Secret Manager es un servicio de administración de credenciales y secretos que te permite almacenar y administrar datos sensibles, como claves de API, nombres de usuario, contraseñas, certificados y mucho más.
Un secreto es un recurso global que contiene una colección de metadatos y versiones del secreto. Los metadatos pueden incluir ubicaciones de replicación, etiquetas, anotaciones y permisos.
Una versión del secreto almacena los datos reales del secreto, como claves de API, contraseñas o certificados. Cada versión se identifica con un ID o una marca de tiempo únicos. Las versiones proporcionan un registro de auditoría que te permite hacer un seguimiento de cómo cambió un secreto con el tiempo.
Con Secret Manager, puedes hacer lo siguiente:
-
Administra la reversión, la recuperación y la auditoría con versiones: Las versiones te ayudan a administrar lanzamientos graduales y reversiones de emergencia. Si un secreto se cambia o se ve comprometido accidentalmente, puedes revertir a una versión anterior que se sepa que es correcta. Esto minimiza el posible tiempo de inactividad y las vulneraciones de seguridad. El control de versiones mantiene un registro histórico de los cambios realizados en un secreto, incluidos quién los realizó y cuándo. Te ayuda a auditar los datos secretos y hacer un seguimiento de los intentos de acceso no autorizados. Puedes fijar versiones de secretos a cargas de trabajo específicas y agregar alias para acceder más fácilmente a los datos de los secretos. También puedes inhabilitar o destruir versiones de secretos que no necesites.
-
Encripta tus datos secretos en tránsito y en reposo: Todos los secretos se encriptan de forma predeterminada, tanto en tránsito con TLS como en reposo con claves de encriptación AES de 256 bits. Para quienes requieren un control más detallado, pueden encriptar sus datos secretos con claves de encriptación administradas por el cliente (CMEK). Con CMEK, puedes generar claves de encriptación nuevas o importar las existentes para satisfacer tus requisitos específicos.
-
Administra el acceso a los secretos con roles y condiciones detallados de Identity and Access Management (IAM): Con los roles y permisos de IAM, puedes proporcionar acceso detallado a recursos específicos de Secret Manager. Puedes separar las responsabilidades para acceder, administrar, auditar y rotar los secretos.
-
Rota los secretos automáticamente para cumplir con tus requisitos de seguridad y cumplimiento: Rotar tus secretos protege contra el acceso no autorizado y las filtraciones de datos. Cambiar tus secretos con regularidad reduce el riesgo de que se vuelvan obsoletos o se olviden, y garantiza el cumplimiento de muchos marcos regulatorios que requieren la rotación periódica de credenciales sensibles.
-
Aplica la residencia de datos con secretos regionales: La residencia de datos exige que ciertos tipos de datos, que a menudo pertenecen a personas físicas o organizaciones específicas, se almacenen en una ubicación geográfica definida. Puedes crear secretos regionales y almacenar tus datos sensibles en una ubicación específica para satisfacer las leyes y reglamentaciones de soberanía de datos.
-
Administra los parámetros operativos de tus aplicaciones con Parameter Manager: Parameter Manager es una extensión del servicio de Secret Manager que puedes usar para almacenar y administrar la configuración de las aplicaciones, como cadenas de conexión de bases de datos, marcas de funciones, nombres de entornos, números de puerto para escuchar y parámetros de configuración de las funciones de las aplicaciones. También puedes hacer referencia a los secretos almacenados en Secret Manager dentro de la configuración de tus parámetros. Para usar Parameter Manager, debes habilitar la API de Parameter Manager y otorgarles a tus usuarios los roles de IAM requeridos.
- Obtén más información sobre la residencia de datos y los secretos regionales.
- Obtén más información para crear un secreto regional.
- Obtén más información para agregar una versión regional del secreto.
- Obtén más información para editar un secreto regional.
Diferencia entre la administración de secretos y la administración de claves
La administración de secretos y la administración de claves son componentes fundamentales de la seguridad de los datos, pero cumplen propósitos distintos y manejan diferentes tipos de información sensible. La elección entre la administración de secretos y la administración de claves depende de tus necesidades específicas. Si deseas almacenar y administrar datos confidenciales de forma segura, un sistema de administración de secretos es la herramienta adecuada. Si deseas administrar claves de encriptación y realizar operaciones criptográficas, un sistema de administración de claves es la mejor opción.
Puedes usar la siguiente tabla para comprender las diferencias clave entre Secret Manager y un sistema de administración de claves, como Cloud Key Management Service(Cloud KMS).
| Función | Secret Manager | Cloud KMS |
|---|---|---|
| Función principal | Almacenar, administrar y acceder a los secretos como BLOB binarios o cadenas de texto | Administrar claves criptográficas y usarlas para encriptar o desencriptar datos |
| Datos almacenados | Son los valores reales de los secretos. Con los permisos adecuados, puedes ver el contenido del secreto. | Claves criptográficas No puedes ver, extraer ni exportar los secretos criptográficos reales (los bits y bytes) que se usan para las operaciones de encriptación y desencriptación. |
| Encriptación | Encripta los secretos en reposo y en tránsito con Google-owned and managed keys o claves administradas por el cliente. | Proporciona capacidades de encriptación y desencriptación para otros servicios. |
| Casos de uso típicos | Almacenar información de configuración, como contraseñas de bases de datos, claves de API o certificados TLS que necesita una aplicación en el entorno de ejecución | Manejar grandes cargas de trabajo de encriptación, como encriptar filas en una base de datos o encriptar datos binarios, como imágenes y archivos También puedes usar Cloud KMS para realizar otras operaciones criptográficas, como la firma y la verificación. |
Encriptación de secretos
Secret Manager siempre encripta los datos de los secretos antes de que se almacenen en el disco. Para obtener más información sobre las Google Cloud opciones de encriptación, consulta Encriptación en reposo.
Secret Manager administra las claves de encriptación del lado del servidor en tu nombre con los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos cifrados, incluidos los estrictos controles de acceso a claves y auditorías. Secret Manager encripta los datos en reposo del usuario mediante AES-256. No se requiere configuración, no es necesario modificar la forma en que accedes al servicio y no se genera un impacto visible en el rendimiento. Tus datos secretos se desencriptan de forma automática y con transparencia cuando accedes a un usuario autorizado.
La API de Secret Manager siempre se comunica a través de una conexión HTTP(S) segura.
Quienes requieran una capa adicional de protección pueden habilitar las CMEK y usar sus propias claves de encriptación almacenadas en Cloud Key Management Service para proteger los secretos almacenados en Secret Manager. Consulta Cómo agregar encriptación con CMEK a secretos regionales para obtener detalles sobre cómo usar claves de encriptación administradas por el cliente.