Verwenden von Parameter Store-Parametern in Amazon Elastic Kubernetes Service - AWS Systems Manager
ASCP mit IAM Roles for Service Accounts (IRSA)ASCP mit Pod IdentityDen richtigen Ansatz wählen

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Parameter Store-Parametern in Amazon Elastic Kubernetes Service

Um Parameter aus Parameter Store, einem Tool in AWS Systems Manager, als in Amazon-EKS-Pods bereitgestellte Dateien anzuzeigen, können Sie AWS Secrets and Configuration Provider (ASCP) für die Kubernetes-Secrets-Store-CSI-Treiber verwenden. ASCP funktioniert mit Amazon Elastic Kubernetes Service 1.17+, der eine Knotengruppe von Amazon EC2 ausführt. Knotengruppen von AWS Fargate werden nicht unterstützt.

Mit ASCP können Sie Ihre Parameter in Parameter Store speichern und verwalten und sie dann über Ihre auf Amazon EKS ausgeführten Workloads abrufen. Wenn ein Parameter mehrere Schlüssel-Wert-Paare im JSON-Format enthält, können Sie auswählen, welche davon in Amazon EKS bereitgestellt werden sollen. ASCP verwendet JMESPath-Syntax, um die Schlüssel-Wert-Paare in Ihrem Secret abzufragen. ASCP funktioniert auch mit AWS Secrets Manager-Secrets.

ASCP bietet zwei Authentifizierungsmethoden mit Amazon EKS. Der erste Ansatz verwendet IAM Roles for Service Accounts (IRSA). Der zweite Ansatz verwendet Pod Identities. Jeder Ansatz hat eigene Vorteile und Anwendungsfälle.

ASCP mit IAM Roles for Service Accounts (IRSA)

ASCP mit IAM Roles for Service Accounts (IRSA) ermöglicht Ihnen, Parameter aus Parameter Store als Dateien in Ihren Amazon-EKS-Pods zu mounten. Dieser Ansatz ist für folgende Szenarien geeignet:

  • Sie müssen Parameter als Dateien in Ihren Pods mounten.

  • Sie verwenden Amazon-EKS-Version 1.17 oder höher mit Amazon-EC2-Knotengruppen.

  • Sie möchten bestimmte Schlüssel-Wert-Paare aus JSON-formatierten Parametern abrufen.

Weitere Informationen finden Sie unter Verwenden Sie AWS Secrets and Configuration Provider CSI mit IAM Roles for Service Accounts (IRSA) .

ASCP mit Pod Identity

ASCP mit Pod Identity erhöht die Sicherheit und vereinfacht die Konfiguration für den Zugriff auf Parameter in Parameter Store. Dieser Ansatz bietet Vorteile in folgenden Szenarien:

  • Sie benötigen eine detailliertere Berechtigungsverwaltung auf Pod-Ebene.

  • Sie verwenden Amazon-EKS-Version 1.24 oder höher.

  • Sie benötigen eine höhere Leistung und Skalierbarkeit.

Weitere Informationen finden Sie unter Verwenden Sie AWS Secrets and Configuration Provider CSI mit Pod Identity für Amazon EKS.

Den richtigen Ansatz wählen

Bei der Entscheidung zwischen ASCP mit IRSA und ASCP mit Pod Identity sollten Sie die folgenden Faktoren berücksichtigen:

  • Amazon-EKS-Version: Pod Identity erfordert Amazon EKS 1.24+, während der CSI-Treiber mit Amazon EKS 1.17+ funktioniert.

  • Sicherheitsanforderungen: Pod Identity bietet eine detailliertere Kontrolle auf Pod-Ebene.

  • Leistung: Pod Identity schneidet in umfassenden Umgebungen im Allgemeinen besser ab.

  • Komplexität: Pod Identity vereinfacht die Einrichtung, da keine separaten Servicekonten erforderlich sind.

Wählen Sie die Methode, die am besten zu Ihren spezifischen Anforderungen und Ihrer Amazon-EKS-Umgebung passt.