Gunakan AWS Secrets Manager rahasia di Amazon Elastic Kubernetes Service - AWS Secrets Manager
ASCP dengan Peran IAM untuk Akun Layanan (IRSA)ASCP dengan Identitas PodMemilih pendekatan yang tepat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan AWS Secrets Manager rahasia di Amazon Elastic Kubernetes Service

Untuk menampilkan secret from AWS Secrets Manager (ASCP) sebagai file yang dipasang di Amazon EKS Pods, Anda dapat menggunakan AWS Secrets and Configuration Provider untuk Kubernetes Secrets Store CSI Driver. ASCP bekerja dengan Amazon Elastic Kubernetes Service 1.17+ yang menjalankan grup node Amazon. EC2 AWS Fargate grup node tidak didukung. Dengan ASCP, Anda dapat menyimpan dan mengelola rahasia Anda di Secrets Manager dan kemudian mengambilnya melalui beban kerja Anda yang berjalan di Amazon EKS. Jika rahasia Anda berisi beberapa pasangan nilai kunci dalam format JSON, Anda dapat memilih mana yang akan dipasang di Amazon EKS. ASCP menggunakan JMESPath sintaks untuk menanyakan pasangan kunci-nilai dalam rahasia Anda. ASCP juga bekerja dengan parameter Parameter Store. ASCP menawarkan dua metode otentikasi dengan Amazon EKS Pendekatan pertama menggunakan Peran IAM untuk Akun Layanan (IRSA). Pendekatan kedua menggunakan Pod Identities. Setiap pendekatan memiliki manfaat dan kasus penggunaannya.

ASCP dengan Peran IAM untuk Akun Layanan (IRSA)

ASCP dengan Peran IAM untuk Akun Layanan (IRSA) memungkinkan Anda memasang rahasia dari file AWS Secrets Manager sebagai di Pod Amazon EKS Anda. Pendekatan ini cocok ketika:

  • Anda perlu memasang rahasia sebagai file di Pod Anda.

  • Anda menggunakan Amazon EKS versi 1.17 atau yang lebih baru dengan grup EC2 node Amazon.

  • Anda ingin mengambil pasangan nilai kunci tertentu dari rahasia berformat JSON.

Untuk informasi selengkapnya, lihat Gunakan AWS Rahasia dan Penyedia Konfigurasi CSI dengan Peran IAM untuk Akun Layanan (IRSA) .

ASCP dengan Identitas Pod

Metode ASCP dengan Pod Identity meningkatkan keamanan dan menyederhanakan konfigurasi untuk mengakses rahasia di Amazon EKS. Pendekatan ini bermanfaat ketika:

  • Anda memerlukan manajemen izin yang lebih terperinci di tingkat Pod.

  • Anda menggunakan Amazon EKS versi 1.24 atau yang lebih baru.

  • Anda ingin meningkatkan kinerja dan skalabilitas.

Untuk informasi selengkapnya, lihat Gunakan CSI Penyedia AWS Rahasia dan Konfigurasi dengan Pod Identity untuk Amazon EKS.

Memilih pendekatan yang tepat

Pertimbangkan faktor-faktor berikut ketika memutuskan antara ASCP dengan IRSA dan ASCP dengan Pod Identity:

  • Amazon EKSversion: Pod Identity membutuhkan Amazon EKS 1.24+, sedangkan driver CSI bekerja dengan Amazon EKS 1.17+.

  • Persyaratan keamanan: Pod Identity menawarkan kontrol yang lebih terperinci pada level Pod.

  • Kinerja: Pod Identity umumnya berkinerja lebih baik di lingkungan skala tinggi.

  • Kompleksitas: Pod Identity menyederhanakan penyiapan dengan menghilangkan kebutuhan akan akun layanan terpisah.

Pilih metode yang paling sesuai dengan kebutuhan spesifik Anda dan lingkungan Amazon EKS.