GCP 中的 KMS 和秘密管理器有啥区别?
Posted
技术标签:
【中文标题】GCP 中的 KMS 和秘密管理器有啥区别?【英文标题】:What are the difference between the KMS and secret manager in GCP?GCP 中的 KMS 和秘密管理器有什么区别? 【发布时间】:2020-04-22 14:06:26 【问题描述】:我想知道您是否可以帮助我解决以下问题。 KMS 和 GCP 中的秘密管理器有什么区别?先感谢您。 https://cloud.google.com/secret-manager/docs/ 乙肝
【问题讨论】:
【参考方案1】:Cloud KMS 加密数据并返回加密后的密文。 Cloud KMS 不存储秘密,只存储要加密/解密的密钥。
Secret Manager实际上存储了秘密资料。 Secret Manager 还保留秘密材料的历史(版本)。 Secret Manager 中的所有数据均已加密。默认情况下,它使用 Google 管理的密钥进行加密。您实际上可以使用 Cloud KMS 来加密 Secret Manager 机密(这称为“CMEK”),在这种情况下,用户可以控制密钥。
【讨论】:
我想补充一点,它们解决了两个完全不同的问题。 Cloud KMS 是一种工具,允许用户生成、轮换、使用、销毁他们的密钥,然后可以轻松地与其他服务/应用程序(例如:GCS)一起使用。 Secret manager 是一种工具,可让您在应用程序之外存储机密信息 - 这对于系统的良好云优先设计非常重要。【参考方案2】:Cloud KMS 被设计成一个密码预言系统:没有人,包括你自己,可以取出密钥:这意味着它们被锁定在系统内部,你不必担心它们在实践中泄漏。权衡是,您可以对这些密钥做的唯一事情是加密、解密和其他加密操作:对于保护数据甚至加密机密很有用,但如果您有数据库密码或其他要保密的东西,但实际上可以使用或发送到其他地方,您必须存储加密版本,然后使用 Cloud KMS 解密。
如果您确实拥有数据库密码等配置信息,而您的软件实际上需要密码而不是加密操作,那么 Secret Manager 就是针对该用例而设计的。权衡的是,如果您获得了机密副本,则更难防止其泄露并确保其受到控制。
感谢您使用 GCP!
【讨论】:
以上是关于GCP 中的 KMS 和秘密管理器有啥区别?的主要内容,如果未能解决你的问题,请参考以下文章