Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Secret Manager è un servizio di gestione di secret e credenziali
che ti consente di archiviare e gestire dati sensibili come chiavi API, nomi utente, password,
certificati e altro ancora.
Un secret è una risorsa globale che contiene una raccolta di metadati e versioni del secret. I metadati possono includere etichette, annotazioni e autorizzazioni.
Una versione del secret
memorizza i dati effettivi del secret, ad esempio chiavi API, password o certificati. Ogni versione è identificata da un ID o un timestamp univoco.
Con Secret Manager puoi:
Gestisci il rollback, il recupero e il controllo utilizzando le versioni: le versioni ti aiutano a gestire le implementazioni graduali e il rollback di emergenza. Se un segreto viene modificato o compromesso per errore, puoi ripristinare una versione precedente nota come valida. In questo modo vengono ridotti al minimo
i potenziali tempi di inattività e le violazioni della sicurezza. Il controllo delle versioni mantiene un record storico
delle modifiche apportate a un segreto, inclusi chi ha apportato le modifiche e quando. Ti aiuta
a controllare i dati riservati e a monitorare eventuali tentativi di accesso non autorizzati. Puoi bloccare le versioni dei secret su workload specifici e aggiungere alias per accedere più facilmente ai dati dei secret. Puoi anche
disattivare o
eliminare le versioni dei secret
che non ti occorrono.
Crittografa i dati dei segreti in transito e at-rest: tutti i segreti sono criptati per impostazione predefinita, sia in transito con TLS sia at-rest con chiavi di crittografia AES a 256 bit. Per chi richiede un controllo più granulare, puoi criptare i dati segreti con le chiavi di crittografia gestite dal cliente (CMEK). Con CMEK puoi generare nuove chiavi di crittografia o importarne di esistenti per soddisfare i tuoi requisiti specifici.
Gestisci l'accesso ai secret utilizzando ruoli e condizioni IAM (Identity and Access Management) granulari:
con le autorizzazioni e i ruoli IAM,
puoi fornire accesso granulare
a risorse Secret Manager specifiche. Puoi separare le responsabilità per l'accesso, la gestione, il controllo e la rotazione dei secret.
Garantisci l'alta disponibilità e il ripristino di emergenza con la replica dei secret: puoi replicare i tuoi secret in più regioni per garantire l'alta disponibilità e il ripristino di emergenza per le tue applicazioni, indipendentemente dalla loro posizione geografica. Puoi scegliere tra i seguenti criteri di replica:
Replicazione automatica: Google decide le regioni tenendo conto della disponibilità e della latenza. Ti viene addebitato solo un costo per una località.
Replica gestita dall'utente: puoi selezionare un insieme personalizzato di regioni in base ai tuoi requisiti. Ti viene addebitato un costo per ogni località.
Gira automaticamente i secret per soddisfare i requisiti di sicurezza e conformità:
la rotazione dei secret
protegge da accessi non autorizzati e violazioni dei dati. La modifica regolare dei secret riduce il rischio di secret obsoleti o dimenticati e garantisce la conformità a molti framework normativi che richiedono la rotazione periodica delle credenziali sensibili.
Applica la residenza dei dati utilizzando i secret regionali:
La residenza dei dati
richiede che determinati tipi di dati, spesso appartenenti a persone o organizzazioni specifiche, vengano archiviati in una posizione geografica definita. Puoi creare
secret regionali
e archiviare i tuoi dati sensibili in una posizione specifica per rispettare le leggi e le normative sulla sovranità dei dati.
Gestisci i parametri operativi per le tue applicazioni utilizzando Parameter Manager:
Parameter Manager
è un'estensione del servizio Secret Manager che puoi utilizzare per archiviare e gestire
le configurazioni delle applicazioni, ad esempio stringhe di connessione al database, flag delle funzionalità, nomi degli ambienti, numeri di porta da ascoltare e impostazioni per le funzionalità delle applicazioni. Puoi anche fare riferimento ai secret archiviati in Secret Manager all'interno delle configurazioni dei parametri. Per utilizzare Parameter Manager,
devi attivare l'API Parameter Manager e concedere agli utenti i
ruoli IAM richiesti.
Differenza tra gestione dei secret e gestione delle chiavi
La gestione dei secret e la gestione delle chiavi sono entrambi componenti fondamentali della sicurezza dei dati, ma hanno scopi distinti e gestiscono diversi tipi di informazioni sensibili.
La scelta tra la gestione dei secret e la gestione delle chiavi dipende dalle tue esigenze specifiche.
