Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Secret Manager es un servicio de gestión de secretos y credenciales que te permite almacenar y gestionar datos sensibles, como claves de API, nombres de usuario, contraseñas y certificados, entre otros.
Un secreto
es un recurso global que contiene una colección de metadatos y versiones de secretos. Los metadatos pueden incluir etiquetas, anotaciones y permisos.
Una versión de secreto
almacena los datos del secreto, como claves de API, contraseñas o certificados. Cada versión se identifica con un ID o una marca de tiempo únicos.
Con Secret Manager, puedes hacer lo siguiente:
Gestionar la restauración, la recuperación y la auditoría mediante versiones: las versiones te ayudan a gestionar los lanzamientos progresivos y las restauraciones de emergencia. Si un secreto se cambia o se pone en peligro por error, puedes volver a una versión anterior que sepas que es correcta. De esta forma, se minimizan los posibles tiempos de inactividad y las brechas de seguridad. El control de versiones mantiene un registro histórico de los cambios realizados en un secreto, incluido quién hizo los cambios y cuándo. Te ayuda a
auditar datos secretos y a monitorizar cualquier intento de acceso no autorizado. Puedes fijar versiones de secretos en cargas de trabajo específicas y añadir alias para acceder más fácilmente a los datos de los secretos. También puedes inhabilitar o eliminar las versiones de secretos que no necesites.
Cifra tus datos secretos en tránsito y en reposo: todos los secretos se cifran de forma predeterminada, tanto en tránsito mediante TLS como en reposo con claves de cifrado AES de 256 bits. Si necesitas un control más granular, puedes cifrar tus datos secretos con claves de cifrado gestionadas por el cliente (CMEK). Con CMEK, puedes generar claves de cifrado o importar las que ya tengas para cumplir tus requisitos específicos.
Gestiona el acceso a los secretos mediante roles y condiciones de Gestión de Identidades y Accesos (IAM) pormenorizados:
con los roles y permisos de IAM,
puedes proporcionar acceso granular
a recursos específicos de Secret Manager. Puedes separar las responsabilidades de acceso, gestión, auditoría y rotación de secretos.
Asegura la alta disponibilidad y la recuperación tras fallos con la replicación de secretos: puedes replicar tus secretos en varias regiones para asegurar la alta disponibilidad y la recuperación tras fallos de tus aplicaciones, independientemente de su ubicación geográfica. Puede elegir entre las siguientes políticas de replicación:
Replicación automática: Google decide las regiones en función de la disponibilidad y la latencia. Solo se te cobrará por una ubicación.
Replicación gestionada por el usuario: puedes seleccionar un conjunto personalizado de regiones en función de tus requisitos. Se te cobra por cada ubicación.
Rota los secretos automáticamente para cumplir tus requisitos de seguridad y cumplimiento:Rotar los secretos
protege contra el acceso no autorizado y las brechas de seguridad de los datos. Cambiar tus secretos con regularidad reduce el riesgo de que se queden obsoletos o se olviden, y asegura el cumplimiento de muchos marcos normativos que requieren la rotación periódica de las credenciales sensibles.
Aplicar la residencia de datos mediante secretos regionales:
La residencia de datos
requiere que determinados tipos de datos, que suelen pertenecer a personas u organizaciones específicas, se almacenen en una ubicación geográfica definida. Puedes crear secretos regionales y almacenar tus datos sensibles en una ubicación específica para cumplir las leyes y los reglamentos de soberanía de datos.
Gestiona los parámetros operativos de tus aplicaciones con
Parameter Manager:Parameter Manager
es una extensión del servicio Secret Manager que puedes usar para almacenar y gestionar
configuraciones de aplicaciones, como cadenas de conexión de bases de datos, indicadores de funciones, nombres de entornos, números de puerto para escuchar y ajustes de funciones de aplicaciones. También puedes hacer referencia a secretos almacenados en Secret Manager en tus configuraciones de parámetros. Para usar Gestor de parámetros,
debes habilitar la API Gestor de parámetros y conceder a tus usuarios los
roles de gestión de identidades y accesos necesarios.
Diferencia entre la gestión de secretos y la gestión de claves
La gestión de secretos y la gestión de claves son componentes fundamentales de la seguridad de los datos, pero tienen propósitos distintos y gestionan diferentes tipos de información sensible.
La elección entre la gestión de secretos y la gestión de claves depende de tus necesidades específicas.
