Secret Manager adalah layanan pengelolaan secret dan kredensial yang memungkinkan Anda menyimpan dan mengelola data sensitif seperti kunci API, nama pengguna, sandi, sertifikat, dan lainnya.
Rahasia merupakan resource global yang berisi kumpulan metadata dan versi secret. {i>Metadata<i} dapat mencakup lokasi replikasi, label, anotasi, dan izin akses.
Versi secret menyimpan data rahasia yang sebenarnya, seperti kunci API, sandi, atau sertifikat. Setiap versi diidentifikasi dengan ID atau stempel waktu yang unik. Versi menyediakan jejak audit, yang memungkinkan Anda untuk melacak bagaimana suatu rahasia berubah dari waktu ke waktu.
Dengan menggunakan Secret Manager, Anda dapat melakukan hal berikut:
-
Mengelola rollback, pemulihan, dan pengauditan menggunakan versi: Versi membantu Anda mengelola peluncuran bertahap dan rollback darurat, Jika rahasia tidak sengaja diubah atau disusupi, Anda dapat mengembalikan ke versi sebelumnya yang dikenal bagus. Hal ini meminimalkan potensi periode nonaktif dan pelanggaran keamanan. Pembuatan versi mempertahankan catatan historis perubahan yang dilakukan pada secret, termasuk siapa yang melakukan perubahan dan kapan. Membantu Anda mengaudit data rahasia dan melacak setiap upaya akses yang tidak sah. Anda dapat menyematkan versi secret ke beban kerja tertentu dan menambahkan alias untuk memudahkan akses ke data secret. Anda juga dapat menonaktifkan atau menghancurkan versi secret yang tidak diperlukan.
-
Enkripsi data rahasia Anda saat dalam pengiriman dan penyimpanan: Semua rahasia bersifat dienkripsi secara default, baik saat transit menggunakan TLS maupun saat disimpan dengan enkripsi AES-256-bit tombol. Untuk data yang memerlukan kontrol yang lebih terperinci, Anda dapat mengenkripsi data rahasia dengan Kunci Enkripsi yang Dikelola Pelanggan (CMEK). Dengan CMEK, Anda dapat membuat kunci enkripsi baru atau mengimpor yang sudah ada untuk memenuhi persyaratan spesifik Anda.
-
Mengelola akses ke secret menggunakan peran dan kondisi Identity and Access Management (IAM) yang terperinci: Dengan peran dan izin IAM, Anda dapat memberikan akses terperinci ke resource Secret Manager tertentu. Anda dapat memisahkan tanggung jawab untuk mengakses, mengelola, mengaudit, dan merotasi rahasia.
-
Rotasi rahasia secara otomatis untuk memenuhi persyaratan keamanan dan kepatuhan Anda: Merotasi rahasia Anda melindungi jaringan dari akses tidak sah dan pelanggaran data. Mengubah secret secara berkala akan mengurangi risiko secret yang sudah tidak berlaku atau terlupakan dan memastikan kepatuhan terhadap banyak framework peraturan yang mewajibkan rotasi berkala kredensial sensitif.
-
Menerapkan residensi data menggunakan secret regional: Residensi data mewajibkan jenis data tertentu, yang sering kali milik individu atau organisasi tertentu, disimpan dalam lokasi geografis yang ditentukan. Anda dapat membuat secret regional dan menyimpan data sensitif dalam lokasi tertentu untuk mematuhi hukum dan peraturan kedaulatan data.
- Pelajari residensi data dan secret regional.
- Pelajari cara membuat secret regional.
- Pelajari cara menambahkan versi secret regional.
- Pelajari cara mengedit rahasia regional.
Perbedaan antara pengelolaan rahasia dan pengelolaan kunci
Manajemen rahasia dan manajemen kunci merupakan komponen penting dari keamanan data, tetapi mereka memiliki tujuan yang berbeda dan menangani berbagai jenis informasi sensitif. Pilihan antara pengelolaan secret dan pengelolaan kunci bergantung pada kebutuhan khusus Anda. Jika Anda ingin menyimpan dan mengelola data rahasia dengan aman, sistem pengelolaan secret adalah alat yang tepat. Jika Anda ingin mengelola kunci enkripsi dan melakukan operasi kriptografi, {i>key management system <i}adalah pilihan yang lebih baik.
Anda dapat menggunakan tabel berikut untuk memahami perbedaan utama antara Secret Manager dan sistem manajemen kunci, seperti Cloud Key Management Service(Cloud KMS).
| Fitur | Secret Manager | Cloud KMS |
|---|---|---|
| Fungsi utama | Menyimpan, mengelola, dan mengakses secret sebagai blob biner atau string teks. | Mengelola kunci kriptografis dan menggunakannya untuk mengenkripsi atau mendekripsi data. |
| Data disimpan | Nilai secret yang sebenarnya. Dengan izin yang sesuai, Anda dapat melihat dari isi secret. | Kunci kriptografis. Anda tidak dapat melihat, mengekstrak, atau mengekspor secret kriptografis sebenarnya (bit dan byte) yang digunakan untuk operasi enkripsi dan dekripsi. |
| Enkripsi | Mengenkripsi secret dalam penyimpanan dan dalam pengiriman menggunakan kunci yang dikelola Google atau kunci yang dikelola pelanggan. | Menyediakan kemampuan enkripsi dan dekripsi untuk layanan lain. |
| Kasus penggunaan umum | Menyimpan informasi konfigurasi seperti sandi database, kunci API, atau sertifikat TLS yang diperlukan oleh aplikasi saat runtime. | Menangani workload enkripsi yang besar, seperti mengenkripsi baris dalam database atau mengenkripsi data biner seperti gambar dan file. Anda juga dapat menggunakan Cloud KMS untuk melakukan operasi kriptografis lainnya seperti penandatanganan dan verifikasi. |
Enkripsi secret
Pengelola Secret selalu mengenkripsi data secret Anda sebelum dipertahankan ke disk. Untuk mempelajari opsi enkripsi Google Cloud lebih lanjut, lihat Enkripsi dalam penyimpanan.
Secret Manager mengelola kunci enkripsi sisi server untuk Anda menggunakan sistem pengelolaan kunci yang telah melalui proses hardening, yang kami gunakan untuk data terenkripsi milik kami, termasuk pengauditan dan kontrol akses kunci yang ketat. Secret Manager mengenkripsi data pengguna dalam penyimpanan menggunakan AES-256. Tidak ada pengaturan atau tidak perlu mengubah cara Anda mengakses layanan, dan tidak dampak performa yang terlihat. Data rahasia Anda didekripsi secara otomatis dan transparan saat diakses oleh pengguna yang diotorisasi.
Secret Manager API selalu berkomunikasi melalui koneksi HTTP(S) yang aman.
Pengguna yang memerlukan lapisan perlindungan tambahan dapat mengaktifkan CMEK dan menggunakan kunci enkripsi yang disimpan dalam Cloud Key Management Service untuk melindungi rahasia yang tersimpan di {i>Secret Manager<i}. Lihat Tambahkan enkripsi CMEK ke rahasia regional untuk mengetahui detail cara menggunakan kunci enkripsi yang dikelola pelanggan.