在 Amazon Elastic Kubernetes Service 中使用 AWS Secrets Manager 秘密 - AWS Secrets Manager
具有服務帳戶 IAM 角色的 ASCP (IRSA)具有 Pod 身分的 ASCP選擇正確的方法

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon Elastic Kubernetes Service 中使用 AWS Secrets Manager 秘密

若要將來自 AWS Secrets Manager (ASCP) 的秘密顯示為掛載在 Amazon EKS Pod 中的檔案,您可以使用 AWS Kubernetes Secrets Store CSI Driver 的 Secrets and Configuration Provider。ASCP 可與執行 Amazon EC2 節點群組的 Amazon Elastic Kubernetes Service 1.17+ 搭配使用。不支援 AWS Fargate 節點群組。透過 ASCP,您可以在 Secrets Manager 中存放和管理您的秘密,然後透過在 Amazon EKS 上執行的工作負載擷取這些秘密。如果您的秘密包含 JSON 格式的多個鍵/值對,您可以選擇要在 Amazon EKS 中掛載的鍵/值對。ASCP 使用JMESPath語法來查詢秘密中的鍵/值對。ASCP 也可與 Parameter Store 參數搭配使用。ASCP 提供兩種使用 Amazon EKS 進行身分驗證的方法。第一個方法使用服務帳戶的 IAM 角色 (IRSA)。第二個方法使用 Pod 身分。每種方法都有其優點和使用案例。

具有服務帳戶 IAM 角色的 ASCP (IRSA)

具有服務帳戶 IAM 角色 (IRSA) 的 ASCP 可讓您將來自 的秘密掛載 AWS Secrets Manager 為 Amazon EKS Pod 中的檔案。此方法適用於下列情況:

  • 您需要將秘密掛載為 Pod 中的檔案。

  • 您使用 Amazon EKS 1.17 版或更新版本搭配 Amazon EC2 節點群組。

  • 您想要從 JSON 格式的秘密擷取特定的鍵/值對。

如需詳細資訊,請參閱使用 AWS Secrets and Configuration Provider CSI 搭配服務帳戶 (IRSA) 的 IAM 角色

具有 Pod 身分的 ASCP

具有 Pod Identity 的 ASCP 方法可增強安全性,並簡化在 Amazon EKS 中存取秘密的組態。此方法在下列情況下非常有用:

  • 您需要在 Pod 層級進行更精細的許可管理。

  • 您使用的是 Amazon EKS 1.24 版或更新版本。

  • 您想要改善效能和可擴展性。

如需詳細資訊,請參閱使用 AWS 秘密和組態提供者 CSI 搭配 Amazon EKS 的 Pod 身分

選擇正確的方法

在具有 IRSA 的 ASCP 與具有 Pod 身分的 ASCP 之間進行決策時,請考慮下列因素:

  • Amazon EKSversion:Pod Identity 需要 Amazon EKS 1.24+,而 CSI 驅動程式可與 Amazon EKS 1.17+ 搭配使用。

  • 安全需求:Pod Identity 在 Pod 層級提供更精細的控制。

  • 效能:Pod Identity 通常在大規模環境中表現更佳。

  • 複雜性:Pod Identity 透過消除對個別服務帳戶的需求,簡化設定。

選擇最適合您特定需求和 Amazon EKS 環境的方法。