在 Amazon Elastic Kubernetes Service 中使用 Parameter Store 參數 - AWS Systems Manager
具有服務帳戶 IAM 角色 (IRSA) 的 ASCP具有 Pod 身分識別的 ASCP選擇正確的方法

AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon Elastic Kubernetes Service 中使用 Parameter Store 參數

若要顯示 Parameter Store (AWS Systems Manager 的工具) 中的參數,作為掛載於 Amazon EKS Pod 的檔案,您可以將 AWS Secrets and Configuration Provider 用於 Kubernetes Secrets Store CSI Driver。ASCP 可搭配執行 Amazon EC2 節點群組的 Amazon Elastic Kubernetes Service 1.17 或更高版本一起使用。AWS Fargate 節點群組則不受支援。

透過 ASCP,您可以在 Parameter Store 中存放和管理您的參數,然後透過在 Amazon EKS 上執行的工作負載擷取這些參數。如果參數包含 JSON 格式的多個鍵值對,您可以選擇要在 Amazon EKS 中掛載哪些鍵值對。ASCP 使用 JMESPath 語法來查詢秘密中的鍵值對。ASCP 也可使用 AWS Secrets Manager 秘密。

ASCP 提供兩種使用 Amazon EKS 進行身分驗證的方法。第一種方法使用服務帳戶的 IAM 角色 (IRSA)。第二種方法使用 Pod 身分識別。每種方法都有其優點和使用案例。

具有服務帳戶 IAM 角色 (IRSA) 的 ASCP

具有服務帳戶 IAM 角色 (IRSA) 的 ASCP 可讓您從 Parameter Store 將參數掛載為 Amazon EKS Pod 中的檔案。此方法適用於下列情況:

  • 您需要將參數掛載為 Pod 中的檔案。

  • 您在 Amazon EC2 節點群組中使用 Amazon EKS 1.17 版或更新版本。

  • 您想要從 JSON 格式參數中擷取特定的鍵值對。

如需詳細資訊,請參閱將 AWS Secrets and Configuration Provider CSI 與服務帳戶 IAM 角色 (IRSA) 搭配使用

具有 Pod 身分識別的 ASCP

具有 Pod 身分識別的 ASCP 方法可增強安全性,並簡化在 Parameter Store 中存取參數的組態。此方法在下列情況下非常有用:

  • 您需要在 Pod 層級進行更精細的許可管理。

  • 您使用 Amazon EKS 1.24 版或更新版本。

  • 您想要改善效能與可擴展性。

如需更多詳細資訊,請參閱 使用 AWS 秘密和組態提供者 CSI 搭配 Amazon EKS 的 Pod 身分

選擇正確的方法

決定具有 IRSA 的 ASCP 和具有 Pod 身分識別的 ASCP 時,請考慮下列因素:

  • Amazon EKSversion:Pod 身分識別需要 Amazon EKS 1.24 版或更高版本,而 CSI 驅動程式可與 Amazon EKS 1.17 版或更高版本搭配使用。

  • 安全需求:Pod 身分識別在 Pod 層級提供更精細的控制。

  • 效能:Pod 身分識別通常在大規模環境中表現較佳。

  • 複雜性:Pod 身分識別透過消除對單獨服務帳戶的需求,簡化設定。

選擇最符合您特定需求與 Amazon EKS 環境的方法。