ASCP com perfis do IAM para contas de serviço (IRSA)ASCP com Identidade de Pods Como escolher a abordagem correta

Use parâmetros do Parameter Store no Amazon Elastic Kubernetes Service.

Para mostrar parâmetros do Parameter Store, uma ferramenta do AWS Systems Manager, como arquivos montados em pods do Amazon EKS, você pode usar o AWS Secrets and Configuration Provider para o driver CSI do Secrets Store do Kubernetes. O ASCP funciona com o Amazon Elastic Kubernetes Service 1.17+ executando um grupo de nós do Amazon EC2. Grupos de nós do AWS Fargate não são compatíveis.

Com o ASCP, você pode armazenar e gerenciar seu parâmetro no Parameter Store e depois recuperá-lo por meio das workloads executadas no Amazon EKS. Se o parâmetro contiver vários pares de chave/valor no formato JSON, você poderá escolher quais montará no Amazon EKS. O ASCP usa a sintaxe JMESPath para consultar os pares de chave/valor no seu segredo. O ASCP também funciona com os segredos do AWS Secrets Manager.

O ASCP oferece dois métodos de autenticação com o Amazon EKS. A primeira abordagem usa perfis do IAM para contas de serviço (IRSA). A segunda abordagem usa a Identidade de Pods. Cada abordagem tem seus benefícios e casos de uso.

ASCP com perfis do IAM para contas de serviço (IRSA)

O ASCP com perfis do IAM para contas de serviço (IRSA) permite que você monte parâmetros do Parameter Store como arquivos nos pods do Amazon EKS. Essa abordagem é adequada quando:

Você precisa montar parâmetros como arquivos nos pods.
Você está usando a versão 1.17 ou posterior do Amazon EKS com grupos de nós do Amazon EC2.
Você deseja recuperar pares de chave/valor específicos de parâmetros formatados em JSON.

Para obter mais informações, consulte Usar o CSI do AWS Secrets and Configuration Provider com perfis do IAM para contas de serviço (IRSA) .

ASCP com Identidade de Pods

O método ASCP com Identidade de Pods aumenta a segurança e simplifica a configuração para acessar os parâmetros no Parameter Store. Essa abordagem é benéfica quando:

Você precisa de um gerenciamento de permissões mais granular no nível do pod.
Você está usando a versão 1.24 ou posterior do Amazon EKS.
Você quer performance e escalabilidade aprimorados.

Para obter mais informações, consulte Usar o CSI do AWS Secrets and Configuration Provider com a Identidade de Pods para Amazon EKS.

Como escolher a abordagem correta

Considere os seguintes fatores ao decidir entre o ASCP com IRSA e o ASCP com Identidade de Pods:

Versão do Amazon EKS: a Identidade de Pods requer o Amazon EKS 1.24+, enquanto o driver CSI funciona com o Amazon EKS 1.17+.
Requisitos de segurança: a Identidade de Pods oferece um controle mais granular no nível do pod.
Performance: a Identidade de Pods geralmente tem melhor performance em ambientes de alta escala.
Complexidade: a Identidade de Pods simplifica a configuração ao eliminar a necessidade de contas de serviço separadas.

Escolha o método que melhor se alinhe aos seus requisitos específicos e ao ambiente do Amazon EKS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criptografia do AWS KMS para parâmetros SecureString do Parameter Store

Instalar o ASCP para Amazon EKS