Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית של Secret Manager

‫Secret Manager הוא שירות לניהול סודות ופרטי כניסה שמאפשר לכם לאחסן ולנהל נתונים רגישים כמו מפתחות API, שמות משתמש, סיסמאות, אישורים ועוד.

סוד הוא משאב גלובלי שמכיל אוסף של מטא-נתונים וגרסאות סוד. המטא-נתונים יכולים לכלול תוויות, הערות והרשאות.

גרסת סוד מאחסנת את נתוני הסוד בפועל, כמו מפתחות API, סיסמאות או אישורים. כל גרסה מזוהה באמצעות מזהה ייחודי או חותמת זמן.

באמצעות Secret Manager, אפשר לבצע את הפעולות הבאות:

ניהול חזרה לגרסה קודמת, שחזור וביקורת באמצעות גרסאות: גרסאות עוזרות לכם לנהל השקות הדרגתיות וחזרה לגרסה קודמת במקרה חירום. אם סוד משתנה בטעות או נפרץ, אתם יכולים לחזור לגרסה קודמת שאתם יודעים שהיא טובה. כך מצמצמים את הסיכון להשבתה פוטנציאלית ולפרצות אבטחה. בניהול גרסאות נשמרת היסטוריה של השינויים שבוצעו בסוד, כולל מי ביצע את השינויים ומתי. הוא עוזר לכם לבדוק נתונים סודיים ולעקוב אחרי ניסיונות גישה לא מורשים. אתם יכולים להצמיד גרסאות של סודות לעומסי עבודה ספציפיים ולהוסיף כינויים כדי לגשת לנתוני הסודות בקלות רבה יותר. אפשר גם להשבית או להשמיד גרסאות של סודות שלא נדרשות.
הצפנה של נתונים סודיים בזמן ההעברה ובאחסון: כל הסודות מוצפנים כברירת מחדל, גם בזמן ההעברה באמצעות TLS וגם באחסון באמצעות מפתחות הצפנה של AES-256-bit. אם אתם צריכים שליטה פרטנית יותר, אתם יכולים להצפין את הנתונים הסודיים שלכם באמצעות מפתחות הצפנה בניהול הלקוח (CMEK). באמצעות CMEK, אתם יכולים ליצור מפתחות הצפנה חדשים או לייבא מפתחות קיימים כדי לעמוד בדרישות הספציפיות שלכם.
ניהול הגישה לסודות באמצעות תפקידים ותנאים מפורטים של ניהול זהויות והרשאות גישה (IAM): באמצעות תפקידים והרשאות ב-IAM, תוכלו לתת גישה מפורטת למשאבים ספציפיים ב-Secret Manager. אתם יכולים להפריד בין האחריות לגישה לסודות, לניהול שלהם, לביקורת ולרוטציה שלהם.
הבטחת זמינות גבוהה והתאוששות מאסון באמצעות שכפול סודות: אתם יכולים לשכפל את הסודות בכמה אזורים כדי להבטיח זמינות גבוהה והתאוששות מאסון באפליקציות שלכם, ללא קשר למיקום הגיאוגרפי שלהן. אפשר לבחור מבין מדיניות השכפול הבאה:
- שכפול אוטומטי: Google Cloud המערכת מחליטה אילו אזורים לבחור בהתאם לזמינות ולזמן האחזור. החיוב מתבצע רק על מיקום אחד.
- שכפול בניהול המשתמש: אתם יכולים לבחור קבוצה מותאמת אישית של אזורים בהתאם לדרישות שלכם. החיוב הוא לפי מיקום.
החלפת סודות באופן אוטומטי כדי לעמוד בדרישות האבטחה והתאימות: החלפת סודות מגנה מפני גישה לא מורשית ופרצות אבטחה. שינוי סודות באופן קבוע מצמצם את הסיכון לסודות לא עדכניים או נשכחים, ומבטיח עמידה בדרישות של מסגרות רגולטוריות רבות שמחייבות רוטציה תקופתית של פרטי כניסה רגישים.
אכיפת מיקום הנתונים באמצעות סודות אזוריים: מיקום הנתונים מחייב אחסון של סוגים מסוימים של נתונים, שלרוב שייכים לאנשים או לארגונים ספציפיים, במיקום גיאוגרפי מוגדר. אתם יכולים ליצור סודות אזוריים ולאחסן את המידע האישי הרגיש שלכם במיקום ספציפי כדי לעמוד בדרישות של חוקים ותקנות בנושא ריבונות נתונים.
ניהול פרמטרים תפעוליים של האפליקציות באמצעות Parameter Manager: Parameter Manager הוא תוסף לשירות Secret Manager שמאפשר לאחסן ולנהל הגדרות של אפליקציות, כמו מחרוזות חיבור למסד נתונים, דגלי תכונות, שמות סביבות, מספרי יציאות להאזנה והגדרות של תכונות באפליקציה. אפשר גם להפנות לסודות שמאוחסנים ב-Secret Manager בהגדרות הפרמטרים. כדי להשתמש ב-Parameter Manager, צריך להפעיל את Parameter Manager API ולהקצות למשתמשים את התפקידים הנדרשים ב-IAM.

