Datastream se integra en Secret Manager para permitirte almacenar recursos de autenticación de forma segura, como las contraseñas de la base de datos de origen. En lugar de usar una contraseña de texto sin formato cuando crees un perfil de conexión, crea y usa un secreto.
Qué son los secretos
Los secretos son recursos globales que contienen metadatos, como etiquetas, anotaciones y permisos.
Los Secrets también tienen versiones secretas. Las versiones secretas almacenan los datos reales del recurso secreto, como claves de API, contraseñas o certificados. Cada versión tiene un identificador único o una marca de tiempo.
Diferencias entre los secretos y las claves de encriptación
La administración de secretos es tan importante como la administración de claves de encriptación. Sin embargo, se enfoca en un área diferente de la seguridad de los datos. Puedes usar uno o el otro, según tus casos de uso y los tipos de información sensible que almacenes.
Por lo general, seleccionas secretos para almacenar y administrar de forma segura tus datos sensibles como BLOB binarios o cadenas de texto. Los Secrets almacenan los datos reales, pero para acceder a ellos, necesitas permisos específicos que se definen en los metadatos de los Secrets.
Por otro lado, las claves de encriptación son una mejor opción si necesitas encriptar o desencriptar datos. No puedes ver ni extraer los datos criptográficos reales que se usan para la encriptación. Por lo general, los sistemas de administración de claves, como Cloud Key Management Service, se usan para administrar situaciones más exigentes, por ejemplo, encriptar filas en una base de datos o imágenes y archivos.
Si necesitas una capa adicional de protección para tus datos, puedes habilitar las claves de encriptación administradas por el cliente (CMEK) y usar tus propias claves de encriptación almacenadas en Cloud Key Management Service para proteger los secretos en Secret Manager. Para obtener más información sobre cómo usar CMEK con Datastream, consulta Usa claves de encriptación administradas por el cliente (CMEK).
Usa Secret Manager con Datastream
Para almacenar tus datos sensibles y usarlos con Datastream, debes crear un secreto con Secret Manager. Para obtener más información, consulta Crea un secreto.
También puedes crear un secreto cuando defines los detalles de conexión para tu perfil de conexión. Para obtener información detallada, consulta Cómo crear perfiles de conexión.
Roles obligatorios
Para obtener los permisos que necesitas para usar Secret Manager con Datastream, pídele a tu administrador que te otorgue el rol de IAM de Descriptor de acceso a secretos de Secret Manager (roles/secretmanager.secretAccessor) en la cuenta de servicio de Datastream.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.