GCP 中的 KMS 和秘密管理器有啥区别？

Posted 2023-02-16

【中文标题】GCP 中的 KMS 和秘密管理器有啥区别？

【英文标题】：What are the difference between the KMS and secret manager in GCP?GCP 中的 KMS 和秘密管理器有什么区别？

【发布时间】：2020-04-22 14:06:26

【问题描述】：

我想知道您是否可以帮助我解决以下问题。 KMS 和 GCP 中的秘密管理器有什么区别？先感谢您。 https://cloud.google.com/secret-manager/docs/ 乙肝

【参考方案1】：

Cloud KMS 加密数据并返回加密后的密文。 Cloud KMS 不存储秘密，只存储要加密/解密的密钥。

Secret Manager实际上存储了秘密资料。 Secret Manager 还保留秘密材料的历史（版本）。 Secret Manager 中的所有数据均已加密。默认情况下，它使用 Google 管理的密钥进行加密。您实际上可以使用 Cloud KMS 来加密 Secret Manager 机密（这称为“CMEK”），在这种情况下，用户可以控制密钥。

【讨论】：

我想补充一点，它们解决了两个完全不同的问题。 Cloud KMS 是一种工具，允许用户生成、轮换、使用、销毁他们的密钥，然后可以轻松地与其他服务/应用程序（例如：GCS）一起使用。 Secret manager 是一种工具，可让您在应用程序之外存储机密信息 - 这对于系统的良好云优先设计非常重要。

【参考方案2】：

Cloud KMS 被设计成一个密码预言系统：没有人，包括你自己，可以取出密钥：这意味着它们被锁定在系统内部，你不必担心它们在实践中泄漏。权衡是，您可以对这些密钥做的唯一事情是加密、解密和其他加密操作：对于保护数据甚至加密机密很有用，但如果您有数据库密码或其他要保密的东西，但实际上可以使用或发送到其他地方，您必须存储加密版本，然后使用 Cloud KMS 解密。

如果您确实拥有数据库密码等配置信息，而您的软件实际上需要密码而不是加密操作，那么 Secret Manager 就是针对该用例而设计的。权衡的是，如果您获得了机密副本，则更难防止其泄露并确保其受到控制。

感谢您使用 GCP！