Google释出云端机密管理服务可集中管理API金钥等各式凭证

Google现在推出云端机密管理服务Secret Manager，让使用者可以在Google云端管理、审核和存取API金钥、密码、凭证和其他机密资料，Secret Manager向Google云端使用者，提供一个机密资料的单一事实来源。

许多应用程式需要凭证才能连接资料库，也需要API金钥来呼叫服务，身份验证则要使用凭证，Google提到，各类型机密资料不只可见性差，也缺乏整合，因此机密资料的管理和保护工作，通常複杂难以进行。

而Secret Manager可让用户跨Google云端管理这些机密资料，其具有全域命名和複製的特性，克服机密管理工具区域化的问题，Google表示，像是API金钥或是认证之类的凭证，通常在各云端地区没有太大差异，因此专案中的机密命名是全域的，即便如此，机密资料的储存却是区域性的，部分企业想要完全控制机密储存的地区，而Secret Manager中的複製政策则能满足企业这类需求。

Secret Manager有自动与使用者管理两种複製政策，自动複製是最简单的複製政策，Google系统会自动选择机密资料储存複製的地区，此外，Secret Manager也可将机密资料，複製到使用者提供的位置，用户不需要安装其他应用程式或是服务，系统会自动複製资料到指定地区。

Google也在Secret Manager加入版本控制功能，支援渐进推出、紧急退回以及审核等功能，Secret Manager会自动控制用户的机密资料版本，Google提到，生产部署应该使用特定的机密版本，更新机密资料，应该被当作部署新版本应用程式一样处理，而在快速迭代的测试环境与开发环境，则可以使用最新的Secret Manager别名，以取用最新版本的机密。

用户可以对Secret Manager启用审核日誌纪录功能，Secret Manager每次互动都会产生一个审核项目，用户可以将这些日誌汇入异常侦测系统中，在出现异常状况时，向用户发出警示。原本在Google云端上管理机密的开源专案Berglas，仍可以继续使用，但用户也可以将机密，从Berglas进行一次性转移到Secret Manager。