您可以在应用Pod中以文件系统或Secret挂载的形式,将存储在阿里云KMS凭据管家中的密文引入到应用程序中使用,避免敏感数据在应用开发构建流程中传播和泄露。默认情况下,您直接从文件系统读取密钥和阿里云KMS凭据管家之间的直接交互可能存在兼容性问题,您可以通过ack-secret-manager或csi-secrets-store-provider-alibabacloud组件解决此类兼容性问题。
组件介绍
ack-secret-manager支持以Kubernetes Secret实例的形式向集群导入或同步KMS凭据信息,确保您集群内的应用能够安全的访问敏感信息。工作负载可以通过文件系统挂载指定Secret实例使用凭据信息。
csi-secrets-store-provider-alibabacloud支持以Kubernetes Secret实例的形式向集群导入或同步KMS凭据信息,确保您集群内的应用能够安全的访问敏感信息;还支持通过CSI Inline的形式将凭据密钥作为文件系统直接挂载到应用程序中,适用于通过文件系统接口(例如读取文件)来获取敏感信息的应用。
使用场景
组件 | 适用的集群 | 使用说明 | 相关操作 |
ack-secret-manager |
| 支持Secret同步和更新。 | 使用ack-secret-manager导入阿里云KMS服务凭据 |
csi-secrets-store-provider-alibabacloud | 1.20及以上版本的集群:
|
| 使用csi-secrets-store-provider-alibabacloud导入阿里云KMS服务凭据 |
相关计费
ack-secret-manager和csi-secrets-store-provider-alibabacloud安装使用免费,但安装后将占用Worker节点资源。您可以在安装组件时配置各模块的资源申请量。
使用KMS凭据管家会产生费用。相关计费,请参见产品计费。