Utiliser des paramètres Parameter Store dans Amazon Elastic Kubernetes Service - AWS Systems Manager
ASCP avec rôles IAM pour les comptes de service (IRSA)ASCP avec l’identité du podChoix de la bonne approche

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser des paramètres Parameter Store dans Amazon Elastic Kubernetes Service

Pour afficher des paramètres à partir de l’outil Parameter Store d’AWS Systems Manager sous la forme de fichiers montés dans des pods Amazon EKS, vous pouvez utiliser le fournisseur de secrets et de configuration AWS pour le pilote CSI Kubernetes Secrets Store. L’ASCP fonctionne avec Amazon Elastic Kubernetes Service 1.17+ exécutant un groupe de nœuds Amazon EC2. Les groupes de nœuds AWS Fargate ne sont pas pris en charge.

Avec l’ASCP, vous pouvez stocker et gérer votre paramètre dans Parameter Store, puis les récupérer via vos charges de travail exécutées sur Amazon EKS. Si votre paramètre contient plusieurs paires de clé-valeur au format JSON, vous pouvez choisir celles à monter dans Amazon EKS. L’ASCP utilise la syntaxe JMESPath pour interroger les paires clé-valeur dans votre secret. L’ASCP fonctionne également avec les secrets AWS Secrets Manager.

L’ASCP propose deux méthodes d’authentification avec Amazon EKS. La première approche utilise les rôles IAM pour les comptes de service (IRSA). La deuxième approche utilise les identités du pod. Chaque approche a ses avantages et cas d’utilisation.

ASCP avec rôles IAM pour les comptes de service (IRSA)

L’ASCP avec les rôles IAM pour les comptes de service (IRSA) vous permet de monter des paramètres de Parameter Store sous forme de fichiers dans vos pods Amazon EKS. Cette approche convient lorsque :

  • Vous devez monter les paramètres sous forme de fichiers dans vos pods.

  • Vous utilisez Amazon EKS version 1.17 ou ultérieure avec des groupes de nœuds Amazon EC2.

  • Vous souhaitez récupérer des paires clé-valeur spécifiques à partir de paramètres au format JSON.

Pour de plus amples informations, consultez Utiliser un fournisseur de secrets et de configuration AWS CSI avec des rôles IAM pour les comptes de service (IRSA) .

ASCP avec l’identité du pod

La méthode ASCP avec l’identité du pod améliore la sécurité et simplifie la configuration pour accéder aux paramètres dans Parameter Store. Cette approche est bénéfique lorsque :

  • Vous avez besoin d’une gestion des autorisations plus précise au niveau du pod.

  • Vous utilisez Amazon EKS version 1.24 ou ultérieure.

  • Vous souhaitez améliorer les performances et la capacité de mise à l’échelle.

Pour de plus amples informations, consultez Utiliser AWS les secrets et le fournisseur de configuration CSI avec Pod Identity pour Amazon EKS.

Choix de la bonne approche

Tenez compte des facteurs suivants lorsque vous choisissez entre ASCP avec IRSA et ASCP avec l’identité du pod :

  • Version d’Amazon EKS : l’identité du pod nécessite Amazon EKS 1.24+, tandis que le pilote CSI fonctionne avec Amazon EKS 1.17+.

  • Exigences de sécurité : l’identité du pod offre un contrôle plus granulaire au niveau du pod.

  • Performances : l’identité du pod fonctionne généralement mieux dans les environnements à grande échelle.

  • Complexité : l’identité du pod simplifie la configuration en éliminant le besoin de comptes de service distincts.

Choisissez la méthode qui correspond le mieux à vos exigences spécifiques et à l’environnement Amazon EKS.