Secret Manager ist ein Dienst zum Verwalten von Secrets und Anmeldedaten, mit dem Sie sensible Daten wie API-Schlüssel, Nutzernamen, Passwörter und Zertifikate speichern und verwalten können.
Ein Geheimnis ist eine globale Ressource, die eine Sammlung von Metadaten- und Secret-Versionen enthält. Die Metadaten können Replikationsstandorte, Labels, Anmerkungen und Berechtigungen enthalten.
Eine Secret-Version die eigentlichen Secret-Daten wie API-Schlüssel, Passwörter oder Zertifikate speichert. Jede Version wird durch eine eindeutige ID oder einen eindeutigen Zeitstempel identifiziert. Versionen bieten einen Audit-Trail, mit dem Sie nachvollziehen können, wie sich ein Secret im Laufe der Zeit geändert hat.
Mit Secret Manager können Sie Folgendes tun:
-
Rollback, Wiederherstellung und Prüfung mithilfe von Versionen verwalten: Versionen unterstützen Sie Schrittweise Roll-outs und Notfall-Rollbacks verwalten, wenn ein Secret versehentlich geändert wird oder kompromittiert wurde, können Sie eine frühere, fehlerfreie Version wiederherstellen. So werden potenzielle Ausfallzeiten und Sicherheitsverstöße minimiert. Bei der Versionsverwaltung werden Verlaufsdaten an einem Secret vorgenommene Änderungen, einschließlich wer die Änderungen wann vorgenommen hat. Sie hilft Ihnen, geheime Daten zu prüfen und unbefugte Zugriffsversuche zu verfolgen. Sie können Secret-Versionen an bestimmte Arbeitslasten anpinnen und Aliasse hinzufügen, um den Zugriff auf Secret-Daten zu vereinfachen. Sie können nicht benötigte Secret-Versionen auch deaktivieren oder löschen.
-
Geheime Daten bei der Übertragung und im inaktiven Zustand verschlüsseln: Alle Secrets werden standardmäßig verschlüsselt, sowohl bei der Übertragung mit TLS als auch im inaktiven Zustand mit AES-256-Bit-Verschlüsselung Schlüssel. Wenn Sie eine detailliertere Kontrolle benötigen, können Sie Ihre vertraulichen Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsseln. Mit CMEK können Sie neue Verschlüsselungsschlüssel generieren oder vorhandene Schlüssel importieren um Ihre spezifischen Anforderungen zu erfüllen.
-
Zugriff auf Secrets mit fein abgestuften IAM-Rollen (Identity and Access Management) verwalten: Mit IAM-Rollen und -Berechtigungen können Sie ermöglichen einen detaillierten Zugriff auf bestimmte Secret Manager-Ressourcen. Sie können die Daten untergliedern, Zuständigkeiten für den Zugriff auf, die Verwaltung, das Auditing und die Rotation von Secrets
-
Secrets automatisch rotieren lassen, um Ihre Sicherheits- und Complianceanforderungen zu erfüllen: Geheimnisse aufdecken Schutz vor unbefugtem Zugriff und Datenpannen. Wenn Sie Ihre Secrets regelmäßig ändern, verringern Sie das Risiko, dass veraltete oder vergessene Secrets verwendet werden. Außerdem wird die Einhaltung vieler regulatorischer Rahmenbedingungen sichergestellt, die eine regelmäßige Rotation sensibler Anmeldedaten erfordern.
-
Datenhoheit mithilfe regionaler Geheimnisse erzwingen: Gemäß dem Datenhoheitsprinzip müssen bestimmte Arten von Daten, die oft bestimmten Personen oder Organisationen gehören, an einem bestimmten geografischen Standort gespeichert werden. Sie können regionale Secrets und Ihre sensiblen Daten an einem bestimmten Ort speichern, um Gesetze zur Datenhoheit einzuhalten und Vorschriften.
