O Secret Manager é um serviço de gerenciamento de secrets e credenciais que permite armazenar e gerenciar dados sensíveis, como chaves de API, nomes de usuário, senhas certificados e muito mais.
Um secret é um recurso global que contém uma coleção de metadados e versões de secrets. Os metadados podem incluir locais de replicação, rótulos, anotações e permissões.
Uma versão do secret armazena os dados reais do secret, como chaves de API, senhas ou certificados. Cada versão é identificada por um ID ou carimbo de data/hora exclusivo. As versões fornecem uma trilha de auditoria, permitindo que você rastreie as mudanças de um secret ao longo do tempo.
Com o Secret Manager, é possível fazer o seguinte:
-
Gerenciar reversão, recuperação e auditoria usando versões: as versões ajudam a gerenciar lançamentos graduais e reversão de emergência. Se um segredo for alterado acidentalmente ou comprometido, você poderá reverter para uma versão anterior conhecida como boa. Isso minimiza possíveis períodos de inatividade e violações de segurança. A versão mantém um registro histórico das mudanças feitas em um segredo, incluindo quem fez as mudanças e quando. Ele ajuda você auditar os dados do secret e rastrear tentativas de acesso não autorizado. É possível fixar versões secretas em cargas de trabalho específicas e adicionar apelidos para facilitar o acesso a dados secretos. Também é possível desativar ou destruir as versões de segredos que você não precisa.
-
Criptografar dados confidenciais em trânsito e em repouso: todas as informações confidenciais são criptografadas por padrão, tanto em trânsito usando TLS quanto em repouso com chaves de criptografia AES-256 bits. Para aqueles que exigem um controle mais granular, é possível criptografar os dados do secret com contas gerenciadas pelo cliente de criptografia de dados (CMEK, na sigla em inglês). Com a CMEK, é possível gerar novas chaves de criptografia ou importar as atuais para atender aos seus requisitos específicos.
-
Gerencie o acesso aos secrets usando condições e papéis detalhados do Identity and Access Management (IAM): Com os papéis e permissões do IAM, você pode fornecem acesso granular a recursos específicos do Secret Manager. É possível separar responsabilidades de acessar, gerenciar, auditar e fazer a rotação de secrets.
-
Alterne os secrets automaticamente para atender aos requisitos de segurança e compliance: Como fazer a rotação de secrets contra acesso não autorizado e violações de dados. Mudar os secrets regularmente reduz o risco de segredos obsoletos ou esquecidos e garante a conformidade com muitas estruturas regulatórias que exigem a rotação periódica de credenciais sensíveis.
-
Aplicar a residência de dados usando secrets regionais: Residência dos dados exige que certos tipos de dados, muitas vezes pertencentes a indivíduos ou em um local geográfico definido. Você pode criar segredos regionais e armazenar seus dados confidenciais em um local específico para obedecer às leis e regulamentações de soberania de dados.
- Saiba mais sobre residência de dados e segredos regionais.
- Saiba como criar um secret regional.
- Saiba como adicionar uma versão do secret regional.
- Saiba como editar um secret regional.
Diferença entre o gerenciamento de secrets e o gerenciamento de chaves
O gerenciamento de secrets e o gerenciamento de chaves são componentes críticos da segurança de dados, mas têm finalidades distintas e lidam com diferentes tipos de informações sensíveis. A escolha entre o gerenciamento de secrets e o gerenciamento de chaves depende das suas necessidades específicas. Para armazenar e gerenciar dados confidenciais com segurança, um sistema de gerenciamento de secrets é a ferramenta certa. Se você quiser gerenciar chaves de criptografia e realizar operações criptográficas, um sistema de gerenciamento de chaves é a melhor escolha.
Use a tabela a seguir para entender as principais diferenças entre o Secret Manager e um sistema de gerenciamento de chaves, como Cloud Key Management Service(Cloud KMS):
| Recurso | Secret Manager | Cloud KMS |
|---|---|---|
| Função principal | Armazene, gerencie e acesse segredos como blobs binários ou strings de texto. | Gerenciar chaves criptográficas e usá-las para criptografar ou descriptografar dados. |
| Dados armazenados | Valores reais dos secrets. Com as permissões apropriadas, é possível visualizar o conteúdo do secret. | Chaves criptográficas. Não é possível visualizar, extrair ou exportar os segredos criptográficos (os bits e bytes) que são usados para operações de criptografia e descriptografia. |
| Encryption | Criptografa segredos em repouso e em trânsito usando chaves gerenciadas pelo Google ou pelo cliente. | Oferece recursos de criptografia e descriptografia para outros serviços. |
| Casos de uso típicos | Armazene informações de configuração, como senhas de bancos de dados, chaves de API ou Certificados TLS necessários para um aplicativo no momento da execução. | Processar grandes cargas de trabalho de criptografia, como a criptografia de linhas em um banco de dados ou de dados binários, como imagens e arquivos. Também é possível usar o Cloud KMS para executar outras operações criptográficas, como assinatura e verificação. |
Criptografia de secrets
O Secret Manager sempre criptografa os dados secretos antes de serem mantidos no disco. Para saber mais sobre as opções de criptografia do Google Cloud, consulte Criptografia em repouso.
As chaves de criptografia do servidor são gerenciadas pelo Secret Manager para você por meio dos mesmos sistemas de gerenciamento de chaves com aumento da proteção que usamos nos nossos dados criptografados. Isso inclui auditoria e controles estritos de acesso por chave. O Secret Manager criptografa os dados do usuário em repouso usando AES-256. Não é necessário realizar qualquer configuração ou estabelecer definições. Também não é necessário acessar o serviço de outra maneira e não há impacto visível no desempenho. Os dados do secret são descriptografados de maneira automática e transparente quando um usuário autorizado os acessa.
A API Secret Manager sempre se comunica por uma conexão HTTP(S) segura.
Aqueles que precisam de uma camada extra de proteção podem ativar a CMEK e usar as próprias de criptografia de chaves armazenadas no Cloud Key Management Service para proteger os secrets armazenados no com o Secret Manager. Consulte a Adicione a criptografia CMEK ao secrets regionais para detalhes sobre como usar chaves de criptografia gerenciadas pelo cliente.