Google Cloud 宣布 Secret Manager 的新功能“延迟销毁”全面上市,这是一种保护您的密钥的新方法。此项新功能有助于确保密钥材料不会被错误地删除,无论是意外删除还是作为故意恶意攻击的一部分。
客户在 Secret Manager 中管理密钥材料生命周期时面临的一项挑战是,销毁密钥版本是不可逆的步骤。这意味着如果密钥材料被销毁,则无法恢复。
为了应对这一挑战,Google Cloud 推出了延迟销毁功能。使用延迟销毁功能时,密钥版本会保持禁用状态 N 天,之后才会被销毁。管理员可以使用 TTL_DURATION 字段配置此期限。在此归档期间,管理员可以选择通过重新启用密钥版本并将其移至启用状态来恢复它。延迟期限到期后,密钥版本将被永久销毁。
此外,Google Cloud 还添加了一个名为 SECRET_VERSION_DESTROY_SCHEDULED 的新的可选 Pub/Sub 通知。启用后,任何预定的销毁操作都会通知相应的 Pub/Sub 主题,从而允许待命人员分析更改并在必要时恢复密钥版本,而不是任其被销毁。
延迟销毁功能是 Secret Manager 的一项宝贵补充。它使客户能够更好地控制其密钥材料的生命周期,并有助于确保重要的密钥不会被意外或恶意删除。
我对 Pub/Sub 通知功能尤其感到兴奋。这将使团队能够更清楚地了解销毁密钥版本的企图,从而使他们能够采取适当的措施来保护其数据。
我建议使用 Secret Manager 的组织为其所有重要密钥启用延迟销毁功能。这将有助于改善其安全状况并保护其数据免遭意外删除。