Se vuoi archiviare e gestire in modo sicuro i dati riservati, un sistema di gestione dei secret è lo strumento giusto. Se vuoi gestire le chiavi di crittografia ed eseguire operazioni di crittografia,
un sistema di gestione delle chiavi è la scelta migliore.
Puoi utilizzare la tabella seguente per comprendere le differenze principali tra Secret Manager
e un sistema di gestione delle chiavi, come
Cloud Key Management Service(Cloud KMS).
Funzionalità
Secret Manager
Cloud KMS
Funzione principale
Archivia, gestisci e accedi ai secret come blob binari o stringhe di testo.
Gestisci le chiavi di crittografia e utilizzale per criptare o decriptare i dati.
Dati memorizzati
Valori effettivi dei secret. Con le autorizzazioni appropriate, puoi visualizzare i contenuti della chiave.
Chiavi crittografiche. Non puoi visualizzare, estrarre o esportare i segreti cryptographic (i bit e i byte) effettivi utilizzati per le operazioni di crittografia e decrittografia.
Crittografia
Crittografa i secret at-rest e in transito utilizzando
Google-owned and managed keys o chiavi gestite dal cliente.
Fornisce funzionalità di crittografia e decrittografia per altri servizi.
Casi d'uso tipici
Archivia informazioni di configurazione come password di database, chiavi API o
certificati TLS richiesti da un'applicazione in fase di runtime.
Gestire carichi di lavoro di crittografia di grandi dimensioni, ad esempio la crittografia di righe in un database o la crittografia di dati binari come immagini e file. Puoi anche utilizzare Cloud KMS per eseguire altre operazioni di crittografia, come la firma e la verifica.
Crittografia dei secret
Secret Manager cripta sempre i dati dei secret prima che vengano resi permanenti su disco. Per scoprire di più sulle Google Cloud opzioni di crittografia, consulta
Crittografia at-rest.
Secret Manager gestisce per tuo conto le chiavi di crittografia lato server utilizzando gli stessi sistemi di gestione delle chiavi avanzati che utilizziamo per i nostri dati criptati, inclusi controlli rigorosi di accesso alle chiavi e controlli di conformità. Secret Manager cripta i dati inattivi degli utenti utilizzando AES-256. Non è richiesta alcuna configurazione, non è necessario modificare il modo in cui accedi al servizio e non ha alcun impatto visibile sul rendimento. I tuoi dati segreti vengono decriptati automaticamente e in modo trasparente quando un utente autorizzato vi accede.
L'API Secret Manager comunica sempre tramite una connessione HTTP(S) sicura.
Chi ha bisogno di un ulteriore livello di protezione può attivare le chiavi CMEK e utilizzare le proprie chiavi di crittografia archiviate in Cloud Key Management Service per proteggere i secret archiviati in Secret Manager. Consulta la documentazione CMEK per informazioni dettagliate su come configurare e utilizzare le chiavi di crittografia gestite dal cliente.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["# Secret Manager overview\n\nSecret Manager is a secrets and credential management service\nthat lets you store and manage sensitive data such as API keys, usernames, passwords,\ncertificates, and more.\n\nA [*secret*](/secret-manager/docs/creating-and-accessing-secrets)\nis a global resource that contains a collection of metadata and secret versions. The metadata can include\nlabels, annotations, and permissions.\n\nA [*secret version*](/secret-manager/docs/add-secret-version)\nstores the actual secret data, such as API keys, passwords, or certificates. Each version is\nidentified by a unique ID or timestamp.\n\nUsing Secret Manager, you can do the following:\n\n- **Manage rollback, recovery, and auditing using versions** : Versions help you\n manage gradual rollouts and emergency rollback, If a secret is accidentally changed\n or compromised, you can revert to a previous, known-good version. This minimizes\n potential downtime and security breaches. Versioning maintains a historical record\n of changes made to a secret, including who made the changes and when. It helps you\n audit secret data and track any unauthorized access attempts. You can pin secret\n versions to specific workloads and add\n [aliases](/secret-manager/docs/assign-alias-to-secret-version) for\n easier access to secret data. You can also\n [disable](/secret-manager/docs/disable-secret-version) or\n [destroy](/secret-manager/docs/destroy-secret-version) secret\n versions that you don't require.\n\n- **Encrypt your secret data in transit and at rest** : All secrets are\n encrypted by default, both in transit using TLS and at rest with AES-256-bit encryption\n keys. For those requiring more granular control, you can encrypt your secret data\n with [Customer-Managed\n Encryption Keys (CMEK)](/secret-manager/docs/cmek). Using CMEK, you can generate new encryption keys or import existing ones\n to meet your specific requirements.