Secret Manager
API キー、パスワード、証明書、センシティブ データを保存
Secret Manager は、API キー、パスワード、証明書、その他のセンシティブ データを保存するための安全で便利なストレージ システムです。
最初の 6 つのシークレット バージョンは無料です。新規のお客様には、Secret Manager で使用できる無料クレジット $300 分を差し上げます。
機能
最小権限の実装が容易
Secret Manager の Cloud IAM 役割を使用して、最小権限の原則に容易に従うことができます。シークレットへのアクセス許可を個別に付与し、シークレットを管理する機能をシークレットのデータにアクセスする機能から切り離すことができます。
ライフサイクル管理が簡単になる
Secret Manager には、優れたバージョニングと、リクエストを最新バージョンのシークレットに固定する機能があり、ライフサイクル管理が簡単になります。Cloud Functions を使用してローテーションを自動化できます。
組み込みの強力な監査
Cloud Audit Logs と統合されているため、Secret Manager とのやり取りはすべて監査ログに記録されます。この統合により、監査要件とコンプライアンス要件を簡単に満たすことができます。
レプリケーション ポリシー
シークレットの名前はプロジェクトのグローバル リソースですが、シークレットのデータはリージョンに保存されます。シークレットの保存先リージョンは、お客様が特定のリージョンを選択することも、自動的に決定することもできます。どちらの場合も、シークレット データのレプリケーションは自動的に処理されます。
優れたバージョニング
シークレットのデータは不変であり、ほとんどの操作はシークレットのバージョンに対して行われます。Secret Manager では、シークレットを「42」のような特定のバージョン、または「latest」のような変動的なエイリアスに固定できます。
Cloud IAM との統合
シークレットへのアクセスは、他の Google Cloud リソースと同じように制御できます。Secret Manager のシークレットにアクセスする権限を持つのはプロジェクト オーナーだけです。その他のロールには、Cloud IAM によって明示的にアクセス許可を付与する必要があります。
監査ロギング
Cloud Audit Logs が有効になっている場合、Secret Manager とのやり取りはすべて監査ログに記録されます。これらのログを異常検出システムに取り込んで、異常なアクセス パターンを識別し、セキュリティ侵害の可能性が検出されたときにアラートを発生させることができます。
デフォルトで暗号化
転送データは TLS で暗号化され、保存データは AES 256 ビット暗号鍵で暗号化されます。
VPC Service Controls のサポート
VPC Service Controls により、ハイブリッド環境からSecret Manager へのコンテキストアウェア アクセスが可能となります。
パワフルで拡張可能
Secret Manager は API ファーストで設計されており、拡張や既存システムへの統合が簡単です。HashiCorp Terraform や GitHub Actions といった人気のあるサードパーティ技術にも統合できます。
仕組み
Secret Manager を使用すると、シークレットをバイナリ blob またはテキスト文字列として保存、管理、アクセスできます。Secret Manager は、実行時にアプリケーションが必要とする構成情報(データベース パスワード、API キー、TLS 証明書など)を保存するのに便利です。
Secret Manager を使用すると、シークレットをバイナリ blob またはテキスト文字列として保存、管理、アクセスできます。Secret Manager は、実行時にアプリケーションが必要とする構成情報(データベース パスワード、API キー、TLS 証明書など)を保存するのに便利です。
一般的な使用例
シークレット管理
シークレットを作成する
シークレットを作成する
- Google Cloud コンソールの [Secret Manager] ページに移動します。
- [Secret Manager] ページで、[シークレットを作成] をクリックします。
- [シークレットの作成] ページの [名前] に、シークレットの名前を入力します(例: my-secret)。シークレット名には、大文字と小文字、数字、ハイフン、アンダースコアを使用できます。名前の最大長は 255 文字です。
- 省略可: 最初のシークレットの作成時にシークレット バージョンも追加するには、[シークレットの値] フィールドにシークレットの値を入力します(例: abcd1234)。シークレットの値は任意の形式にできますが、64 KiB 以下にする必要があります。[ファイルをアップロード] オプションを使用して、シークレット値を含むテキスト ファイルをアップロードすることもできます。
- [シークレットを作成] ボタンをクリックします。
チュートリアル、クイックスタート、ラボ
シークレットを作成する
シークレットを作成する
- Google Cloud コンソールの [Secret Manager] ページに移動します。
- [Secret Manager] ページで、[シークレットを作成] をクリックします。
- [シークレットの作成] ページの [名前] に、シークレットの名前を入力します(例: my-secret)。シークレット名には、大文字と小文字、数字、ハイフン、アンダースコアを使用できます。名前の最大長は 255 文字です。
- 省略可: 最初のシークレットの作成時にシークレット バージョンも追加するには、[シークレットの値] フィールドにシークレットの値を入力します(例: abcd1234)。シークレットの値は任意の形式にできますが、64 KiB 以下にする必要があります。[ファイルをアップロード] オプションを使用して、シークレット値を含むテキスト ファイルをアップロードすることもできます。
- [シークレットを作成] ボタンをクリックします。
料金
| Secret Manager の料金の仕組み | Secret Manager を使用すると、オペレーションとアクティブなシークレット バージョンに対して料金が発生します。 | |
|---|---|---|
| サービス | 説明 | 料金 |
利用開始(無料) | 新規ユーザー様には、90 日以内にご利用いただける $300 分の無料トライアルのクレジットを差し上げます。 | 無料 |
すべてのお客様には、センシティブ データを分析および保存するために 6 つのシークレット バージョンが提供されます。 | 無料 | |
Secret のバージョン | 有効 | ロケーションごとに 1 バージョンあたり $0.06 |
破棄 | 無料 | |
運用 | アクセス オペレーション | 10,000 オペレーションあたり $0.03 |
管理オペレーション | 無料 | |
通知 | ローテーションの通知 | ローテーションあたり $0.05 Secret Manager では、Pub/Sub トピックに送信された SECRET_ROTATE メッセージごとに課金されます。 |
Secret Manager の料金の詳細をご確認ください。
Secret Manager の料金の仕組み
Secret Manager を使用すると、オペレーションとアクティブなシークレット バージョンに対して料金が発生します。
すべてのお客様には、センシティブ データを分析および保存するために 6 つのシークレット バージョンが提供されます。
無料
Secret のバージョン
有効
ロケーションごとに 1 バージョンあたり $0.06
破棄
無料
運用
アクセス オペレーション
10,000 オペレーションあたり $0.03
管理オペレーション
無料
通知
ローテーションの通知
ローテーションあたり $0.05
Secret Manager では、Pub/Sub トピックに送信された SECRET_ROTATE メッセージごとに課金されます。
Secret Manager の料金の詳細をご確認ください。
