Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Secret Manager adalah layanan pengelolaan secret dan kredensial
yang memungkinkan Anda menyimpan dan mengelola data sensitif seperti kunci API, nama pengguna, sandi,
sertifikat, dan lainnya.
Secret
adalah resource global yang berisi kumpulan metadata dan versi secret. Metadata dapat mencakup
label, anotasi, dan izin.
Versi secret
menyimpan data secret yang sebenarnya, seperti kunci API, sandi, atau sertifikat. Setiap versi
diidentifikasi dengan ID atau stempel waktu yang unik.
Dengan menggunakan Secret Manager, Anda dapat melakukan hal berikut:
Mengelola rollback, pemulihan, dan audit menggunakan versi: Versi membantu Anda
mengelola peluncuran bertahap dan rollback darurat. Jika secret tidak sengaja diubah
atau disusupi, Anda dapat kembali ke versi sebelumnya yang diketahui baik. Hal ini meminimalkan
potensi periode nonaktif dan pelanggaran keamanan. Pembuatan versi mempertahankan catatan historis
perubahan yang dilakukan pada secret, termasuk siapa yang melakukan perubahan dan kapan. Hal ini membantu Anda
mengaudit data secret dan melacak setiap upaya akses yang tidak sah. Anda dapat menyematkan versi secret ke beban kerja tertentu dan menambahkan alias untuk memudahkan akses ke data secret. Anda juga dapat
menonaktifkan atau
menghancurkan versi secret
yang tidak diperlukan.
Mengenkripsi data rahasia Anda dalam pengiriman dan saat dalam penyimpanan: Semua secret
dienkripsi secara default, baik dalam pengiriman menggunakan TLS maupun saat dalam penyimpanan dengan kunci enkripsi
AES-256-bit. Untuk data yang memerlukan kontrol yang lebih terperinci, Anda dapat mengenkripsi data rahasia dengan Kunci Enkripsi yang Dikelola Pelanggan (CMEK). Dengan CMEK, Anda dapat membuat kunci enkripsi baru atau mengimpor kunci yang ada untuk memenuhi persyaratan khusus Anda.
Mengelola akses ke secret menggunakan peran dan kondisi Identity and Access Management (IAM) yang terperinci:
Dengan peran dan izin IAM,
Anda dapat memberikan akses terperinci
ke resource Secret Manager tertentu. Anda dapat memisahkan tanggung jawab untuk mengakses, mengelola, mengaudit, dan merotasi secret.
Memastikan ketersediaan tinggi dan pemulihan dari bencana dengan replikasi secret: Anda
dapat mereplikasi secret
di beberapa region untuk memastikan ketersediaan tinggi dan pemulihan dari bencana untuk aplikasi Anda,
terlepas dari lokasi geografisnya. Anda dapat memilih antara kebijakan replikasi berikut:
Replikasi otomatis: Google memutuskan
region dengan mempertimbangkan ketersediaan dan latensi. Anda hanya akan ditagih untuk satu lokasi.
Replikasi yang dikelola pengguna: Anda dapat memilih kumpulan region kustom bergantung pada persyaratan Anda. Anda akan dikenai biaya per lokasi.
Rotasi secret secara otomatis untuk memenuhi persyaratan keamanan dan kepatuhan Anda:
Memutar secret
melindungi dari akses tidak sah dan pelanggaran data. Mengubah secret secara berkala akan mengurangi risiko secret yang sudah tidak berlaku atau terlupakan dan memastikan kepatuhan terhadap banyak framework peraturan yang mewajibkan rotasi berkala kredensial sensitif.
Menerapkan residensi data menggunakan secret regional:
Residensi data
mewajibkan jenis data tertentu, yang sering kali milik individu atau
organisasi tertentu, disimpan dalam lokasi geografis yang ditentukan. Anda dapat membuat secret regional dan menyimpan data sensitif dalam lokasi tertentu untuk mematuhi hukum dan peraturan kedaulatan data.
Mengelola parameter operasional untuk aplikasi Anda menggunakan
Pengelola Parameter:
Pengelola Parameter
adalah ekstensi untuk layanan Secret Manager yang dapat Anda gunakan untuk menyimpan dan mengelola
konfigurasi aplikasi seperti string koneksi database, flag fitur, nama lingkungan,
nomor port untuk didengarkan, dan setelan untuk fitur aplikasi. Anda juga dapat
mereferensikan secret
yang disimpan di Secret Manager dalam konfigurasi parameter. Untuk menggunakan Pengelola Parameter,
Anda harus mengaktifkan Parameter Manager API dan memberikan
peran IAM yang diperlukan kepada pengguna.
