В чем разница между KMS и секретным менеджером в GCP?

Cloud KMS шифрует данные и возвращает зашифрованный зашифрованный текст. Cloud KMS не хранит секреты, только ключи для шифрования / дешифрования.

Секретный менеджер фактически хранит секретный материал. Secret Manager также хранит историю (версии) секретного материала. В настоящее время Secret Manager шифрует данные с помощью ключа, управляемого Google. В будущем пользователи смогут шифровать данные с помощью собственных ключей.

Cloud KMS спроектирован как криптографическая система оракулов: никто, включая вас, не может получить ключи: это означает, что они заблокированы внутри системы, и вам не нужно на практике беспокоиться об их утечке. Компромисс заключается в том, что единственное, что вы можете сделать с этими ключами, - это шифрование, дешифрование и другие криптографические операции: полезно для защиты данных или даже для шифрования секретов, но если у вас есть пароль базы данных или что-то еще, что вы хотите сохранить в секрете, но затем вы сможете использовать или отправить куда-нибудь еще, вам необходимо сохранить зашифрованную версию, а затем использовать Cloud KMS для ее расшифровки.

Если у вас есть информация о конфигурации, такая как пароль базы данных, где вашему программному обеспечению действительно нужен секрет, а не криптографические операции, тогда Secret Manager предназначен для этого варианта использования. Компромисс заключается в том, что, если вы получите копию секрета, будет труднее предотвратить ее утечку и быть уверенным, что она находится под контролем.

Спасибо за использование GCP!