Google现在推出云计算机密管理服务Secret Manager,让用户可以在Google云计算管理、审核和访问API密钥、密码、凭证和其他机密数据,Secret Manager向Google云计算用户,提供一个机密数据的单一事实来源。
许多应用程序需要凭证才能连接数据库,也需要API密钥来调用服务,身份验证则要使用凭证,Google提到,各类型机密数据不只可见性差,也缺乏集成,因此机密数据的管理和保护工作,通常复杂难以进行。
而Secret Manager可让用户跨Google云计算管理这些机密数据,其具有全局命名和复制的特性,克服机密管理工具区域化的问题,Google表示,像是API密钥或是认证之类的凭证,通常在各云计算地区没有太大差异,因此项目中的机密命名是全局的,即便如此,机密数据的存储却是局部的,部分企业想要完全控制机密存储的地区,而Secret Manager中的复制政策则能满足企业这类需求。
Secret Manager有自动与用户管理两种复制政策,自动复制是最简单的复制政策,Google系统会自动选择机密数据存储复制的地区,此外,Secret Manager也可将机密数据,复制到用户提供的位置,用户不需要安装其他应用程序或是服务,系统会自动复制数据到指定地区。
Google也在Secret Manager加入版本控制功能,支持渐进推出、紧急退回以及审核等功能,Secret Manager会自动控制用户的机密数据版本,Google提到,生产部署应该使用特定的机密版本,更新机密数据,应该被当作部署新版本应用程序一样处理,而在快速迭代的测试环境与开发环境,则可以使用最新的Secret Manager别名,以取用最新版本的机密。
用户可以对Secret Manager激活审核日志记录功能,Secret Manager每次交互都会产生一个审核项目,用户可以将这些日志导入异常侦测系统中,在出现异常状况时,向用户发出警示。原本在Google云计算上管理机密的开源项目Berglas,仍可以继续使用,但用户也可以将机密,从Berglas进行一次性转移到Secret Manager。