Secret Manager adalah layanan pengelolaan secret dan kredensial yang memungkinkan Anda menyimpan dan mengelola data sensitif seperti kunci API, nama pengguna, sandi, sertifikat, dan lainnya.
Secret adalah resource global yang berisi kumpulan metadata dan versi secret. Metadata dapat mencakup lokasi replikasi, label, anotasi, dan izin.
Versi rahasia menyimpan data rahasia yang sebenarnya, seperti kunci API, sandi, atau sertifikat. Setiap versi diidentifikasi dengan ID atau stempel waktu yang unik. Versi menyediakan jalur audit, sehingga Anda dapat melacak perubahan rahasia dari waktu ke waktu.
Dengan Secret Manager, Anda dapat melakukan hal berikut:
-
Mengelola rollback, pemulihan, dan audit menggunakan versi: Versi membantu Anda mengelola peluncuran bertahap dan rollback darurat. Jika rahasia tidak sengaja diubah atau disusupi, Anda dapat mengembalikan ke versi sebelumnya yang diketahui berfungsi dengan baik. Hal ini meminimalkan kemungkinan waktu istirahat dan pelanggaran keamanan. Pembuatan versi menyimpan catatan historis perubahan yang dilakukan pada secret, termasuk siapa yang melakukan perubahan dan kapan. Hal ini membantu Anda mengaudit data rahasia dan melacak upaya akses yang tidak sah. Anda dapat menyematkan versi secret ke workload tertentu dan menambahkan alias untuk akses yang lebih mudah ke data secret. Anda juga dapat menonaktifkan atau menghancurkan versi rahasia yang tidak Anda perlukan.
-
Enkripsi data rahasia Anda saat transit dan saat disimpan: Semua rahasia dienkripsi secara default, baik saat transit menggunakan TLS maupun saat disimpan dengan kunci enkripsi AES-256 bit. Bagi yang memerlukan kontrol yang lebih terperinci, Anda dapat mengenkripsi data rahasia dengan Kunci Enkripsi yang Dikelola Pelanggan (CMEK). Dengan CMEK, Anda dapat membuat kunci enkripsi baru atau mengimpor kunci yang sudah ada untuk memenuhi persyaratan spesifik Anda.
-
Mengelola akses ke rahasia menggunakan peran dan kondisi Identity and Access Management (IAM) yang terperinci: Dengan peran dan izin IAM, Anda dapat memberikan akses terperinci ke resource Secret Manager tertentu. Anda dapat memisahkan tanggung jawab untuk mengakses, mengelola, mengaudit, dan merotasi secret.
-
Ganti rahasia secara otomatis untuk memenuhi persyaratan keamanan dan kepatuhan Anda: Mengganti rahasia melindungi dari akses tidak sah dan kebocoran data. Mengubah secret secara rutin akan mengurangi risiko secret yang tidak berlaku atau terlupa dan memastikan kepatuhan terhadap banyak kerangka kerja peraturan yang mewajibkan rotasi berkala kredensial sensitif.
-
Menerapkan residensi data menggunakan secret regional: Residensi data mensyaratkan agar jenis data tertentu, yang sering kali dimiliki oleh individu atau organisasi tertentu, disimpan dalam lokasi geografis yang ditentukan. Anda dapat membuat secret regional dan menyimpan data sensitif Anda di lokasi tertentu untuk mematuhi hukum dan peraturan kedaulatan data.
-
Mengelola parameter operasional untuk aplikasi Anda menggunakan Parameter Manager: Parameter Manager adalah ekstensi untuk layanan Secret Manager yang dapat Anda gunakan untuk menyimpan dan mengelola konfigurasi aplikasi seperti string koneksi database, tanda fitur, nama lingkungan, nomor port yang akan didengarkan, dan setelan untuk fitur aplikasi. Anda juga dapat mereferensikan secret yang disimpan di Secret Manager dalam konfigurasi parameter Anda. Untuk menggunakan Parameter Manager, Anda harus mengaktifkan Parameter Manager API dan memberikan peran IAM yang diperlukan kepada pengguna Anda.
