Kubernetes で AWS Secrets Manager シークレットを使用する - Amazon EKS

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

Kubernetes で AWS Secrets Manager シークレットを使用する

Secrets Manager のシークレットと Parameter Store のパラメータを、Amazon EKS Pods にマウントされたファイルとして表示するには、Kubernetes Secrets Store CSI Driver 向けの AWS Secrets and Configuration Provider (ASCP) を使用します。

ASCP を使用すると、Secrets Manager でシークレットを保存および管理し、Amazon EKS で実行されているワークロードからシークレットを取得できます。IAM ロールとポリシーを使用して、シークレットへのアクセスをクラスター内の特定の Kubernetes Pods に制限できます。ASCP は Pod アイデンティティを取得し、そのアイデンティティを IAM ロールと交換します。ASCP が Pod の IAM ロールを引き受けると、そのロールに対して認証されている Secrets Manager からシークレットを取得できます。

自分のシークレットに対し、Secrets Manager の自動ローテーションを使用する場合は、Secrets Store CSI ドライバーのローテーション調停機能を使用することで、Secrets Manager から確実に最新のシークレットを取得できます。

詳細については、AWS Secrets Manager ユーザーガイドの「Using Secrets Manager secrets in Amazon EKS」を参照してください。