Secret Managerとは
API キー・パスワード・証明書などの機密情報をバージョン管理しながら安全に保管するサービス。アプリケーションコードや環境変数にシークレットをハードコードせず、実行時に API で取得できる。
シークレットにはバージョンが付き、新しいバージョンを追加しても古いバージョンにアクセスでき、ロールバックが容易。IAM で誰がどのシークレットを読めるか細かく制御できる。
Cloud Run・Cloud Functions・GKE などから直接マウント(ボリュームやマウント)またはランタイムで取得するパターンが一般的。Pub/Sub 通知でシークレット変更イベントをトリガーにもできる。
試験での問われ方
Cloud KMS との違いを明確にする。Secret Manager はシークレット(値そのもの)を保管するサービスで、Cloud KMS は暗号鍵を管理するサービス。両者は組み合わせて使う(Secret Manager のシークレットを CMEK で暗号化するなど)。
ACE では環境変数でシークレットを渡す設計の問題点(ログに漏れる・プロセスから参照可能)と、Secret Manager を使うメリット(バージョン管理・アクセスログ・自動ローテーション)が問われる。
このサービスが登場する演習問題(2問)
- 【CDL】ある企業が、Google Cloudで「Secret Manager」を利用することを検討しています。Secret Ma…
- 【ACE】Cloud Functions でサードパーティ API のキーを安全に使用したいと考えています。最も安全な方法はどれで…