29

我想知道您是否请帮助我解决以下问题。KMS 和 GCP 中的秘密管理器有什么区别?先感谢您。 https://cloud.google.com/secret-manager/docs/ HB

4

2 回答 2

35

Cloud KMS被设计为加密预言机系统:包括您自己在内的任何人都无法取出密钥:这意味着它们被锁定在系统内部,您在实践中不必担心它们会泄漏。权衡是,您可以对这些密钥做的唯一事情是加密、解密和其他加密操作:对于保护数据甚至加密机密很有用,但如果您有数据库密码或其他要保密的东西,但实际上可以使用或发送到其他地方,您必须存储加密版本,然后使用 Cloud KMS 解密它。

当您确实拥有数据库密码等配置信息时,您的软件实际上需要秘密,而不是加密操作,那么Secret Manager就是为该用例而设计的。权衡是,如果您获得了秘密的副本,就更难防止它泄露并确保它受到控制。

感谢您使用 GCP!

于 2020-01-06T00:39:39.163 回答
35

Cloud KMS对数据进行加密并返回加密的密文。Cloud KMS 不存储秘密,只存储要加密/解密的密钥。

Secret Manager实际上存储秘密材料。Secret Manager 还保留秘密材料的历史(版本)。Secret Manager 中的所有数据均已加密。默认情况下,它使用 Google 管理的密钥进行加密。您实际上可以使用 Cloud KMS 来加密 Secret Manager 机密(这称为“CMEK”),在这种情况下,用户控制密钥。

于 2020-01-04T08:01:22.510 回答