Amazon EKS のシークレットへのアクセスと管理

Amazon Elastic Kubernetes Service (Amazon EKS) を使用すると、独自の Kubernetes コントロールプレーンやノードをインストールまたは維持 AWS することなく、 で Kubernetes を実行できます。Amazon EKS は Base64 (Wikipedia) エンコーディングを使用して機密データを保護します。 エンコードはシステム間の転送中のデータ変更を防ぐように設計されており、暗号化はデータへの不正アクセスを防ぐように設計されています。Base64 エンコーディングは、不正アクセスからデータを保護するのに十分ではありません。 AWS Secrets Manager を使用して Amazon EKS の機密データを保護します。

次の図は、Kubernetes ワーカーノードとして機能する Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにデプロイされた Amazon EKS を示しています。コンテナストレージインターフェイス (CSI) ドライバーを使用して、Secrets Manager からシークレットを取得できます。 詳細については、 AWS セキュリティブログの「Kubernetes AWS Secrets Store CSI ドライバーで Secrets & Configuration Provider を使用する方法」を参照してください。

次の図は、 にデプロイされた Amazon EKS を示していますAWS Fargate。オープンソースの External Secrets Operator API (GitHub) を使用して、Secrets Manager からシークレットを取得できます。詳細については、「 コンテナブログ」の「外部 AWS シークレット演算子を使用して EKS Fargate のシークレットストアを活用する」を参照してください。 AWS