AWS Secrets Manager Secretos de uso en Amazon Elastic Kubernetes Service - AWS Secrets Manager
ASCP con roles de IAM para cuentas de servicio (IRSA)ASCP con Pod IdentityCómo elegir el enfoque correcto

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Secrets Manager Secretos de uso en Amazon Elastic Kubernetes Service

Para mostrar los secretos de AWS Secrets Manager (ASCP) como archivos montados en los pods de Amazon EKS, puede utilizar el proveedor de AWS secretos y configuración del controlador CSI de Kubernetes Secrets Store. El ASCP funciona con Amazon Elastic Kubernetes Service 1.17+ y ejecuta un grupo de nodos de Amazon. EC2 AWS Fargate no se admiten grupos de nodos. Con el ASCP, puede almacenar y administrar sus secretos en Secrets Manager y recuperarlos a través de sus cargas de trabajo que se ejecutan en Amazon EKS. Si su secreto contiene varios pares clave-valor en formato JSON, puede elegir cuáles desea montar en Amazon EKS. El ASCP utiliza sintaxis JMESPath para consultar los pares clave-valor en el secreto. El ASCP también funciona con parámetros del almacén de parámetros. El ASCP ofrece dos métodos de autenticación con Amazon EKS. El primer enfoque utiliza los roles de IAM para cuentas de servicio (IRSA). El segundo enfoque utiliza Pod Identities. Cada enfoque tiene sus beneficios y sus casos de uso.

ASCP con roles de IAM para cuentas de servicio (IRSA)

El ASCP con funciones de IAM para cuentas de servicio (IRSA) le permite montar datos secretos a AWS Secrets Manager partir de archivos en sus Amazon EKS Pods. Este enfoque es adecuado en los siguientes casos:

  • Tienes que montar los datos secretos como archivos en tus pods.

  • Está utilizando Amazon EKS versión 1.17 o posterior con grupos de EC2 nodos de Amazon.

  • Desea recuperar pares clave-valor específicos de secretos con formato JSON.

Para obtener más información, consulte Utilice el CSI del proveedor de AWS secretos y configuración con funciones de IAM para cuentas de servicio (IRSA) .

ASCP con Pod Identity

El método ASCP with Pod Identity mejora la seguridad y simplifica la configuración para acceder a los secretos en Amazon EKS. Este enfoque resulta beneficioso en los siguientes casos:

  • cuando necesita una administración de permisos más detallada a nivel de pod,

  • si está utilizando la versión 1.24 o una posterior de Amazon EKS,

  • si desea mejorar el rendimiento y la escalabilidad.

Para obtener más información, consulte Utilice el CSI del proveedor de AWS secretos y configuración con Pod Identity para Amazon EKS.

Cómo elegir el enfoque correcto

Tenga en cuenta los siguientes factores al decidir entre el ASCP con IRSA y el ASCP con Pod Identity:

  • Amazon EKSversion: Pod Identity requiere Amazon EKS 1.24+, mientras que el controlador CSI funciona con Amazon EKS 1.17+.

  • Requisitos de seguridad: Pod Identity ofrece un control más detallado a nivel de pod.

  • Rendimiento: por lo general, Pod Identity funciona mejor en entornos de gran escala.

  • Complejidad: Pod Identity simplifica la configuración al eliminar la necesidad de tener cuentas de servicio independientes.

Elija el método que mejor se adapte a sus requisitos específicos y al entorno de Amazon EKS.