\n\n- **Manage access to secrets using fine-grained Identity and Access Management (IAM) roles and conditions** :\n With [IAM roles and permissions](/secret-manager/docs/access-control),\n you can [provide granular access](/secret-manager/docs/manage-access-to-secrets)\n to specific Secret Manager resources. You can segregate responsibilities for accessing,\n managing, auditing, and rotating secrets.\n\n- **Ensure high availability and disaster recovery with secret replication** : You\n can [replicate your secrets](/secret-manager/docs/choosing-replication)\n across multiple regions to ensure high availability and disaster recovery for your applications\n regardless of their geographic location. You can choose between the following replication policies:\n\n - [Automatic replication](/secret-manager/docs/choosing-replication#automatic): Google decides\n the regions considering availability and latency. You are only charged for one location.\n\n - [User managed replication](/secret-manager/docs/choosing-replication#user-managed): You can\n select a custom set of regions depending on your requirements. You are charged per location.\n\n- **Rotate secrets automatically to meet your security and compliance requirements** :\n [Rotating your secrets](/secret-manager/docs/rotation-recommendations)\n protects against unauthorized access and data breaches. Regularly changing your secrets reduces the risk\n of stale or forgotten secrets and ensures compliance with many regulatory frameworks\n that require periodic rotation of sensitive credentials.\n\n- **Enforce data residency using regional secrets** :\n [Data residency](/architecture/framework/security/meet-regulatory-compliance-and-privacy-needs#control_data_residency)\n requires that certain types of data, often belonging to specific individuals or\n organizations, be stored within a defined geographic location. You can create\n [regional secrets](/secret-manager/docs/create-regional-secrets)\n and store your sensitive data within a specific location to comply with data sovereignty laws\n and regulations.\n\n- **Manage operational parameters for your applications using\n Parameter Manager** :\n [Parameter Manager](/secret-manager/parameter-manager/docs/overview)\n is an extension to the Secret Manager service that you can use to store and manage\n application configurations such as database connection strings, feature flags, environment names,\n port numbers to listen on, and settings for application features. You can also\n [reference secrets](/secret-manager/parameter-manager/docs/reference-secrets-in-parameter)\n stored in Secret Manager within your parameter configurations. To use Parameter Manager,\n you must enable the Parameter Manager API and grant your users the\n [required IAM roles](/secret-manager/parameter-manager/docs/access-control).\n\nDifference between secrets management and key management\n--------------------------------------------------------\n\n- Secrets management and key management are both critical components of data security, but they serve distinct purposes and handle different types of sensitive information. The choice between secrets management and key management depends on your specific needs. If you want to securely store and manage confidential data, a secrets management system is the right tool. If you want to manage encryption keys and perform cryptographic operations, a key management system is the better choice.\n- You can use the following table to understand the key differences between Secret Manager and a key management system, such as [Cloud Key Management Service(Cloud KMS)](/kms/docs).\n\nEncryption of secrets\n---------------------\n\n- Secret Manager always encrypts your secret data before it is persisted to disk. To learn more about Google Cloud encryption options, refer to [Encryption at rest](/docs/security/encryption/default-encryption).\n- Secret Manager manages server-side encryption keys on your behalf using the same hardened key management systems that we use for our own encrypted data, including strict key access controls and auditing. Secret Manager encrypts user data at rest using AES-256. There is no setup or configuration required, no need to modify the way you access the service, and no visible performance impact. Your secret data is automatically and transparently decrypted when accessed by an authorized user.\n- The Secret Manager API always communicates over a secure HTTP(S) connection.\n- Those who require an extra layer of protection can enable CMEK and use their own encryption keys stored in Cloud Key Management Service to protect the secrets stored in Secret Manager. See the [CMEK documentation](/secret-manager/docs/cmek) for details on how to configure and use customer-managed encryption keys.\n\nWhat's next\n-----------\n\n - Learn how to [create a secret](/secret-manager/docs/creating-and-accessing-secrets).\n - Learn how to [add a secret version](/secret-manager/docs/add-secret-version).\n - Learn how to [edit a secret](/secret-manager/docs/edit-secrets).\n - Learn about [quotas and limitations](/secret-manager/quotas).\n - Learn about [best practices](/secret-manager/docs/best-practices)."]]