Secret Manager 是一項密鑰和憑證管理服務,可讓您儲存及管理 API 金鑰、使用者名稱、密碼、憑證等機密資料。
密鑰是全域資源,內含中繼資料和密鑰版本集合。中繼資料可包含標籤、註解和權限。
密鑰版本會儲存實際的密鑰資料,例如 API 金鑰、密碼或憑證。每個版本都會以專屬 ID 或時間戳記識別。
您可以使用 Secret Manager 執行下列操作:
-
使用版本管理復原、還原和稽核作業:版本可協助您管理逐步推出作業和緊急復原作業。如果密鑰遭到意外變更或入侵,您可以還原至先前的已知良好版本。這樣做可將潛在的停機時間和安全漏洞降到最低。版本管理功能會保留密鑰的變更記錄,包括變更者和變更時間。有助於稽核機密資料,並追蹤任何未經授權的存取嘗試。您可以將密鑰版本固定至特定工作負載,並新增別名,方便存取密鑰資料。您也可以停用或刪除不需要的密鑰版本。
-
加密傳輸中和靜態的機密資料:所有密鑰預設都會加密,傳輸時使用 TLS,靜態時則使用 AES-256 位元加密金鑰。如要更精細地控管,可以使用客戶自行管理的加密金鑰 (CMEK) 加密密鑰資料。使用 CMEK,您可以產生新的加密金鑰或匯入現有金鑰,以滿足特定需求。
-
使用精細的身分與存取權管理 (IAM) 角色和條件,管理密鑰存取權: 透過 IAM 角色和權限, 您可以提供特定 Secret Manager 資源的精細存取權。您可以區分存取、管理、稽核及輪替密鑰的責任。
-
透過密鑰複製功能確保高可用性和災難復原能力:您可以跨多個區域複製密鑰,確保應用程式的高可用性和災難復原能力,不受地理位置影響。您可以選擇下列複製政策:
-
自動輪替密鑰,滿足安全性與法規遵循需求: 輪替密鑰 可防範未經授權的存取行為和資料外洩。定期變更密鑰可降低密鑰過時或遭遺忘的風險,並確保符合許多法規架構的要求,這些架構規定必須定期輪替私密憑證。
-
使用區域密鑰強制執行資料落地權: 資料落地權 規定特定類型的資料 (通常屬於特定個人或機構) 必須儲存在定義的地理位置。您可以建立區域密鑰,並將機密資料存放在特定位置,以遵守資料主權法律和法規。
-
使用參數管理工具管理應用程式的運作參數:參數管理工具是 Secret Manager 服務的擴充功能,可用來儲存及管理應用程式設定,例如資料庫連線字串、功能旗標、環境名稱、要接聽的連接埠號碼,以及應用程式功能的設定。您也可以在參數設定中參照 Secret Manager 儲存的密鑰。如要使用 Parameter Manager,您必須啟用 Parameter Manager API,並授予使用者必要 IAM 角色。
機密管理和金鑰管理之間的差異
密鑰管理和金鑰管理都是資料安全性的重要環節,但兩者用途不同,處理的機密資訊類型也不一樣。要選擇密鑰管理或金鑰管理,取決於您的具體需求。如要安全地儲存及管理機密資料,密鑰管理系統是合適的工具。如要管理加密金鑰及執行密碼編譯作業,建議使用金鑰管理系統。
下表說明 Secret Manager 與金鑰管理系統 (例如 Cloud Key Management Service (Cloud KMS)) 的主要差異。
| 功能 | Secret Manager | Cloud KMS |
|---|---|---|
| 主要功能 | 以二進位 blob 或文字字串的形式儲存、管理及存取密鑰。 | 管理加密編譯金鑰,並使用這些金鑰加密或解密資料。 |
| 已儲存的資料 | 實際密鑰值。只要具備適當權限,就能查看密鑰內容。 | 加密編譯金鑰。您無法查看、擷取或匯出用於加密和解密作業的實際加密密碼 (位元和位元組)。 |
| 加密 | 使用 Google-owned and managed keys 或客戶自行管理的金鑰,加密靜態和傳輸中的密鑰。 | 為其他服務提供加密和解密功能。 |
| 典型應用實例 | 儲存設定資訊,例如資料庫密碼、API 金鑰或應用程式在執行階段所需的 TLS 憑證。 | 處理大量加密工作負載,例如加密資料庫中的資料列,或加密圖片和檔案等二進位資料。您也可以使用 Cloud KMS 執行其他加密編譯作業,例如簽署和驗證。 |
密鑰加密
Secret Manager 一律會先將密鑰資料加密,再保存至磁碟。如要進一步瞭解 Google Cloud 加密選項,請參閱「靜態加密」。
Secret Manager 會代表您管理伺服器端加密金鑰,管理的方式與我們加密資料時使用的強化金鑰管理系統一致,包括嚴格的金鑰存取權控管與稽核措施。Secret Manager 會使用 AES-256 加密靜態使用者資料。您不需做額外的安裝或設定,無須調整您存取服務的方式,也不會對效能造成任何明顯的影響。授權使用者存取密鑰資料時,系統會自動透明地解密資料。
Secret Manager API 一律會透過安全的 HTTP(S) 連線進行通訊。
如需額外保護,可以啟用 CMEK,並使用儲存在 Cloud Key Management Service 中的自有加密金鑰,保護儲存在 Secret Manager 中的密鑰。如要瞭解如何設定及使用客戶管理的加密金鑰,請參閱 CMEK 說明文件。