מה ההבדל בין ניהול סודות לבין ניהול מפתחות

ניהול סודות וניהול מפתחות הם שני רכיבים קריטיים באבטחת נתונים, אבל הם משרתים מטרות שונות ומטפלים בסוגים שונים של מידע רגיש. הבחירה בין ניהול סודות לבין ניהול מפתחות תלויה בצרכים הספציפיים שלכם. אם אתם רוצים לאחסן ולנהל נתונים סודיים בצורה מאובטחת, מערכת לניהול סודות היא הכלי המתאים. אם רוצים לנהל מפתחות הצפנה ולבצע פעולות הצפנה, עדיף להשתמש במערכת לניהול מפתחות.

בטבלה הבאה מפורטים ההבדלים העיקריים בין Secret Manager לבין מערכת לניהול מפתחות, כמו Cloud Key Management Service ‏(Cloud KMS).

תכונה	Secret Manager	Cloud KMS
פונקציה ראשית	אחסון, ניהול וגישה לסודות כ-blobs בינאריים או כמחרוזות טקסט.	ניהול מפתחות קריפטוגרפיים ושימוש בהם להצפנה או לפענוח של נתונים.
נתונים מאוחסנים	ערכי הסוד בפועל. אם יש לכם את ההרשאות המתאימות, אתם יכולים לראות את התוכן של הסוד.	מפתחות קריפטוגרפיים. אי אפשר לראות, לחלץ או לייצא את הסודות הקריפטוגרפיים בפועל (הביטים והבייטים) שמשמשים לפעולות הצפנה ופענוח.
הצפנה	הצפנה של סודות במצב מנוחה ובזמן ההעברה באמצעות Google-owned and managed keys או מפתחות בניהול הלקוח.	השירות מספק יכולות הצפנה ופענוח לשירותים אחרים.
תרחישים נפוצים לדוגמה	אחסון של פרטי הגדרה כמו סיסמאות למסדי נתונים, מפתחות API או אישורי TLS שנדרשים לאפליקציה בזמן הריצה.	טיפול בעומסי עבודה גדולים של הצפנה, כמו הצפנת שורות במסד נתונים או הצפנת נתונים בינאריים כמו תמונות וקבצים. אפשר גם להשתמש ב-Cloud KMS כדי לבצע פעולות קריפטוגרפיות אחרות, כמו חתימה ואימות.

הצפנה של סודות

ב-Secret Manager הנתונים הסודיים תמיד מוצפנים לפני שהם נשמרים בדיסק. מידע נוסף על אפשרויות ההצפנה זמין במאמר הצפנה במנוחה. Google Cloud

ב-Secret Manager, מפתחות ההצפנה בצד השרת מנוהלים בשמכם תוך שימוש באותן מערכות מוקשחות לניהול מפתחות שבהן אנחנו משתמשים לנתונים המוצפנים שלנו, כולל הביקורת ובקרות הגישה המחמירות למפתחות. ב-Secret Manager, הנתונים במנוחה מוצפנים באמצעות AES-256. אין צורך בהגדרה או בתצורה, אין צורך לשנות את אופן הגישה לשירות ואין השפעה ניכרת על הביצועים. הנתונים הסודיים מפוענחים באופן אוטומטי ושקוף כשמשתמש מורשה ניגש אליהם.

התקשורת עם Secret Manager API תמיד מתבצעת דרך חיבור HTTP(S) מאובטח.

מי שזקוק לשכבת הגנה נוספת יכול להפעיל CMEK ולהשתמש במפתחות הצפנה משלו שמאוחסנים ב-Cloud Key Management Service כדי להגן על הסודות שמאוחסנים ב-Secret Manager. במסמכי ה-CMEK מפורטות הוראות להגדרה ולשימוש במפתחות הצפנה בניהול הלקוח.

סקירה כללית של Secret Manager קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

מה ההבדל בין ניהול סודות לבין ניהול מפתחות

הצפנה של סודות

המאמרים הבאים

סקירה כללית של Secret Manager