Si quieres almacenar y gestionar datos confidenciales de forma segura, un sistema de gestión de secretos es la herramienta adecuada. Si quieres gestionar claves de encriptado y realizar operaciones criptográficas, te recomendamos que uses un sistema de gestión de claves.
En la siguiente tabla se muestran las principales diferencias entre Secret Manager y un sistema de gestión de claves, como Cloud Key Management Service(Cloud KMS).
Función
Secret Manager
Cloud KMS
Función principal
Almacena, gestiona y accede a secretos en forma de blobs binarios o de cadenas de texto.
Gestionar claves criptográficas y usarlas para encriptar o desencriptar datos.
Datos almacenados
Valores de secretos reales. Si tienes los permisos adecuados, puedes ver el contenido del secreto.
Claves criptográficas. No puedes ver, extraer ni exportar los secretos criptográficos reales (los bits y bytes) que se usan para las operaciones de cifrado y descifrado.
Cifrado
Cifra los secretos en reposo y en tránsito mediante
Google-owned and managed keys o claves gestionadas por el cliente.
Proporciona funciones de cifrado y descifrado para otros servicios.
Casos prácticos habituales
Almacena información de configuración, como contraseñas de bases de datos, claves de API o certificados TLS que necesite una aplicación durante el tiempo de ejecución.
Gestionar grandes cargas de trabajo de cifrado, como cifrar filas en una base de datos o cifrar datos binarios, como imágenes y archivos. También puedes usar Cloud KMS para realizar otras operaciones criptográficas, como firmas y verificaciones.
Encriptado de secretos
Secret Manager siempre encripta los datos secretos antes de que se conserven en el disco. Para obtener más información sobre las Google Cloud opciones de cifrado, consulta el artículo Cifrado en reposo.
Secret Manager gestiona las claves de cifrado del lado del servidor en tu nombre con los mismos sistemas reforzados de gestión de claves que utilizamos para nuestros propios datos cifrados, incluidos controles de acceso a claves y auditorías estrictos. Secret Manager cifra los datos de los usuarios en reposo mediante AES-256. No es necesario configurar nada, no tiene que modificar la forma en que accede al servicio y no hay ningún impacto visible en el rendimiento. Tus datos secretos se descifran de forma automática y transparente cuando accede a ellos un usuario autorizado.
La API Secret Manager siempre se comunica a través de una conexión HTTP(S) segura.
Quienes necesiten una capa de protección adicional pueden habilitar las CMEK y usar sus propias claves de cifrado almacenadas en Cloud Key Management Service para proteger los secretos almacenados en Secret Manager. Consulta la documentación sobre CMEK para obtener información sobre cómo configurar y usar claves de cifrado gestionadas por el cliente.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-21 (UTC)."],[],[],null,["# Secret Manager overview\n\nSecret Manager is a secrets and credential management service\nthat lets you store and manage sensitive data such as API keys, usernames, passwords,\ncertificates, and more.\n\nA [*secret*](/secret-manager/docs/creating-and-accessing-secrets)\nis a global resource that contains a collection of metadata and secret versions. The metadata can include\nlabels, annotations, and permissions.\n\nA [*secret version*](/secret-manager/docs/add-secret-version)\nstores the actual secret data, such as API keys, passwords, or certificates. Each version is\nidentified by a unique ID or timestamp.\n\nUsing Secret Manager, you can do the following:\n\n- **Manage rollback, recovery, and auditing using versions** : Versions help you\n manage gradual rollouts and emergency rollback, If a secret is accidentally changed\n or compromised, you can revert to a previous, known-good version. This minimizes\n potential downtime and security breaches. Versioning maintains a historical record\n of changes made to a secret, including who made the changes and when. It helps you\n audit secret data and track any unauthorized access attempts. You can pin secret\n versions to specific workloads and add\n [aliases](/secret-manager/docs/assign-alias-to-secret-version) for\n easier access to secret data. You can also\n [disable](/secret-manager/docs/disable-secret-version) or\n [destroy](/secret-manager/docs/destroy-secret-version) secret\n versions that you don't require.\n\n- **Encrypt your secret data in transit and at rest** : All secrets are\n encrypted by default, both in transit using TLS and at rest with AES-256-bit encryption\n keys. For those requiring more granular control, you can encrypt your secret data\n with [Customer-Managed\n Encryption Keys (CMEK)](/secret-manager/docs/cmek). Using CMEK, you can generate new encryption keys or import existing ones\n to meet your specific requirements.