Use segredos do AWS Secrets Manager no Amazon Elastic Kubernetes Service - AWS Secrets Manager
ASCP com perfis do IAM para contas de serviço (IRSA)ASCP com Identidade de PodsComo escolher a abordagem correta

Use segredos do AWS Secrets Manager no Amazon Elastic Kubernetes Service

Para mostrar segredos do AWS Secrets Manager (ASCP) como arquivos montados em pods do Amazon EKS, é possível usar o AWS Secrets and Configuration Provider para o driver da CSI do armazenamento de segredos do Kubernetes. O ASCP funciona com o Amazon Elastic Kubernetes Service 1.17+ executando um grupo de nós do Amazon EC2. Grupos de nós do AWS Fargate não são compatíveis. Com o ASCP, é possível armazenar e gerenciar segredos no Secrets Manager e, em seguida, recuperá-los por meio de workloads executadas no Amazon EKS. Se seu segredo contiver vários pares de chave-valor no formato JSON, será possível escolher quais montará no Amazon EKS. O ASCP usa a sintaxe JMESPath para consultar os pares de chave/valor no seu segredo. O ASCP também funciona com parâmetros do Parameter Store. O ASCP oferece dois métodos de autenticação com o Amazon EKS. A primeira abordagem usa perfis do IAM para contas de serviço (IRSA). A segunda abordagem usa a Identidade de Pods. Cada abordagem tem seus benefícios e casos de uso.

ASCP com perfis do IAM para contas de serviço (IRSA)

O ASCP com perfis do IAM para contas de serviço (IRSA) permite que você monte segredos do AWS Secrets Manager como arquivos nos pods do Amazon EKS. Essa abordagem é adequada quando:

  • É necessário montar os segredos como arquivos nos seus pods.

  • Você está usando a versão 1.17 ou posterior do Amazon EKS com grupos de nós do Amazon EC2.

  • Você deseja recuperar pares de chave-valor específicos de segredos formatados em JSON.

Para obter mais informações, consulte Usar o CSI do AWS Secrets and Configuration Provider com perfis do IAM para contas de serviço (IRSA) .

ASCP com Identidade de Pods

O método ASCP com Identidade de Pods aumenta a segurança e simplifica a configuração para acessar os segredos no Amazon EKS. Essa abordagem é benéfica quando:

  • É necessário um gerenciamento de permissões mais granular no nível do pod.

  • Você está usando a versão 1.24 ou posterior do Amazon EKS.

  • Você quer performance e escalabilidade aprimorados.

Para obter mais informações, consulte Usar o CSI do AWS Secrets and Configuration Provider com a Identidade de Pods para Amazon EKS.

Como escolher a abordagem correta

Considere os seguintes fatores ao decidir entre o ASCP com IRSA e o ASCP com Identidade de Pods:

  • Versão do Amazon EKS: a Identidade de Pods requer o Amazon EKS 1.24+, enquanto o driver CSI funciona com o Amazon EKS 1.17+.

  • Requisitos de segurança: a Identidade de Pods oferece um controle mais granular no nível do pod.

  • Performance: a Identidade de Pods geralmente tem melhor performance em ambientes de alta escala.

  • Complexidade: a Identidade de Pods simplifica a configuração ao eliminar a necessidade de contas de serviço separadas.

Escolha o método que melhor se alinhe aos seus requisitos específicos e ao ambiente do Amazon EKS.