Use AWS Secrets Manager segredos no Amazon Elastic Kubernetes Service - AWS Secrets Manager
ASCP com perfis do IAM para contas de serviço (IRSA)ASCP com Identidade de PodsComo escolher a abordagem correta

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use AWS Secrets Manager segredos no Amazon Elastic Kubernetes Service

Para mostrar segredos do AWS Secrets Manager (ASCP) como arquivos montados nos pods do Amazon EKS, você pode usar os AWS segredos e o provedor de configuração do driver CSI do Kubernetes Secrets Store. O ASCP funciona com o Amazon Elastic Kubernetes Service 1.17+ executando um grupo de nós da Amazon. EC2 AWS Fargategrupos de nós não são suportados. Com o ASCP, é possível armazenar e gerenciar segredos no Secrets Manager e, em seguida, recuperá-los por meio de workloads executadas no Amazon EKS. Se seu segredo contiver vários pares de chave-valor no formato JSON, será possível escolher quais montará no Amazon EKS. O ASCP usa a sintaxe JMESPath para consultar os pares de chave/valor no seu segredo. O ASCP também funciona com parâmetros do Parameter Store. O ASCP oferece dois métodos de autenticação com o Amazon EKS. A primeira abordagem usa perfis do IAM para contas de serviço (IRSA). A segunda abordagem usa a Identidade de Pods. Cada abordagem tem seus benefícios e casos de uso.

ASCP com perfis do IAM para contas de serviço (IRSA)

O ASCP com funções do IAM para contas de serviço (IRSA) permite que você monte segredos AWS Secrets Manager como arquivos em seus pods do Amazon EKS. Essa abordagem é adequada quando:

  • É necessário montar os segredos como arquivos nos seus pods.

  • Você está usando o Amazon EKS versão 1.17 ou posterior com grupos de EC2 nós da Amazon.

  • Você deseja recuperar pares de chave-valor específicos de segredos formatados em JSON.

Para obter mais informações, consulte Usar o CSI do AWS Secrets and Configuration Provider com perfis do IAM para contas de serviço (IRSA) .

ASCP com Identidade de Pods

O método ASCP com Identidade de Pods aumenta a segurança e simplifica a configuração para acessar os segredos no Amazon EKS. Essa abordagem é benéfica quando:

  • É necessário um gerenciamento de permissões mais granular no nível do pod.

  • Você está usando a versão 1.24 ou posterior do Amazon EKS.

  • Você quer performance e escalabilidade aprimorados.

Para obter mais informações, consulte Use AWS segredos e o provedor de configuração CSI com o Pod Identity para Amazon EKS.

Como escolher a abordagem correta

Considere os seguintes fatores ao decidir entre o ASCP com IRSA e o ASCP com Identidade de Pods:

  • Amazon EKSversion: O Pod Identity requer o Amazon EKS 1.24+, enquanto o driver CSI funciona com o Amazon EKS 1.17+.

  • Requisitos de segurança: a Identidade de Pods oferece um controle mais granular no nível do pod.

  • Performance: a Identidade de Pods geralmente tem melhor performance em ambientes de alta escala.

  • Complexidade: a Identidade de Pods simplifica a configuração ao eliminar a necessidade de contas de serviço separadas.

Escolha o método que melhor se alinhe aos seus requisitos específicos e ao ambiente do Amazon EKS.