Secret Manager es un servicio de administración de secretos y credenciales que te permite almacenar y administrar datos sensibles, como claves de API, nombres de usuario, contraseñas, certificados y mucho más.
Un secreto es un recurso global que contiene una colección de metadatos y versiones de secretos. Los metadatos pueden incluir ubicaciones de replicación, etiquetas, anotaciones y permisos.
Una versión secreta almacena los datos secretos reales, como claves de API, contraseñas o certificados. Cada versión se identifica con un ID o una marca de tiempo únicos. Las versiones proporcionan un registro de auditoría, que te permite hacer un seguimiento de cómo cambió un secreto con el tiempo.
Con Secret Manager, puedes hacer lo siguiente:
-
Administra la reversión, la recuperación y la auditoría con versiones: Las versiones te ayudan a administrar los lanzamientos graduales y la reversión de emergencia. Si un secreto se cambia o se vulnera por accidente, puedes revertir a una versión anterior que se sabe que es correcta. Esto minimiza los posibles tiempos de inactividad y las violaciones de seguridad. El control de versiones mantiene un registro histórico de los cambios realizados en un secreto, lo que incluye quién los realizó y cuándo. Te ayuda a auditoría los datos secretos y hacer un seguimiento de los intentos de acceso no autorizado. Puedes fijar versiones de secretos a cargas de trabajo específicas y agregar alias para acceder a los datos de secretos con mayor facilidad. También puedes inhabilitar o destruir las versiones secretas que no necesites.
-
Encripta tus datos secretos en tránsito y en reposo: Todos los secretos se encriptan de forma predeterminada, tanto en tránsito con TLS como en reposo con claves de encriptación AES de 256 bits. Para aquellos que requieren un control más detallado, puedes encriptar tus datos secretos con claves de encriptación administradas por el cliente (CMEK). Con CMEK, puedes generar claves de encriptación nuevas o importar las existentes para cumplir con tus requisitos específicos.
-
Administra el acceso a los secretos con roles y condiciones de Identity and Access Management (IAM) detallados: Con los roles y permisos de IAM, puedes proporcionar acceso detallado a recursos específicos de Secret Manager. Puedes separar las responsabilidades de acceso, administración, auditoría y rotación de secretos.
-
Rota los secretos automáticamente para cumplir con tus requisitos de seguridad y cumplimiento: Rotar los secretos te protege contra accesos no autorizados y violaciones de la seguridad de los datos. Cambiar los secretos con regularidad reduce el riesgo de secretos inactivos o olvidados y garantiza el cumplimiento de muchos marcos regulatorios que requieren la rotación periódica de credenciales sensibles.
-
Aplica la residencia de datos con secretos regionales: La residencia de datos requiere que ciertos tipos de datos, que a menudo pertenecen a organizaciones o personas específicas, se almacenen en una ubicación geográfica definida. Puedes crear secretos regionales y almacenar tus datos sensibles en una ubicación específica para satisfacer las leyes y reglamentaciones de soberanía de los datos.
- Obtén información sobre la residencia de los datos y los secretos regionales.
- Obtén más información para crear un secreto regional.
- Obtén más información para agregar una versión regional de Secret.
- Obtén más información para editar un secreto regional.
Diferencia entre la administración de secretos y la administración de claves
La administración de secretos y la administración de claves son componentes fundamentales de la seguridad de los datos, pero cumplen propósitos distintos y manejan diferentes tipos de información sensible. La elección entre la administración de secretos y la administración de claves depende de tus necesidades específicas. Si deseas almacenar y administrar datos confidenciales de forma segura, un sistema de administración de secretos es la herramienta adecuada. Si deseas administrar claves de encriptación y realizar operaciones criptográficas, la mejor opción es un sistema de administración de claves.
Puedes usar la siguiente tabla para comprender las diferencias clave entre Secret Manager y un sistema de administración de claves, como Cloud Key Management Service(Cloud KMS).
| Atributo | Secret Manager | Cloud KMS |
|---|---|---|
| Función principal | Almacena, administra y accede a los secretos como BLOB binarios o cadenas de texto. | Administrar claves criptográficas y usarlas para encriptar o desencriptar datos |
| Datos almacenados | Valores reales del secreto. Con los permisos adecuados, puedes ver el contenido del Secret. | Claves criptográficas No puedes ver, extraer ni exportar los secretos criptográficos reales (los bits y bytes) que se usan para las operaciones de encriptación y desencriptación. |
| Encriptación | Encripta los secretos en reposo y en tránsito con claves administradas por Google o por el cliente. | Proporciona capacidades de encriptación y desencriptación para otros servicios. |
| Casos de uso típicos | Almacena información de configuración, como contraseñas de bases de datos, claves de API o certificados TLS que necesita una aplicación en el entorno de ejecución. | Controla cargas de trabajo de encriptación grandes, como encriptar filas en una base de datos o encriptar datos binarios, como imágenes y archivos. También puedes usar Cloud KMS para realizar otras operaciones criptográficas, como la firma y la verificación. |
Encriptación de secretos
Secret Manager siempre encripta los datos de los secretos antes de que se almacenen en el disco. Para obtener más información sobre las opciones de encriptación de Google Cloud, consulta Encriptación en reposo.
Secret Manager administra las claves de encriptación del lado del servidor en tu nombre con los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos cifrados, incluidos los estrictos controles de acceso a claves y auditorías. Secret Manager encripta los datos en reposo del usuario mediante AES-256. No se requiere configuración, no es necesario modificar la forma en que accedes al servicio y no se genera un impacto visible en el rendimiento. Tus datos secretos se desencriptan de forma automática y con transparencia cuando accedes a un usuario autorizado.
La API de Secret Manager siempre se comunica a través de una conexión HTTP(S) segura.
Quienes necesiten una capa adicional de protección pueden habilitar CMEK y usar sus propias claves de encriptación almacenadas en Cloud Key Management Service para proteger los secretos almacenados en Secret Manager. Consulta Cómo agregar encriptación de CMEK a secretos regionales para obtener detalles sobre cómo usar las claves de encriptación administradas por el cliente.