Google Cloud se dote d'un gestionnaire de secrets
Publié par Clément Bohic le | Mis à jour le
Google Cloud propose désormais un service de gestion des données sensibles de type mots de passe et certificats.
Mots de passe, certificats, clés d'API. Comment gérer ces données sensibles sur Google Cloud ?
Une option consiste à assembler plusieurs briques autour de l'outil open source Berglas.
Depuis quelques semaines, Google propose une alternative « tout-en-un » : Secret Manager.
Disponible en bêta, la solution se fonde sur deux concepts :
Ce sont ces « versions » qui contiennent la « charge utile ». On peut les activer, les désactiver et les supprimer ; pas les modifier.
Les « secrets » renferment quant à eux des métadonnées. Elles définissent entre autres les permissions d'accès et les politiques de réplication entre régions Google Cloud.
On accède aux secrets par le biais de la console Google Cloud ou par des API (REST, RPC).
Le principe du moindre privilège s'applique.
Par défaut, seuls les propriétaires de projets GCP peuvent accéder aux secrets. Les autres autorisations doivent être définies à travers le gestionnaires Cloud IAM. Trois rôles sont disponibles :
La jonction est faite avec plusieurs services Google Cloud :
Elle est également effective dans la dernière version (0.5.0) de Berglas.
Tarification annoncée : 0,03 $ pour 10 000 opérations et 0,06 $ par mois pour chaque instance régionale d'une version de secret active. L'API accepte une taille maximale de 64 Ko par secret.
Photo d'illustration via Shutterstock.com