사용하여 Secret Manager에 저장된 보안 비밀을 보호할 수 있습니다. 고객 관리 암호화 키를 구성하고 사용하는 방법에 대한 자세한 내용은 CMEK 문서를 참조하세요.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2024-12-21(UTC)"],[],[],null,["# Secret Manager overview\n\nSecret Manager is a secrets and credential management service\nthat lets you store and manage sensitive data such as API keys, usernames, passwords,\ncertificates, and more.\n\nA [*secret*](/secret-manager/docs/creating-and-accessing-secrets)\nis a global resource that contains a collection of metadata and secret versions. The metadata can include\nlabels, annotations, and permissions.\n\nA [*secret version*](/secret-manager/docs/add-secret-version)\nstores the actual secret data, such as API keys, passwords, or certificates. Each version is\nidentified by a unique ID or timestamp.\n\nUsing Secret Manager, you can do the following:\n\n- **Manage rollback, recovery, and auditing using versions** : Versions help you\n manage gradual rollouts and emergency rollback, If a secret is accidentally changed\n or compromised, you can revert to a previous, known-good version. This minimizes\n potential downtime and security breaches. Versioning maintains a historical record\n of changes made to a secret, including who made the changes and when. It helps you\n audit secret data and track any unauthorized access attempts. You can pin secret\n versions to specific workloads and add\n [aliases](/secret-manager/docs/assign-alias-to-secret-version) for\n easier access to secret data. You can also\n [disable](/secret-manager/docs/disable-secret-version) or\n [destroy](/secret-manager/docs/destroy-secret-version) secret\n versions that you don't require.\n\n- **Encrypt your secret data in transit and at rest** : All secrets are\n encrypted by default, both in transit using TLS and at rest with AES-256-bit encryption\n keys. For those requiring more granular control, you can encrypt your secret data\n with [Customer-Managed\n Encryption Keys (CMEK)](/secret-manager/docs/cmek). Using CMEK, you can generate new encryption keys or import existing ones\n to meet your specific requirements.\n\n- **Manage access to secrets using fine-grained Identity and Access Management (IAM) roles and conditions** :\n With [IAM roles and permissions](/secret-manager/docs/access-control),\n you can [provide granular access](/secret-manager/docs/manage-access-to-secrets)\n to specific Secret Manager resources. You can segregate responsibilities for accessing,\n managing, auditing, and rotating secrets.\n\n- **Ensure high availability and disaster recovery with secret replication** : You\n can [replicate your secrets](/secret-manager/docs/choosing-replication)\n across multiple regions to ensure high availability and disaster recovery for your applications\n regardless of their geographic location. You can choose between the following replication policies:\n\n - [Automatic replication](/secret-manager/docs/choosing-replication#automatic): Google decides\n the regions considering availability and latency. You are only charged for one location.\n\n - [User managed replication](/secret-manager/docs/choosing-replication#user-managed): You can\n select a custom set of regions depending on your requirements. You are charged per location.\n\n- **Rotate secrets automatically to meet your security and compliance requirements** :\n [Rotating your secrets](/secret-manager/docs/rotation-recommendations)\n protects against unauthorized access and data breaches. Regularly changing your secrets reduces the risk\n of stale or forgotten secrets and ensures compliance with many regulatory frameworks\n that require periodic rotation of sensitive credentials.\n\n- **Enforce data residency using regional secrets** :\n [Data residency](/architecture/framework/security/meet-regulatory-compliance-and-privacy-needs#control_data_residency)\n requires that certain types of data, often belonging to specific individuals or\n organizations, be stored within a defined geographic location. You can create\n [regional secrets](/secret-manager/docs/create-regional-secrets)\n and store your sensitive data within a specific location to comply with data sovereignty laws\n and regulations.\n\n- **Manage operational parameters for your applications using\n Parameter Manager** :\n [Parameter Manager](/secret-manager/parameter-manager/docs/overview)\n is an extension to the Secret Manager service that you can use to store and manage\n application configurations such as database connection strings, feature flags, environment names,\n port numbers to listen on, and settings for application features. You can also\n [reference secrets](/secret-manager/parameter-manager/docs/reference-secrets-in-parameter)\n stored in Secret Manager within your parameter configurations. To use Parameter Manager,\n you must enable the Parameter Manager API and grant your users the\n [required IAM roles](/secret-manager/parameter-manager/docs/access-control).\n\nDifference between secrets management and key management\n--------------------------------------------------------\n\n- Secrets management and key management are both critical components of data security, but they serve distinct purposes and handle different types of sensitive information. The choice between secrets management and key management depends on your specific needs. If you want to securely store and manage confidential data, a secrets management system is the right tool. If you want to manage encryption keys and perform cryptographic operations, a key management system is the better choice.\n- You can use the following table to understand the key differences between Secret Manager and a key management system, such as [Cloud Key Management Service(Cloud KMS)](/kms/docs).\n\nEncryption of secrets\n---------------------\n\n- Secret Manager always encrypts your secret data before it is persisted to disk. To learn more about Google Cloud encryption options, refer to [Encryption at rest](/docs/security/encryption/default-encryption).\n- Secret Manager manages server-side encryption keys on your behalf using the same hardened key management systems that we use for our own encrypted data, including strict key access controls and auditing. Secret Manager encrypts user data at rest using AES-256. There is no setup or configuration required, no need to modify the way you access the service, and no visible performance impact. Your secret data is automatically and transparently decrypted when accessed by an authorized user.\n- The Secret Manager API always communicates over a secure HTTP(S) connection.\n- Those who require an extra layer of protection can enable CMEK and use their own encryption keys stored in Cloud Key Management Service to protect the secrets stored in Secret Manager. See the [CMEK documentation](/secret-manager/docs/cmek) for details on how to configure and use customer-managed encryption keys.\n\nWhat's next\n-----------\n\n - Learn how to [create a secret](/secret-manager/docs/creating-and-accessing-secrets).\n - Learn how to [add a secret version](/secret-manager/docs/add-secret-version).\n - Learn how to [edit a secret](/secret-manager/docs/edit-secrets).\n - Learn about [quotas and limitations](/secret-manager/quotas).\n - Learn about [best practices](/secret-manager/docs/best-practices)."]]