Verwenden Sie AWS Secrets Manager Geheimnisse in Amazon Elastic Kubernetes Service - AWS Secrets Manager
ASCP mit IAM-Rollen für Dienstkonten (IRSA)ASCP mit Pod IdentityDen richtigen Ansatz wählen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie AWS Secrets Manager Geheimnisse in Amazon Elastic Kubernetes Service

Um Secrets from AWS Secrets Manager (ASCP) als in Amazon EKS-Pods gemountete Dateien anzuzeigen, können Sie den AWS Secrets and Configuration Provider für den Kubernetes Secrets Store CSI-Treiber verwenden. Das ASCP funktioniert mit Amazon Elastic Kubernetes Service 1.17+, der eine Amazon-Knotengruppe ausführt. EC2 AWS Fargate Knotengruppen werden nicht unterstützt. Mit dem ASCP können Sie Ihre Secrets in Secrets Manager speichern und verwalten und diese dann über Ihre auf Amazon EKS ausgeführten Workloads abrufen. Wenn Ihr Secret mehrere Schlüssel-Wert-Paare im JSON-Format enthält, können Sie wählen, welche in Amazon EKS bereitgestellt werden sollen. ASCP verwendet JMESPath Syntax, um die Schlüssel-Wert-Paare in Ihrem Secret abzufragen. Der ASCP funktioniert auch mit Parametern des Parameter-Speichers. Das ASCP bietet zwei Authentifizierungsmethoden mit Amazon EKS. Der erste Ansatz verwendet IAM-Rollen für Servicekonten (IRSA). Der zweite Ansatz verwendet Pod Identities. Jeder Ansatz hat seine Vorteile und Anwendungsfälle.

ASCP mit IAM-Rollen für Dienstkonten (IRSA)

Das ASCP mit IAM-Rollen für Servicekonten (IRSA) ermöglicht es Ihnen, Geheimnisse AWS Secrets Manager als Dateien in Ihren Amazon EKS-Pods zu mounten. Dieser Ansatz ist geeignet, wenn:

  • Sie müssen Geheimnisse als Dateien in Ihren Pods mounten.

  • Sie verwenden Amazon EKS Version 1.17 oder höher mit EC2 Amazon-Knotengruppen.

  • Sie möchten bestimmte Schlüssel-Wert-Paare aus JSON-formatierten Geheimnissen abrufen.

Weitere Informationen finden Sie unter Verwenden Sie AWS Secrets and Configuration Provider CSI mit IAM-Rollen für Dienstkonten (IRSA) .

ASCP mit Pod Identity

Die ASCP-Methode mit Pod Identity verbessert die Sicherheit und vereinfacht die Konfiguration für den Zugriff auf geheime Daten in Amazon EKS. Dieser Ansatz ist vorteilhaft, wenn:

  • Sie benötigen eine detailliertere Rechteverwaltung auf Pod-Ebene.

  • Sie verwenden Amazon EKS Version 1.24 oder höher.

  • Sie möchten eine verbesserte Leistung und Skalierbarkeit.

Weitere Informationen finden Sie unter Verwenden Sie AWS Secrets and Configuration Provider CSI mit Pod Identity für Amazon EKS.

Den richtigen Ansatz wählen

Berücksichtigen Sie bei der Entscheidung zwischen ASCP mit IRSA und ASCP mit Pod Identity die folgenden Faktoren:

  • Amazon EKSversion: Pod Identity erfordert Amazon EKS 1.24+, während der CSI-Treiber mit Amazon EKS 1.17+ funktioniert.

  • Sicherheitsanforderungen: Pod Identity bietet eine detailliertere Steuerung auf Pod-Ebene.

  • Leistung: Pod Identity schneidet in Umgebungen mit hohem Maßstab im Allgemeinen besser ab.

  • Komplexität: Pod Identity vereinfacht die Einrichtung, da keine separaten Dienstkonten erforderlich sind.

Wählen Sie die Methode, die am besten zu Ihren spezifischen Anforderungen und Ihrer Amazon EKS-Umgebung passt.