Google Secret Manager - Может ли он использоваться для хранения имен пользователей и паролей пользователей API?

Question

Рассмотрим API, который получает HTTPS-запросы и использует основную аутентификацию HTTP c. Всякий раз, когда он получает запрос, приложение должно проверить, является ли комбинация имя пользователя / пароль в заголовке допустимой. Может быть тысячи пользователей, каждый со своими собственными ключами.

Мне интересно, подходит ли Google Secret Manager для этого случая использования. То есть:

• Я могу сохранить каждое имя пользователя / пароль API в Secret Manager, используя имя пользователя в качестве секретного идентификатора.
• Затем, когда приходит запрос, приложение будет: ( 1) найдите учетные данные для имени пользователя, присутствующего в заголовке авторизации, (2) сравните пароль заголовка с паролем, полученным из Secret Manager, (3) отклоните запрос в случае несоответствия.

Будет ли Google Secret Manager эффективным и целесообразным для описанного выше случая?

Answer 1

Это технически возможно, потому что количество секретов в проекте GCP не ограничено. Однако это может быстро стать дорогим. Каждый секрет составляет $ 0,06 / мес. Это означает, что каждый пользователь стоит вам $ 0,72 в год. Для пользователей 1M это $ 720k / год + эксплуатационные расходы API.

Также следует учитывать задержку. Вам нужно будет выполнить API-вызов Secret Manager в контексте запроса пользователя. Это может легко удвоить задержку туда и обратно. Архитектура, о которой вы думаете, верна, но Secret Manager на самом деле не LDAP или сервер аутентификации.