Perbedaan antara pengelolaan secret dan pengelolaan kunci
Pengelolaan secret dan pengelolaan kunci adalah komponen penting dari keamanan data,
tetapi keduanya memiliki tujuan yang berbeda dan menangani berbagai jenis informasi sensitif.
Pilihan antara pengelolaan secret dan pengelolaan kunci bergantung pada kebutuhan spesifik Anda.
Jika Anda ingin menyimpan dan mengelola data rahasia dengan aman, sistem pengelolaan secret
adalah alat yang tepat. Jika Anda ingin mengelola kunci enkripsi dan melakukan operasi kriptografis,
sistem pengelolaan kunci adalah pilihan yang lebih baik.
Anda dapat menggunakan tabel berikut untuk memahami perbedaan utama antara Secret Manager dan sistem pengelolaan kunci, seperti Cloud Key Management Service(Cloud KMS).
Fitur
Secret Manager
Cloud KMS
Fungsi utama
Menyimpan, mengelola, dan mengakses secret sebagai blob biner atau string teks.
Mengelola kunci kriptografis dan menggunakannya untuk mengenkripsi atau mendekripsi data.
Data disimpan
Nilai secret yang sebenarnya. Dengan izin yang sesuai, Anda dapat melihat
konten secret.
Kunci kriptografis. Anda tidak dapat melihat, mengekstrak, atau mengekspor secret kriptografis
sebenarnya (bit dan byte) yang digunakan untuk operasi enkripsi dan
dekripsi.
Enkripsi
Mengenkripsi secret dalam penyimpanan dan dalam pengiriman menggunakan
Google-owned and managed keys atau kunci yang dikelola pelanggan.
Menyediakan kemampuan enkripsi dan dekripsi untuk layanan lain.
Kasus penggunaan umum
Menyimpan informasi konfigurasi seperti sandi database, kunci API, atau sertifikat TLS yang diperlukan oleh aplikasi saat runtime.
Menangani workload enkripsi yang besar, seperti mengenkripsi baris dalam database atau
mengenkripsi data biner seperti gambar dan file. Anda juga dapat menggunakan Cloud KMS untuk melakukan operasi kriptografis lainnya seperti penandatanganan dan verifikasi.
Enkripsi secret
Pengelola Secret selalu mengenkripsi data secret Anda sebelum dipertahankan
ke disk. Untuk mempelajari opsi enkripsi Google Cloud lebih lanjut, lihat
Enkripsi dalam penyimpanan.
Secret Manager mengelola kunci enkripsi sisi server untuk Anda menggunakan sistem pengelolaan kunci yang telah melalui proses hardening, yang kami gunakan untuk data terenkripsi milik kami, termasuk pengauditan dan kontrol akses kunci yang ketat. Secret Manager
mengenkripsi data pengguna dalam penyimpanan menggunakan AES-256. Tidak diperlukan penyiapan atau konfigurasi, tidak perlu mengubah cara Anda mengakses layanan, dan tidak ada dampak performa yang terlihat. Data rahasia Anda didekripsi secara otomatis dan transparan saat diakses oleh pengguna yang diberi otorisasi.
Secret Manager API selalu berkomunikasi melalui koneksi HTTP(S) yang aman.
Pengguna yang memerlukan lapisan perlindungan tambahan dapat mengaktifkan CMEK dan menggunakan kunci enkripsi mereka sendiri yang disimpan di Cloud Key Management Service untuk melindungi secret yang disimpan di Secret Manager. Lihat dokumentasi CMEK
untuk mengetahui detail tentang cara mengonfigurasi dan menggunakan kunci enkripsi yang dikelola pelanggan.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-08-18 UTC."],[],[],null,["# Secret Manager overview\n\nSecret Manager is a secrets and credential management service\nthat lets you store and manage sensitive data such as API keys, usernames, passwords,\ncertificates, and more.\n\nA [*secret*](/secret-manager/docs/creating-and-accessing-secrets)\nis a global resource that contains a collection of metadata and secret versions. The metadata can include\nlabels, annotations, and permissions.\n\nA [*secret version*](/secret-manager/docs/add-secret-version)\nstores the actual secret data, such as API keys, passwords, or certificates. Each version is\nidentified by a unique ID or timestamp.\n\nUsing Secret Manager, you can do the following:\n\n- **Manage rollback, recovery, and auditing using versions** : Versions help you\n manage gradual rollouts and emergency rollback, If a secret is accidentally changed\n or compromised, you can revert to a previous, known-good version. This minimizes\n potential downtime and security breaches. Versioning maintains a historical record\n of changes made to a secret, including who made the changes and when. It helps you\n audit secret data and track any unauthorized access attempts. You can pin secret\n versions to specific workloads and add\n [aliases](/secret-manager/docs/assign-alias-to-secret-version) for\n easier access to secret data. You can also\n [disable](/secret-manager/docs/disable-secret-version) or\n [destroy](/secret-manager/docs/destroy-secret-version) secret\n versions that you don't require.\n\n- **Encrypt your secret data in transit and at rest** : All secrets are\n encrypted by default, both in transit using TLS and at rest with AES-256-bit encryption\n keys. For those requiring more granular control, you can encrypt your secret data\n with [Customer-Managed\n Encryption Keys (CMEK)](/secret-manager/docs/cmek). Using CMEK, you can generate new encryption keys or import existing ones\n to meet your specific requirements.