Verwenden Sie AWS Secrets Manager mit Argo CD

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Anwendungsgeheimnisse mit AWS Secrets Manager verwalten

AWS Secrets Manager hilft Ihnen dabei, Anmeldeinformationen, API-Schlüssel und andere Geheimnisse während ihres gesamten Lebenszyklus zu verwalten, darauf zuzugreifen und sie zu rotieren. Mit Secrets Manager können Sie Geheimnisse sichern und verwalten, die für den Zugriff auf Ressourcen in AWS, auf Drittanbieterdiensten und vor Ort verwendet werden. Weitere Informationen finden Sie im AWS Secrets Manager Manager-Benutzerhandbuch.

Wenn Sie die EKS-Funktion für Argo CD verwenden, bietet Secrets Manager eine sichere Möglichkeit, Git-Repository-Anmeldeinformationen zu speichern und abzurufen, ohne sensible Daten in Ihrer Argo-CD-Konfiguration und Ihren Ressourcen fest zu codieren. Diese Integration ist besonders nützlich für die Verwaltung von Zugriffstoken und SSH-Schlüsseln für private Repositorys, die von Argo CD verwendet werden, um Anwendungen aus Git-Repositorys zu synchronisieren.

Verwenden Sie AWS Secrets Manager mit Argo CD

Wenn Sie die EKS-Capability for Argo-CD verwenden, können Sie die Anmeldeinformationen für das Git-Repository in Secrets Manager speichern und Argo CD so konfigurieren, dass sie abgerufen werden. Dieser Ansatz ist sicherer als das direkte Speichern von Anmeldeinformationen in der Argo-CD-Konfiguration oder die Verwendung langlebiger persönlicher Zugriffstoken.

Voraussetzungen

Ein Amazon EKS-Cluster mit aktivierter Argo-CD-Funktion
In AWS Secrets Manager gespeicherte Git-Repository-Anmeldeinformationen
Für Argo CD konfigurierte IAM-Berechtigungen für den Zugriff auf Secrets Manager

So konfigurieren Sie Argo CD für die Verwendung von Secrets Manager für Repository-Anmeldeinformationen

Speichern Sie Ihre Git-Anmeldeinformationen in Secrets Manager. Um beispielsweise ein GitHub persönliches Zugriffstoken zu speichern:
```
aws secretsmanager create-secret \
  --name argocd/github-token \
  --secret-string '{"username":"git","password":"ghp_xxxxxxxxxxxx"}'
```

Stellen Sie sicher, dass die Argo-CD-Capability-Rolle berechtigt ist, das Geheimnis abzurufen:


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:region:account-id:secret:argocd/github-token*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:region:account-id:key/*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:region:account-id:secret:argocd/*",
          "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
      }
    }
  ]
}

Anmerkung

Die KMS-Entschlüsselungsberechtigung ist erforderlich, da Secrets Manager alle Geheimnisse mit AWS KMS verschlüsselt. Die Bedingung beschränkt die Entschlüsselung nur auf Geheimnisse mit dem Präfix. argocd/ Wenn Sie den AWS verwalteten Standardschlüssel für Secrets Manager verwenden, ist diese Berechtigung ausreichend. Aktualisieren Sie das Resource Feld für vom Kunden verwaltete KMS-Schlüssel mit Ihrem spezifischen Schlüssel-ARN.

Konfigurieren Sie Argo CD so, dass es die Anmeldeinformationen von Secrets Manager verwendet. Informationen zum Synchronisieren von Geheimnissen aus Secrets Manager mit Kubernetes-Geheimnissen, auf die Argo CD verweisen kann, finden Sie unter Secret Management in der Argo-CD-Dokumentation.

Erstellen Sie eine Argo-CD-Repository-Konfiguration, die auf den geheimen ARN verweist:


apiVersion: v1
kind: Secret
metadata:
  name: private-repo
  namespace: argocd
  labels:
    argocd.argoproj.io/secret-type: repository
stringData:
  type: git
  url: https://github.com/org/repo
  secretArn: arn:aws:secretsmanager:region:account-id:secret:argocd/github-token

Weitere Informationen zur Konfiguration des Repository-Zugriffs mit Argo CD finden Sie unter. Repository-Zugriff konfigurieren

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS Resilience Hub

Amazon Security Lake