Verwenden von Parameter Store-Parametern in Amazon Elastic Kubernetes Service - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Parameter Store-Parametern in Amazon Elastic Kubernetes Service

Um Parameter aus Parameter Store einem Tool von AWS Systems Manager als in Amazon EKS-Pods gemountete Dateien anzuzeigen, können Sie den AWS Secrets and Configuration Provider für den Kubernetes Secrets Store CSI-Treiber verwenden. Das ASCP funktioniert mit Amazon Elastic Kubernetes Service 1.17+, der eine Amazon-Knotengruppe ausführt. EC2 AWS Fargate Knotengruppen werden nicht unterstützt.

Mit dem ASCP können Sie Ihre Parameter in Ihren Workloads speichern und verwalten Parameter Store und sie dann über Ihre Workloads abrufen, die auf Amazon EKS ausgeführt werden. Wenn Ihr Parameter mehrere Schlüssel-Wert-Paare im JSON-Format enthält, können Sie wählen, welche in Amazon EKS bereitgestellt werden sollen. ASCP verwendet JMESPath Syntax, um die Schlüssel-Wert-Paare in Ihrem Secret abzufragen. Das ASCP arbeitet auch mit Geheimnissen. AWS Secrets Manager

Das ASCP bietet zwei Authentifizierungsmethoden mit Amazon EKS. Der erste Ansatz verwendet IAM-Rollen für Servicekonten (IRSA). Der zweite Ansatz verwendet Pod Identities. Jeder Ansatz hat seine Vorteile und Anwendungsfälle.

ASCP mit IAM-Rollen für Dienstkonten (IRSA)

Das ASCP mit IAM-Rollen für Service Accounts (IRSA) ermöglicht es Ihnen, Parameter Parameter Store als Dateien in Ihren Amazon EKS-Pods zu mounten. Dieser Ansatz ist geeignet, wenn:

  • Sie müssen Parameter als Dateien in Ihren Pods mounten.

  • Sie verwenden Amazon EKS Version 1.17 oder höher mit EC2 Amazon-Knotengruppen.

  • Sie möchten bestimmte Schlüssel-Wert-Paare aus JSON-formatierten Parametern abrufen.

Weitere Informationen finden Sie unter Verwenden Sie AWS Secrets and Configuration Provider CSI mit IAM-Rollen für Dienstkonten (IRSA) .

ASCP mit Pod Identity

Die ASCP-Methode mit Pod Identity erhöht die Sicherheit und vereinfacht die Konfiguration für den Zugriff auf Parameter in. Parameter Store Dieser Ansatz ist vorteilhaft, wenn:

  • Sie benötigen eine detailliertere Rechteverwaltung auf Pod-Ebene.

  • Sie verwenden Amazon EKS Version 1.24 oder höher.

  • Sie möchten eine verbesserte Leistung und Skalierbarkeit.

Weitere Informationen finden Sie unter Verwenden Sie AWS Secrets and Configuration Provider CSI mit Pod Identity für Amazon EKS.

Den richtigen Ansatz wählen

Berücksichtigen Sie bei der Entscheidung zwischen ASCP mit IRSA und ASCP mit Pod Identity die folgenden Faktoren:

  • Amazon EKSversion: Pod Identity erfordert Amazon EKS 1.24+, während der CSI-Treiber mit Amazon EKS 1.17+ funktioniert.

  • Sicherheitsanforderungen: Pod Identity bietet eine detailliertere Steuerung auf Pod-Ebene.

  • Leistung: Pod Identity schneidet in Umgebungen mit hohem Maßstab im Allgemeinen besser ab.

  • Komplexität: Pod Identity vereinfacht die Einrichtung, da keine separaten Dienstkonten erforderlich sind.

Wählen Sie die Methode, die am besten zu Ihren spezifischen Anforderungen und Ihrer Amazon EKS-Umgebung passt.