我想知道您是否能帮助我解决以下问题。 KMS和GCP中的秘密管理员之间有什么区别?先感谢您。 https://cloud.google.com/secret-manager/docs/ 乙肝
答案 0 :(得分:16)
Cloud KMS加密数据并返回加密的密文。 Cloud KMS不存储机密,仅存储要加密/解密的密钥。
Secret Manager实际上存储秘密材料。机密管理员还保留机密资料的历史记录(版本)。目前,Secret Manager使用Google管理的密钥对数据进行加密。将来,用户将能够使用自己的密钥对数据进行加密。
答案 1 :(得分:12)
Cloud KMS被设计为加密的oracle系统:包括您自己在内的任何人都无法拿出密钥:这意味着它们被锁定在系统内部,实践中您不必担心它们会泄漏。权衡是,您只能使用这些密钥来进行加密,解密和其他加密操作:对于保护数据甚至加密机密非常有用,但是如果您有数据库密码或其他想要保密的内容,但实际上要能够使用或发送到其他地方,您必须存储加密的版本,然后使用Cloud KMS对其进行解密。
当您确实拥有诸如数据库密码之类的配置信息时,您的软件实际上需要秘密而不是密码操作,那么Secret Manager就适合该用例。折衷方案是,如果您获得了机密副本,则很难防止其泄漏并确定其受到控制。
感谢您使用GCP!