Key Management Service (KMS) のsecrets ManagerからCSIインラインボリュームまたはContainer Service for Kubernetes (ACK) クラスターのKubernetes Secretsにシークレットをインポートし、CSIインラインボリュームまたはKubernetes Secretsをアプリケーションポッドにマウントできます。 これにより、アプリケーション開発のライフサイクル全体を通して機密データをACKで公開することが回避されます。 デフォルトでは、ボリュームからシークレットを読み取るには、KMSのシークレットマネージャーとの互換性の問題があります。 ack-secret-managerおよびcsi-secrets-store-provider-alibabacloudプラグインは、非互換性を解決できます。
概要
ack-secret-managerを使用すると、KMSからACKクラスター内のKubernetes Secretにシークレットをインポートまたは同期して、クラスター内の機密データへの安全なアクセスを確保できます。 ワークロードは、CSIインラインボリュームを介してKubernetes Secretsをアプリケーションポッドにマウントし、同期されたシークレットを使用できます。
csi-secrets-store-provider-alibabacloudを使用すると、KMSからACKクラスター内のKubernetes secretsにシークレットをインポートまたは同期して、クラスター内の機密データへの安全なアクセスを確保できます。 さらに、このプラグインを使用すると、CSIインラインボリュームを使用してシークレットをアプリケーションポッドに直接マウントできます。 これは、ファイルの読み取りなど、ファイルシステムAPIを介して機密情報を取得するアプリケーションに適しています。
シナリオ
コンポーネント | 適用可能なクラスタータイプ | 機能 | 関連ドキュメント |
ack-secret-manager |
| シークレットの同期と更新をサポートします。 | |
csi-secrets-store-provider-alibabacloud | バージョン1.20以上のクラスター:
|
| csi-secrets-store-provider-alibabacloudを使用してKMSからシークレットをインポート |
関連ドキュメント
ack-secret-managerとcsi-secrets-store-provider-alibabacloudは無料でインストールおよび使用できますが、インストール後にワーカーノードリソースを占有します。 インストール時に各プラグインが要求するリソースの量を指定できます。
KMSのSecrets Managerに課金されます。 詳細については、「課金」をご参照ください。