- Pelajari residensi data dan secret regional.
- Pelajari cara membuat secret regional.
- Pelajari cara menambahkan versi rahasia regional.
- Pelajari cara mengedit rahasia regional.
Perbedaan antara pengelolaan secret dan pengelolaan kunci
Pengelolaan secret dan pengelolaan kunci adalah komponen penting dalam keamanan data, tetapi keduanya memiliki tujuan yang berbeda dan menangani berbagai jenis informasi sensitif. Pilihan antara pengelolaan rahasia dan pengelolaan kunci bergantung pada kebutuhan spesifik Anda. Jika Anda ingin menyimpan dan mengelola data rahasia dengan aman, sistem pengelolaan secret adalah alat yang tepat. Jika Anda ingin mengelola kunci enkripsi dan melakukan operasi kriptografi, sistem pengelolaan kunci adalah pilihan yang lebih baik.
Anda dapat menggunakan tabel berikut untuk memahami perbedaan utama antara Secret Manager dan sistem pengelolaan kunci, seperti Cloud Key Management Service(Cloud KMS).
| Fitur | Secret Manager | Cloud KMS |
|---|---|---|
| Fungsi utama | Menyimpan, mengelola, dan mengakses secret sebagai blob biner atau string teks. | Mengelola kunci kriptografi dan menggunakannya untuk mengenkripsi atau mendekripsi data. |
| Data disimpan | Nilai rahasia sebenarnya. Dengan izin yang sesuai, Anda dapat melihat isi rahasia. | Kunci kriptografis. Anda tidak dapat melihat, mengekstrak, atau mengekspor secret kriptografi (bit dan byte) sebenarnya yang digunakan untuk operasi enkripsi dan dekripsi. |
| Enkripsi | Mengenkripsi secret dalam penyimpanan dan dalam pengiriman menggunakan Google-owned and managed keys atau kunci yang dikelola pelanggan. | Menyediakan kemampuan enkripsi dan dekripsi untuk layanan lain. |
| Kasus penggunaan umum | Simpan informasi konfigurasi seperti sandi database, kunci API, atau sertifikat TLS yang diperlukan oleh aplikasi saat runtime. | Menangani workload enkripsi besar, seperti mengenkripsi baris dalam database atau mengenkripsi data biner seperti gambar dan file. Anda juga dapat menggunakan Cloud KMS untuk melakukan operasi kriptografi lainnya seperti penandatanganan dan verifikasi. |
Enkripsi secret
Secret Manager selalu mengenkripsi data rahasia Anda sebelum disimpan ke disk. Untuk mempelajari lebih lanjut Google Cloud opsi enkripsi, lihat Enkripsi dalam penyimpanan.
Secret Manager mengelola kunci enkripsi sisi server untuk Anda menggunakan sistem pengelolaan kunci yang telah melalui proses hardening, yang kami gunakan untuk data terenkripsi milik kami, termasuk pengauditan dan kontrol akses kunci yang ketat. Secret Manager mengenkripsi data pengguna dalam penyimpanan menggunakan AES-256. Tidak diperlukan penyiapan atau konfigurasi, tidak perlu mengubah cara Anda mengakses layanan, dan tidak ada dampak performa yang terlihat. Data rahasia Anda didekripsi secara otomatis dan transparan saat diakses oleh pengguna yang diotorisasi.
Secret Manager API selalu berkomunikasi melalui koneksi HTTP(S) yang aman.
Pengguna yang memerlukan lapisan perlindungan tambahan dapat mengaktifkan CMEK dan menggunakan kunci enkripsi mereka sendiri yang disimpan di Cloud Key Management Service untuk melindungi rahasia yang disimpan di Secret Manager. Lihat Menambahkan enkripsi CMEK ke secret regional untuk mengetahui detail tentang cara menggunakan kunci enkripsi yang dikelola pelanggan.