Datastream 與 Secret Manager 整合,可讓您安全地儲存驗證資源,例如來源資料庫密碼。建立連線設定檔時,請建立並使用密鑰,而非使用純文字密碼。
什麼是密鑰
密鑰是全域資源,內含標籤、註解和權限等中繼資料。
密鑰也有密鑰版本。密鑰版本會儲存密鑰資源的實際資料,例如 API 金鑰、密碼或憑證。每個版本都有專屬 ID 或時間戳記。
密鑰與加密金鑰有何不同
管理 Secret 與管理加密金鑰同樣重要,但兩者著重的資料安全性領域不同。視用途和儲存的機密資訊類型而定,您可能會使用其中一種。
您通常會選取 Secret,以二進位 BLOB 或文字字串的形式安全地儲存及管理機密資料。Secret 會儲存實際資料,但如要存取,您需要 Secret 中繼資料定義的特定權限。
另一方面,如果您需要加密或解密資料,則加密金鑰是較好的選擇。您無法查看或擷取用於加密的實際加密資料。Cloud Key Management Service 等金鑰管理系統通常用於管理更嚴苛的情境,例如加密資料庫中的資料列,或是加密圖片和檔案。
如要為資料提供額外保護,您可以啟用客戶自行管理的加密金鑰 (CMEK),並使用儲存在 Cloud Key Management Service 中的自有加密金鑰,保護 Secret Manager 中的 Secret。如要進一步瞭解如何將 CMEK 與 Datastream 搭配使用,請參閱「使用客戶自行管理的加密金鑰 (CMEK)」。
搭配使用 Secret Manager 與 Datastream
如要儲存機密資料以供 Datastream 使用,您需要使用 Secret Manager 建立密鑰。詳情請參閱「建立密鑰」。
您也可以在定義連線設定檔的連線詳細資料時建立密鑰。詳情請參閱「建立連線設定檔」。
Google Cloud必要的角色
如要取得透過 Datastream 使用 Secret Manager 的權限,請要求系統管理員在 Datastream 服務帳戶中,授予您「Secret Manager 密鑰存取者」 (roles/secretmanager.secretAccessor) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。