您可以在應用Pod中以檔案系統、Secret掛載或本地HTTP介面讀取記憶體的形式,將儲存在阿里雲KMS憑據管家中的密文引入到應用程式中使用,避免應用開發構建時泄露敏感性資料。若應用依賴檔案系統讀取密鑰,與KMS 憑據管家整合時可能存在相容性問題,可通過ack-secret-manager或csi-secrets-store-provider-alibabacloud解決;若期望應用可以直接從記憶體中擷取敏感KMS憑據,避免敏感憑據落盤,可通過ack-kms-agent-webhook-injector實現更安全的憑據匯入與管理。
組件介紹
ack-secret-manager:支援以Kubernetes Secret的形式向叢集匯入或同步KMS憑據資訊,確保叢集內應用能夠安全訪問敏感性資料。工作負載可通過檔案系統掛載指定Secret執行個體,以使用憑據資訊。
csi-secrets-store-provider-alibabacloud:支援以Kubernetes Secret的形式向叢集匯入或同步KMS憑據資訊,確保叢集內應用能夠安全訪問敏感性資料;還支援通過CSI Inline的形式將憑據密鑰作為檔案系統直接掛載到應用中,適用於通過檔案系統介面(如讀取檔案)來擷取敏感資訊的應用。
ack-kms-agent-webhook-injector:將 KMS Agent 作為Sidecar容器注入Pod,使業務應用可通過本地HTTP介面,藉助KMS Agent從KMS執行個體擷取憑據並緩衝於記憶體中,避免敏感資訊寫入程式碼,提升資料安全性。
使用情境
組件 | 適用的叢集 | 使用說明 | 相關操作 |
ack-secret-manager |
| 支援Secret同步和更新。 | |
csi-secrets-store-provider-alibabacloud | 1.20及以上版本的叢集:
|
| |
ack-kms-agent-webhook-injector | 1.22及以上版本的叢集:
|
|
相關計費
ack-secret-manager和csi-secrets-store-provider-alibabacloud安裝使用免費,但安裝後將佔用Worker節點資源。您可以在安裝組件時配置各模組的資源申請量。
使用KMS憑據管家會產生費用,請參見產品計費。