Secret Manager è un servizio di gestione di secret e credenziali che consente di archiviare e gestire dati sensibili come chiavi API, nomi utente, password certificati e altro ancora.
Un segreto è una risorsa globale contenente una raccolta di metadati e versioni del secret. I metadati possono includere località di replica, etichette, annotazioni e autorizzazioni.
Una versione del secret memorizza i dati effettivi del secret, ad esempio chiavi API, password o certificati. Ogni versione è identificati da un ID o un timestamp univoco. Le versioni forniscono un audit trail, consentendoti di tenere traccia di come un secret è cambiato nel tempo.
Con Secret Manager puoi:
-
Gestisci il rollback, il recupero e il controllo utilizzando le versioni: le versioni ti aiutano a gestire le implementazioni graduali e il rollback di emergenza. Se un segreto viene modificato o compromesso per errore, puoi ripristinare una versione precedente nota come valida. In questo modo vengono ridotti al minimo i potenziali tempi di inattività e le violazioni della sicurezza. Il controllo delle versioni conserva un record storico delle modifiche apportate a un secret, tra cui chi le ha apportate e quando. Ti aiuta controllare i dati del secret e tenere traccia di eventuali tentativi di accesso non autorizzati. Puoi fissare il secret a carichi di lavoro specifici e aggiungere aliases per un accesso più semplice ai dati secret. Puoi anche disable o Elimina secret o versioni successive che non richiedono.
-
Crittografa i dati delle chiavi segrete in transito e at-rest: tutte le chiavi segrete sono criptate per impostazione predefinita, sia in transito con TLS sia at-rest con chiavi di crittografia AES a 256 bit. Per coloro che richiedono un controllo più granulare, puoi criptare i tuoi dati secret con gestiti dal cliente chiavi di crittografia (CMEK). Con CMEK puoi generare nuove chiavi di crittografia o importarne di esistenti per soddisfare i tuoi requisiti specifici.
-
Gestisci l'accesso ai secret utilizzando ruoli e condizioni IAM (Identity and Access Management) granulari: con le autorizzazioni e i ruoli IAM, puoi fornire l'accesso granulare a risorse Secret Manager specifiche. Puoi separare le responsabilità per l'accesso, la gestione, il controllo e la rotazione dei secret.
-
Ruota automaticamente i secret per soddisfare i requisiti di sicurezza e conformità: Scomporre i tuoi segreti protegge da accessi non autorizzati e violazioni dei dati. La modifica regolare dei secret riduce il rischio di segreti obsoleti o dimenticati e garantisce la conformità a molti quadri normativi che richiedono la rotazione periodica di credenziali sensibili.
-
Applica la residenza dei dati utilizzando secret regionali: Residenza dei dati richiede che determinati tipi di dati, spesso appartenenti a determinati individui o in una posizione geografica definita. Puoi creare secret regionali e archiviare i dati sensibili in una posizione specifica per rispettare le leggi sulla sovranità dei dati e alle normative vigenti.
- Scopri di più sulla residenza dei dati e i secret regionali.
- Scopri come creare un secret regionale.
- Scopri come aggiungere una versione del secret regionale.
- Scopri come modificare un secret regionale.
Differenza tra gestione dei secret e gestione delle chiavi
La gestione dei secret e la gestione delle chiavi sono entrambi componenti fondamentali della sicurezza dei dati, ma hanno scopi distinti e gestiscono diversi tipi di informazioni sensibili. La scelta tra la gestione dei secret e la gestione delle chiavi dipende dalle tue esigenze specifiche. Se vuoi archiviare e gestire in modo sicuro i dati riservati, un sistema di gestione dei secret è lo strumento giusto. Se vuoi gestire le chiavi di crittografia ed eseguire operazioni di crittografia, un sistema di gestione delle chiavi è la scelta migliore.
Puoi utilizzare la seguente tabella per comprendere le differenze chiave tra Secret Manager e un sistema di gestione delle chiavi, come Cloud Key Management Service(Cloud KMS).
Funzionalità | Secret Manager | Cloud KMS |
---|---|---|
Funzione principale | Archivia, gestisci e accedi ai secret come BLOB binari o stringhe di testo. | Gestisci le chiavi di crittografia e utilizzale per criptare o decriptare i dati. |
Dati memorizzati | Valori effettivi dei secret. Con le autorizzazioni appropriate, puoi visualizzare i contenuti del secret. | Chiavi crittografiche. Non puoi visualizzare, estrarre o esportare i segreti cryptographic (i bit e i byte) utilizzati per le operazioni di crittografia e decrittografia. |
Crittografia | Cripta i secret at-rest e in transito utilizzando le chiavi gestite da Google o dal cliente. | Fornisce funzionalità di crittografia e decrittografia per altri servizi. |
Casi d'uso tipici | Archivia informazioni di configurazione come password di database, chiavi API o certificati TLS richiesti da un'applicazione in fase di runtime. | Gestire carichi di lavoro di crittografia di grandi dimensioni, ad esempio la crittografia di righe in un database o la crittografia di dati binari come immagini e file. Puoi anche utilizzare Cloud KMS per eseguire altre operazioni di crittografia, come la firma e la verifica. |
Crittografia dei secret
Secret Manager cripta sempre i dati secret prima che siano resi persistenti su disco. Per scoprire di più sulle opzioni di crittografia di Google Cloud, consulta Crittografia at-rest.
Secret Manager gestisce le chiavi di crittografia lato server per tuo conto utilizzando gli stessi sistemi di gestione delle chiavi rafforzati che usiamo per i nostri dati criptati, inclusi controlli e controlli rigorosi di accesso alle chiavi. Secret Manager cripta i dati inattivi degli utenti utilizzando AES-256. Non è richiesta alcuna configurazione, non è necessario modificare il modo in cui accedi al servizio e non ha alcun impatto visibile sul rendimento. I tuoi dati secret vengono automaticamente e in modo trasparente decriptato quando vi si accede da un utente autorizzato.
L'API Secret Manager comunica sempre tramite una connessione HTTP(S) sicura.
Chi ha bisogno di un ulteriore livello di protezione può attivare le chiavi CMEK e utilizzare le proprie chiavi di crittografia archiviate in Cloud Key Management Service per proteggere i secret archiviati in Secret Manager. Per informazioni dettagliate su come utilizzare le chiavi di crittografia gestite dal cliente, consulta Aggiungere la crittografia CMEK ai segreti regionali.