Konzeptionelles Secret – Übersicht

In diesem Thema werden die Hauptkonzepte von Secret Manager erläutert.

Verwaltung von Secrets und Schlüsselverwaltung

Mit Secret Manager können Sie Secrets als binäre Blobs oder Textstrings speichern, verwalten und darauf zugreifen. Mit den entsprechenden Berechtigungen können Sie den Inhalt des Secrets aufrufen.

Secret Manager eignet sich gut zum Speichern von Konfigurationsinformationen wie Datenbankpasswörtern, API-Schlüsseln oder TLS-Zertifikaten, die von einer Anwendung zur Laufzeit benötigt werden.

Mit einem Schlüsselverwaltungssystem wie Cloud KMS können Sie kryptografische Schlüssel verwalten und sie zum Ver- oder Entschlüsseln von Daten verwenden. Sie können das Schlüsselmaterial jedoch nicht ansehen, extrahieren oder exportieren.

In ähnlicher Weise können Sie vertrauliche Daten mit einem Schlüsselverwaltungssystem verschlüsseln oder speichern. Anschließend können Sie die vertraulichen Daten entschlüsseln, bevor Sie sie verwenden. Die Verwendung eines Schlüsselverwaltungssystems zum Schutz eines Secrets auf diese Weise ist komplexer und weniger effizient als Secret Manager.

Cloud KMS ist auf die Verarbeitung großer Verschlüsselungsarbeitslasten ausgelegt, z. B. zum Verschlüsseln von Zeilen in einer Datenbank oder zum Verschlüsseln von Binärdaten wie Bildern und Dateien. Sie können Cloud KMS auch für andere kryptografische Vorgänge wie das Signieren und Verifizieren verwenden.

Informationen zu Einschränkungen für Nutzlastgrößen, Ressourcenmengen und Ratenbegrenzung finden Sie unter Secret Manager-Kontingente.

Secret

Ein Secret ist ein projektweites Objekt, das eine Sammlung von Metadaten und Secret-Versionen enthält. Die Metadaten können Replikationsstandorte, Labels und Berechtigungen enthalten. Die Secret-Versionen speichern die tatsächlichen Secret-Daten, z. B. einen API-Schlüssel oder Anmeldedaten.

Version

In einer Secret-Version werden die eigentlichen Secret-Daten wie API-Schlüssel, Passwörter oder Zertifikate gespeichert.

Sie können einzelne Versionen eines Secrets ansprechen. Sie können eine Version nicht mehr ändern, aber löschen.

Drehung

Rotieren Sie ein Secret, indem Sie dem Secret eine neue Secret-Version hinzufügen. Auf jede Version eines bestimmten Secrets kann zugegriffen werden, solange diese Version aktiviert ist. Wenn Sie verhindern möchten, dass eine Secret-Version verwendet wird, können Sie diese Version deaktivieren.

Es ist nicht möglich, ein Secret für die automatische Rotation zu planen.

Nächste Schritte