Gunakan AWS Secrets Manager dengan Argo CD

Kelola rahasia aplikasi dengan AWS Secrets Manager

AWS Secrets Manager membantu Anda mengelola, mengakses, dan memutar kredensil, kunci API, dan rahasia lainnya sepanjang siklus hidupnya. Dengan Secrets Manager, Anda dapat mengamankan dan mengelola rahasia yang digunakan untuk mengakses sumber daya di AWS, di layanan pihak ketiga, dan lokal. Untuk informasi selengkapnya, lihat Panduan Pengguna AWS Secrets Manager.

Saat menggunakan Kemampuan EKS untuk Argo CD, Secrets Manager menyediakan cara yang aman untuk menyimpan dan mengambil kredenal repositori Git tanpa hardcoding data sensitif dalam konfigurasi dan sumber daya Argo CD Anda. Integrasi ini sangat berguna untuk mengelola token akses repositori pribadi dan kunci SSH yang digunakan oleh Argo CD untuk menyinkronkan aplikasi dari repositori Git.

Gunakan AWS Secrets Manager dengan Argo CD

Saat menggunakan Kemampuan EKS untuk Argo CD, Anda dapat menyimpan kredensi repositori Git di Secrets Manager dan mengonfigurasi Argo CD untuk mengambilnya. Pendekatan ini lebih aman daripada menyimpan kredensil langsung dalam konfigurasi Argo CD atau menggunakan token akses pribadi yang berumur panjang.

Prasyarat

Cluster Amazon EKS dengan kemampuan Argo CD diaktifkan
Kredensi repositori Git disimpan di Secrets Manager AWS
Izin IAM dikonfigurasi untuk Argo CD untuk mengakses Secrets Manager

Untuk mengkonfigurasi Argo CD untuk menggunakan Secrets Manager untuk kredenal repositori

Simpan kredensi Git Anda di Secrets Manager. Misalnya, untuk menyimpan token akses GitHub pribadi:


aws secretsmanager create-secret \
  --name argocd/github-token \
  --secret-string '{"username":"git","password":"ghp_xxxxxxxxxxxx"}'

Pastikan peran kemampuan Argo CD memiliki izin untuk mengambil rahasia:


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:region:account-id:secret:argocd/github-token*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:region:account-id:key/*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:region:account-id:secret:argocd/*",
          "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
      }
    }
  ]
}

catatan

Izin dekripsi KMS diperlukan karena Secrets Manager mengenkripsi semua rahasia menggunakan KMS. AWS Kondisi membatasi dekripsi hanya rahasia dengan awalan. argocd/ Jika Anda menggunakan kunci AWS terkelola default untuk Secrets Manager, izin ini sudah cukup. Untuk kunci KMS yang dikelola pelanggan, perbarui Resource bidang dengan ARN kunci spesifik Anda.

Konfigurasikan Argo CD untuk menggunakan kredensil dari Secrets Manager. Untuk informasi tentang sinkronisasi rahasia dari Secrets Manager ke dalam rahasia Kubernetes yang dapat direferensikan oleh Argo CD, lihat Secret Management dalam dokumentasi Argo CD.

Buat konfigurasi repositori Argo CD yang mereferensikan ARN rahasia:


apiVersion: v1
kind: Secret
metadata:
  name: private-repo
  namespace: argocd
  labels:
    argocd.argoproj.io/secret-type: repository
stringData:
  type: git
  url: https://github.com/org/repo
  secretArn: arn:aws:secretsmanager:region:account-id:secret:argocd/github-token

Untuk informasi selengkapnya tentang mengonfigurasi akses repositori dengan Argo CD, lihat. Konfigurasikan akses repositori

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS Hub Ketahanan

Amazon Security Lake