Visão geral conceitual do Secret Manager

Neste tópico, explicamos os principais conceitos do Secret Manager.

Gerenciamento de secrets e gerenciamento de chaves

O Secret Manager permite que você armazene, gerencie e acesse secrets como blobs binários ou strings de texto. É possível visualizar o conteúdo do secret com as permissões apropriadas.

O Secret Manager funciona bem para armazenar informações de configuração, como senhas de banco de dados, chaves de API ou certificados TLS necessários para um aplicativo no ambiente de execução.

Um sistema de gerenciamento de chaves, como o Cloud KMS, permite gerenciar chaves criptográficas e usá-las para criptografar ou descriptografar dados. No entanto, não é possível visualizar, extrair ou exportar o material da chave em si.

Da mesma forma, é possível usar um sistema de gerenciamento de chaves para criptografar dados confidenciais antes de transmiti-los ou armazená-los. É possível descriptografar os dados confidenciais antes de usá-los. Usar um sistema de gerenciamento de chaves para proteger um secret dessa maneira é mais complexo e menos eficiente do que usar o Secret Manager.

O Cloud KMS foi projetado para processar grandes cargas de trabalho de criptografia, como criptografia de linhas em um banco de dados ou criptografia de dados binários, como imagens e arquivos. Também é possível usar o Cloud KMS para executar outras operações criptográficas, como assinatura e verificação.

Para saber mais sobre limitações em tamanhos de payload, quantidades de recursos e limite de taxas, consulte Cotas do Secret Manager.

Secret

Um secret é um objeto global do projeto que contém uma coleção de metadados e versões de secrets. Eles podem incluir locais de replicação, rótulos e permissões. As versões do secret armazenam os dados do secret real, como uma chave de API ou uma credencial.

Versão

Uma versão do secret armazena os dados do secret real, como chaves de API, senhas ou certificados.

É possível abordar versões individuais de um secret. Não é possível modificar uma versão, mas é possível excluí-la.

Rotação

Para fazer isso, adicione uma nova versão dele ao secret. Qualquer versão de uma determinada chave do secret pode ser acessada enquanto a versão está ativada. Para impedir que uma versão do secret seja usada, você pode desativá-la.

Não é possível programar um secret para rotação automática.

A seguir