\n\n- **Manage access to secrets using fine-grained Identity and Access Management (IAM) roles and conditions** :\n With [IAM roles and permissions](/secret-manager/docs/access-control),\n you can [provide granular access](/secret-manager/docs/manage-access-to-secrets)\n to specific Secret Manager resources. You can segregate responsibilities for accessing,\n managing, auditing, and rotating secrets.\n\n- **Ensure high availability and disaster recovery with secret replication** : You\n can [replicate your secrets](/secret-manager/docs/choosing-replication)\n across multiple regions to ensure high availability and disaster recovery for your applications\n regardless of their geographic location. You can choose between the following replication policies:\n\n - [Automatic replication](/secret-manager/docs/choosing-replication#automatic): Google decides\n the regions considering availability and latency. You are only charged for one location.\n\n - [User managed replication](/secret-manager/docs/choosing-replication#user-managed): You can\n select a custom set of regions depending on your requirements. You are charged per location.\n\n- **Rotate secrets automatically to meet your security and compliance requirements** :\n [Rotating your secrets](/secret-manager/docs/rotation-recommendations)\n protects against unauthorized access and data breaches. Regularly changing your secrets reduces the risk\n of stale or forgotten secrets and ensures compliance with many regulatory frameworks\n that require periodic rotation of sensitive credentials.\n\n- **Enforce data residency using regional secrets** :\n [Data residency](/architecture/framework/security/meet-regulatory-compliance-and-privacy-needs#control_data_residency)\n requires that certain types of data, often belonging to specific individuals or\n organizations, be stored within a defined geographic location. You can create\n [regional secrets](/secret-manager/docs/create-regional-secrets)\n and store your sensitive data within a specific location to comply with data sovereignty laws\n and regulations.\n\n- **Manage operational parameters for your applications using\n Parameter Manager** :\n [Parameter Manager](/secret-manager/parameter-manager/docs/overview)\n is an extension to the Secret Manager service that you can use to store and manage\n application configurations such as database connection strings, feature flags, environment names,\n port numbers to listen on, and settings for application features. You can also\n [reference secrets](/secret-manager/parameter-manager/docs/reference-secrets-in-parameter)\n stored in Secret Manager within your parameter configurations. To use Parameter Manager,\n you must enable the Parameter Manager API and grant your users the\n [required IAM roles](/secret-manager/parameter-manager/docs/access-control).\n\nDifference between secrets management and key management\n--------------------------------------------------------\n\n- Secrets management and key management are both critical components of data security, but they serve distinct purposes and handle different types of sensitive information. The choice between secrets management and key management depends on your specific needs. If you want to securely store and manage confidential data, a secrets management system is the right tool. If you want to manage encryption keys and perform cryptographic operations, a key management system is the better choice.\n- You can use the following table to understand the key differences between Secret Manager and a key management system, such as [Cloud Key Management Service(Cloud KMS)](/kms/docs).\n\nEncryption of secrets\n---------------------\n\n- Secret Manager always encrypts your secret data before it is persisted to disk. To learn more about Google Cloud encryption options, refer to [Encryption at rest](/docs/security/encryption/default-encryption).\n- Secret Manager manages server-side encryption keys on your behalf using the same hardened key management systems that we use for our own encrypted data, including strict key access controls and auditing. Secret Manager encrypts user data at rest using AES-256. There is no setup or configuration required, no need to modify the way you access the service, and no visible performance impact. Your secret data is automatically and transparently decrypted when accessed by an authorized user.\n- The Secret Manager API always communicates over a secure HTTP(S) connection.\n- Those who require an extra layer of protection can enable CMEK and use their own encryption keys stored in Cloud Key Management Service to protect the secrets stored in Secret Manager. See the [CMEK documentation](/secret-manager/docs/cmek) for details on how to configure and use customer-managed encryption keys.\n\nWhat's next\n-----------\n\n - Learn how to [create a secret](/secret-manager/docs/creating-and-accessing-secrets).\n - Learn how to [add a secret version](/secret-manager/docs/add-secret-version).\n - Learn how to [edit a secret](/secret-manager/docs/edit-secrets).\n - Learn about [quotas and limitations](/secret-manager/quotas).\n - Learn about [best practices](/secret-manager/docs/best-practices)."]]
