我想知道你是否请帮我解决以下问题。 GCP 中的 KMS 和密钥管理器之间有什么区别?提前谢谢你。 https://cloud.google.com/secret-manager/docs/乙肝
云 KMS 加密数据并返回加密的密文。云 KMS 不存储密钥,只存储要加密/解密的密钥。
机密管理器实际上存储机密材料。机密管理器还保留机密材料的历史记录(版本(。机密管理器中的所有数据都已加密。默认情况下,它使用 Google 管理的密钥进行加密。您实际上可以使用云 KMS 加密密钥管理器机密(这称为"CMEK"(,在这种情况下,用户控制密钥。
Cloud KMS被设计为一个加密预言机系统:没有人,包括你自己,可以取出密钥:这意味着它们被锁定在系统内部,你不必担心它们在实践中泄漏。权衡是,您唯一可以使用这些密钥做的是加密,解密和其他加密操作:对于保护数据甚至加密机密很有用,但是如果您有数据库密码或其他想要保密的东西,但实际上可以使用或发送到其他地方,则必须存储加密版本, 然后使用云 KMS 对其进行解密。
如果你确实有数据库密码等配置信息,而你的软件实际上需要密钥,而不是加密操作,那么 Secret Manager 就是为该用例设计的。权衡是,如果你得到秘密的副本,就很难防止它泄露并确保它受到控制。
感谢您使用 GCP!