Uso de secretos de AWS Secrets Manager en Amazon Elastic Kubernetes Service - AWS Secrets Manager
ASCP con roles de IAM para cuentas de servicio (IRSA)ASCP con Pod IdentityCómo elegir el enfoque correcto

Uso de secretos de AWS Secrets Manager en Amazon Elastic Kubernetes Service

Para mostrar secretos de AWS Secrets Manager (ASCP) como archivos montados en pods de Amazon EKS, puede usar AWS Secrets and Configuration Provider para el controlador CSI de Kubernetes Secrets Store. El ASCP funciona con Amazon Elastic Kubernetes Service 1.17+ que ejecute un grupo de nodos de Amazon EC2. No se admiten grupos de nodos de AWS Fargate. Con el ASCP, puede almacenar y administrar sus secretos en Secrets Manager y recuperarlos a través de sus cargas de trabajo que se ejecutan en Amazon EKS. Si su secreto contiene varios pares clave-valor en formato JSON, puede elegir cuáles montar en Amazon EKS. El ASCP utiliza sintaxis JMESPath para consultar los pares clave-valor en el secreto. El ASCP también funciona con parámetros del almacén de parámetros. El ASCP ofrece dos métodos de autenticación con Amazon EKS. El primer enfoque utiliza los roles de IAM para cuentas de servicio (IRSA). El segundo enfoque utiliza Pod Identities. Cada enfoque tiene sus beneficios y sus casos de uso.

ASCP con roles de IAM para cuentas de servicio (IRSA)

El ASCP con roles de IAM para las cuentas de servicio (IRSA) permite montar secretos de AWS Secrets Manager como archivos en los pods de Amazon EKS. Este enfoque es adecuado en los siguientes casos:

  • Si desea montar los secretos como archivos en los pods.

  • si está utilizando la versión 1.17 o una posterior de Amazon EKS con grupos de nodos de Amazon EC2,

  • Si desea recuperar pares clave-valor específicos de secretos con formato JSON.

Para obtener más información, consulte Cómo utilizar de CSI del Proveedor de secretos y configuración (ASCP) de AWS con roles de IAM para cuentas de servicio (IRSA) .

ASCP con Pod Identity

El método del ASCP con Pod Identity mejora la seguridad y simplifica la configuración para acceder a los secretos en Amazon EKS. Este enfoque resulta beneficioso en los siguientes casos:

  • cuando necesita una administración de permisos más detallada a nivel de pod,

  • si está utilizando la versión 1.24 o una posterior de Amazon EKS,

  • si desea mejorar el rendimiento y la escalabilidad.

Para obtener más información, consulte Cómo utilizar CSI del Proveedor de secretos y configuración (ASCP) de AWS con Pod Identity para Amazon EKS.

Cómo elegir el enfoque correcto

Tenga en cuenta los siguientes factores al decidir entre el ASCP con IRSA y el ASCP con Pod Identity:

  • La versión de Amazon EKS: Pod Identity requiere Amazon EKS 1.24+, mientras que el controlador CSI funciona con Amazon EKS 1.17+.

  • Requisitos de seguridad: Pod Identity ofrece un control más detallado a nivel de pod.

  • Rendimiento: por lo general, Pod Identity funciona mejor en entornos de gran escala.

  • Complejidad: Pod Identity simplifica la configuración al eliminar la necesidad de tener cuentas de servicio independientes.

Elija el método que mejor se adapte a sus requisitos específicos y al entorno de Amazon EKS.