Neste documento, explicamos os principais conceitos do Secret Manager.
Gerenciamento de secrets e gerenciamento de chaves
Com o Secret Manager, é possível armazenar, gerenciar e acessar secrets como blobs binários ou strings de texto. É possível visualizar o conteúdo do secret com as permissões apropriadas.
O Secret Manager funciona bem para armazenar informações de configuração, como senhas de banco de dados, chaves de API ou certificados TLS necessários para um aplicativo no ambiente de execução.
Um sistema de gerenciamento de chaves, como o Cloud KMS, permite gerenciar chaves criptográficas e usá-las para criptografar ou descriptografar dados. No entanto, não é possível visualizar, extrair ou exportar o material da chave em si.
Da mesma forma, é possível usar um sistema de gerenciamento de chaves para criptografar dados confidenciais antes de transmiti-los ou armazená-los. É possível descriptografar os dados confidenciais antes de usá-los. Usar um sistema de gerenciamento de chaves para proteger um secret dessa maneira é mais complexo e menos eficiente do que usar o Secret Manager.
O Cloud KMS foi projetado para processar grandes cargas de trabalho de criptografia, como criptografia de linhas em um banco de dados ou criptografia de dados binários, como imagens e arquivos. Também é possível usar o Cloud KMS para executar outras operações criptográficas, como assinatura e verificação.
Para saber mais sobre limitações em tamanhos de payload, quantidades de recursos e limite de taxas, consulte Cotas do Secret Manager.
Secret
Um secret é um objeto global do projeto que contém uma coleção de metadados e versões de secrets. Os metadados podem incluir locais de replicação, rótulos, anotações e permissões. As versões do secret armazenam os dados do secret real, como uma chave de API ou uma credencial.
Versão
Uma versão do secret armazena os dados reais do secret, como chaves de API, senhas ou certificados.
É possível abordar versões individuais de um secret. Não é possível modificar uma versão, mas é possível excluí-la.
Rotação
Para fazer isso, adicione uma nova versão do secret a ele. Qualquer versão de um secret pode ser acessada, contanto que essa versão esteja ativada. Para evitar que uma versão de secret seja usada, desative essa versão.
Também é possível programar um secret para rotação.
A seguir
- Saiba como criar um secret.
- Saiba como adicionar uma versão do secret.
- Saiba como editar um secret.
- Saiba mais sobre cotas e limitações.
- Saiba mais sobre as práticas recomendadas.