Secret Manager는 API 키, 사용자 이름, 비밀번호, 인증서와 같은 민감한 정보를 저장하고 관리할 수 있는 보안 비밀 및 사용자 인증 정보 관리 서비스입니다.
보안 비밀은 메타데이터 및 보안 비밀 버전 모음이 포함된 전역 리소스입니다. 메타데이터에는 복제 위치, 라벨, 주석, 권한이 포함될 수 있습니다. 보안 비밀 버전은 API 키 또는 사용자 인증 정보와 같은 실제 보안 비밀 페이로드를 저장합니다.
Secret Manager를 사용하여 다음을 수행할 수 있습니다.
버전을 사용하여 롤백, 복구, 감사 관리: 버전을 사용하면 점진적 출시와 긴급 롤백을 관리할 수 있습니다. 보안 비밀이 실수로 변경되거나 손상된 경우 이전의 양호한 상태로 알려진 버전으로 되돌릴 수 있습니다. 이렇게 하면 잠재적인 다운타임과 보안 침해를 최소화할 수 있습니다. 버전 관리는 변경한 사람 및 시기를 포함하여 보안 비밀 변경사항에 대한 이전 기록을 유지합니다. 보안 비밀 데이터를 감사하고 승인되지 않은 액세스 시도를 추적하는 데 도움이 됩니다. 보안 비밀 버전을 특정 워크로드에 고정하고 별칭을 추가하여 보안 비밀 데이터에 더 쉽게 액세스할 수 있습니다. 필요하지 않은 보안 비밀 버전을 사용 중지하거나 폐기할 수도 있습니다.
전송 중 및 저장 중 비밀 데이터 암호화: 모든 비밀은 기본적으로 TLS를 사용하여 전송 중일 때와 저장 중일 때 모두 AES-256비트 암호화 키를 사용하여 암호화됩니다. 더 세부적인 제어가 필요한 경우 고객 관리 암호화 키(CMEK)로 보안 비밀 데이터를 암호화할 수 있습니다. CMEK를 사용하면 특정 요구사항을 충족하기 위해 새 암호화 키를 생성하거나 기존 키를 가져올 수 있습니다.
세분화된 Identity and Access Management(IAM) 역할 및 조건을 사용하여 보안 비밀에 대한 액세스 관리: IAM 역할 및 권한을 사용하여 특정 Secret Manager 리소스에 세분화된 액세스 권한을 제공할 수 있습니다. 보안 비밀에 액세스, 관리, 감사, 순환하는 책임을 분리할 수 있습니다.
보안 비밀 복제로 고가용성 및 재해 복구 보장: 여러 리전에 걸쳐 보안 비밀을 복제하여 지리적 위치에 관계없이 애플리케이션의 고가용성과 재해 복구를 보장할 수 있습니다. 다음 복제 정책 중에서 선택할 수 있습니다.
보안 및 규정 준수 요구사항을 충족하도록 보안 비밀 자동 순환: 보안 비밀 순환은 무단 액세스 및 데이터 유출을 방지합니다. 보안 비밀을 정기적으로 변경하면 오래되거나 손실된 보안 비밀의 위험이 줄어들고 민감한 사용자 인증 정보를 주기적으로 순환해야 하는 여러 규제 프레임워크를 준수할 수 있습니다.
리전 보안 비밀을 사용하여 데이터 상주 적용(미리보기): 데이터 상주는 특정 개인 또는 조직에 속하는 경우가 많은 특정 유형의 데이터를 지정된 지리적 위치 내에 저장해야 합니다. 데이터 주권법 및 규정을 준수하기 위해 리전 보안 비밀을 만들고 특정 위치 내에 민감한 정보를 저장할 수 있습니다.
보안 비밀 관리와 키 관리 간의 차이점
보안 비밀 관리와 키 관리는 모두 데이터 보안의 중요한 구성요소이지만 서로 다른 목적을 수행하고 서로 다른 유형의 민감한 정보를 처리합니다. 특정 수요에 따라 보안 비밀 관리와 키 관리 중에서 선택할 수 있습니다. 기밀 데이터를 안전하게 저장하고 관리하려면 보안 비밀 관리 시스템이 적합한 도구입니다. 암호화 키를 관리하고 암호화 작업을 수행하려면 키 관리 시스템을 사용하는 것이 더 좋습니다.
다음 표를 사용하여 Secret Manager와 Cloud KMS와 같은 키 관리 시스템 간의 주요 차이점을 파악할 수 있습니다.
| 기능 | Secret Manager | Cloud Key Management Service |
|---|---|---|
| 기본 기능 | 보안 비밀을 바이너리 blob 또는 텍스트 문자열로 저장, 관리, 액세스 | 암호화 키를 관리하고 이를 사용하여 데이터를 암호화 또는 복호화 |
| 저장된 데이터 | 실제 보안 비밀 값입니다. 적절한 권한이 있으면 보안 비밀 콘텐츠를 볼 수 있습니다. | 암호화 키 암호화 및 복호화 작업에 사용되는 실제 암호화 보안 비밀(비트 및 바이트)을 보거나 추출하거나 내보낼 수 없습니다. |
| 암호화 | 저장 데이터와 전송 중인 보안 비밀을 암호화합니다(Google 관리 키 또는 고객 관리 키 사용). | 다른 서비스에 암호화 및 복호화 기능을 제공합니다. |
| 일반적인 사용 사례 | 런타임 시 애플리케이션에 필요한 데이터베이스 비밀번호, API 키, TLS 인증서와 같은 구성 정보를 저장합니다. | 데이터베이스의 행 암호화 또는 이미지 및 파일과 같은 바이너리 데이터 암호화와 같은 대규모 암호화 워크로드를 처리합니다. Cloud KMS를 사용하면 서명 및 확인 등의 다른 암호화 작업을 수행할 수도 있습니다. |
다음 단계
- 보안 비밀 생성 방법 알아보기
- 보안 비밀 버전 추가 방법 알아보기
- 보안 비밀 수정 방법 알아보기
- 할당량 및 제한사항 알아보기
- 권장사항 알아보기