Unterschied zwischen Secrets-Verwaltung und Schlüsselverwaltung
Die Verwaltung von Secrets und des Schlüssels ist wichtige Komponenten der Datensicherheit. Sie dienen jedoch unterschiedlichen Zwecken und verarbeiten verschiedene Arten von vertraulichen Informationen. Die Wahl zwischen der Verwaltung von Secrets und der Schlüsselverwaltung hängt von Ihren spezifischen Anforderungen ab. Wenn Sie vertrauliche Daten sicher speichern und verwalten möchten, ist ein Secret-Management-System das richtige Tool. Wenn Sie Verschlüsselungsschlüssel verwalten und kryptografische Vorgänge ausführen möchten, ist ein Schlüsselverwaltungssystem die bessere Wahl.
Anhand der folgenden Tabelle können Sie die wichtigsten Unterschiede zwischen Secret Manager verstehen und ein Schlüsselverwaltungssystem wie Cloud Key Management Service(Cloud KMS):
| Funktion | Secret Manager | Cloud KMS |
|---|---|---|
| Hauptfunktion | Secrets als binäre Blobs oder Textstrings speichern, verwalten und darauf zugreifen. | Kryptografische Schlüssel verwalten und zum Verschlüsseln oder Entschlüsseln von Daten verwenden |
| Gespeicherte Daten | Tatsächliche Secret-Werte. Mit den entsprechenden Berechtigungen können Sie die des Secrets. | Kryptografische Schlüssel Die tatsächlichen kryptografischen Geheimnisse (die Bits und Bytes), die für Verschlüsselungs- und Entschlüsselungsvorgänge verwendet werden, können nicht angezeigt, extrahiert oder exportiert werden. |
| Verschlüsselung | Verschlüsselt Secrets im Ruhezustand und bei der Übertragung mit von Google oder vom Kunden verwalteten Schlüsseln. | Bietet Verschlüsselungs- und Entschlüsselungsmöglichkeiten für andere Dienste. |
| Typische Anwendungsfälle | Speichern Sie Konfigurationsinformationen wie Datenbankpasswörter, API-Schlüssel oder TLS-Zertifikate, die von einer Anwendung zur Laufzeit benötigt werden. | Bewältigen Sie große Verschlüsselungsarbeitslasten, z. B. das Verschlüsseln von Zeilen in einer Datenbank oder Verschlüsselung von Binärdaten wie Bildern und Dateien. Sie können Cloud KMS auch für andere kryptografische Vorgänge wie das Signieren und Verifizieren verwenden. |
Verschlüsselung von Secrets
Secret Manager verschlüsselt Ihre Secret-Daten immer, bevor sie beibehalten werden auf dem Laufwerk gespeichert. Weitere Informationen zu Google Cloud-Verschlüsselungsoptionen finden Sie unter Verschlüsselung inaktiver Daten.
Die serverseitigen Verschlüsselungsschlüssel werden in Store Manager für Sie verwaltet. Wir verwenden dabei dieselben erprobten Schlüsselverwaltungssysteme wie für unsere eigenen verschlüsselten Daten, einschließlich strenger Schlüsselzugriffskontrollen und Prüfprozesse. Secret Manager verschlüsselt inaktive Nutzerdaten mit AES-256. Diese Art der Verschlüsselung erfordert Ihrerseits keinerlei Einrichtung oder Konfiguration. Sie können dennoch wie gewohnt auf den Dienst zugreifen. Auch die Leistung bleibt erhalten. Ihre Secret-Daten werden automatisch und transparent entschlüsselt, wenn ein autorisierter Nutzer darauf zugreift.
Die Secret Manager API kommuniziert immer über eine sichere HTTP(S)-Verbindung.
Wenn Sie eine zusätzliche Schutzebene benötigen, können Sie CMEK aktivieren und Ihre eigenen im Cloud Key Management Service gespeicherten Verschlüsselungsschlüssel verwenden, um die im Secret Manager gespeicherten Secrets zu schützen. Weitere Informationen zur Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln finden Sie unter Regionalen Geheimnissen die CMEK-Verschlüsselung hinzufügen.