有没有办法在 GCP 中存储机密，类似于 Azure 保险库？

Posted 2023-02-16

【中文标题】有没有办法在 GCP 中存储机密，类似于 Azure 保险库？

【英文标题】：Is there a way to store secrets in GCP, similar to Azure vault?

【发布时间】：2020-07-15 06:17:51

【问题描述】：

我一直在尝试找到一种在 GCP 中存储机密的方法。我探索了 Google Cloud KMS。它似乎仅用于创建加密密钥，可用于加密 GCP 存储元素。或者，也许我错过了什么。我也看到了，有一种方法可以整合 Hashicorp 保险库。但是，我一直在寻找 GCP 本身的解决方案，比如 Azure Vault。我的最终目标是在某个地方存储一个秘密并在云函数中使用它。

任何帮助将不胜感激。谢谢！

【参考方案1】：

Google Cloud 最近推出了Secret Manager，这正是您想要的。

Secret Manager 允许您以二进制 blob 或文本字符串的形式存储、管理和访问机密。有了适当的权限，您就可以查看密钥的内容。

正如您正确指出的那样，Cloud KMS 等密钥管理系统允许您管理加密密钥并使用它们来加密或解密数据。但是，您无法查看、提取或导出密钥材料本身。

【讨论】：

谢谢@LundinCast！我能够创造一个秘密。正在从 Cloud Function 访问它。坚持授予功能 secretAccessor 权限。让我们来看看。 :) 再次感谢！

cloud.google.com/secret-manager/docs/…

谢谢！我能够完成任务

【参考方案2】：

除了上面提到的 Secret Manager，您可能还想查看 HashiCorp Vault。 HV 是开源的，可让您在多云或混合环境中管理机密。在 Google 的 Secret Manager 正式发布之前，HV 是 recommended approach。