某些机密需要由 PODS 获取,机密存储在 GCP 机密管理器中,如何安全有效地获取 Pod 内的机密?
谢谢!
答案 0 :(得分:1)
Kubernetes Secrets 和 Google Secret Manager 之间没有原生集成。如 the documentation 中所述,最佳解决方案是使用 Secret Manager 客户端库与 Secret Manager 交互,尤其是访问它们。
从安全角度来看,使用 Workload Identity 也是为您的部署使用特定服务帐户然后执行最小权限原则的最佳解决方案。
如果您不这样做,默认情况下您将使用 Node 服务帐户(Compute Engine 上的此帐户),并且您必须授予此服务帐户访问机密的权限。而且,因为它是 NODE 身份,所以在这些节点上运行的所有 Pod 都将拥有相同的权限,并被允许访问机密!