\n\n- **Manage access to secrets using fine-grained Identity and Access Management (IAM) roles and conditions** :\n With [IAM roles and permissions](/secret-manager/docs/access-control),\n you can [provide granular access](/secret-manager/docs/manage-access-to-secrets)\n to specific Secret Manager resources. You can segregate responsibilities for accessing,\n managing, auditing, and rotating secrets.\n\n- **Ensure high availability and disaster recovery with secret replication** : You\n can [replicate your secrets](/secret-manager/docs/choosing-replication)\n across multiple regions to ensure high availability and disaster recovery for your applications\n regardless of their geographic location. You can choose between the following replication policies:\n\n - [Automatic replication](/secret-manager/docs/choosing-replication#automatic): Google decides\n the regions considering availability and latency. You are only charged for one location.\n\n - [User managed replication](/secret-manager/docs/choosing-replication#user-managed): You can\n select a custom set of regions depending on your requirements. You are charged per location.\n\n- **Rotate secrets automatically to meet your security and compliance requirements** :\n [Rotating your secrets](/secret-manager/docs/rotation-recommendations)\n protects against unauthorized access and data breaches. Regularly changing your secrets reduces the risk\n of stale or forgotten secrets and ensures compliance with many regulatory frameworks\n that require periodic rotation of sensitive credentials.\n\n- **Enforce data residency using regional secrets** :\n [Data residency](/architecture/framework/security/meet-regulatory-compliance-and-privacy-needs#control_data_residency)\n requires that certain types of data, often belonging to specific individuals or\n organizations, be stored within a defined geographic location. You can create\n [regional secrets](/secret-manager/docs/create-regional-secrets)\n and store your sensitive data within a specific location to comply with data sovereignty laws\n and regulations.\n\n- **Manage operational parameters for your applications using\n Parameter Manager** :\n [Parameter Manager](/secret-manager/parameter-manager/docs/overview)\n is an extension to the Secret Manager service that you can use to store and manage\n application configurations such as database connection strings, feature flags, environment names,\n port numbers to listen on, and settings for application features. You can also\n [reference secrets](/secret-manager/parameter-manager/docs/reference-secrets-in-parameter)\n stored in Secret Manager within your parameter configurations. To use Parameter Manager,\n you must enable the Parameter Manager API and grant your users the\n [required IAM roles](/secret-manager/parameter-manager/docs/access-control).\n\nDifference between secrets management and key management\n--------------------------------------------------------\n\n- Secrets management and key management are both critical components of data security, but they serve distinct purposes and handle different types of sensitive information. The choice between secrets management and key management depends on your specific needs. If you want to securely store and manage confidential data, a secrets management system is the right tool. If you want to manage encryption keys and perform cryptographic operations, a key management system is the better choice.\n- You can use the following table to understand the key differences between Secret Manager and a key management system, such as [Cloud Key Management Service(Cloud KMS)](/kms/docs).\n\nEncryption of secrets\n---------------------\n\n- Secret Manager always encrypts your secret data before it is persisted to disk. To learn more about Google Cloud encryption options, refer to [Encryption at rest](/docs/security/encryption/default-encryption).\n- Secret Manager manages server-side encryption keys on your behalf using the same hardened key management systems that we use for our own encrypted data, including strict key access controls and auditing. Secret Manager encrypts user data at rest using AES-256. There is no setup or configuration required, no need to modify the way you access the service, and no visible performance impact. Your secret data is automatically and transparently decrypted when accessed by an authorized user.\n- The Secret Manager API always communicates over a secure HTTP(S) connection.\n- Those who require an extra layer of protection can enable CMEK and use their own encryption keys stored in Cloud Key Management Service to protect the secrets stored in Secret Manager. See the [CMEK documentation](/secret-manager/docs/cmek) for details on how to configure and use customer-managed encryption keys.\n\nWhat's next\n-----------\n\n - Learn how to [create a secret](/secret-manager/docs/creating-and-accessing-secrets).\n - Learn how to [add a secret version](/secret-manager/docs/add-secret-version).\n - Learn how to [edit a secret](/secret-manager/docs/edit-secrets).\n - Learn about [quotas and limitations](/secret-manager/quotas).\n - Learn about [best practices](/secret-manager/docs/best-practices)."]]
