您可以在應用Pod中以文件系統或Secret掛載的形式,將存儲在阿里云KMS憑據管家中的密文引入到應用程序中使用,避免敏感數據在應用開發構建流程中傳播和泄露。默認情況下,您直接從文件系統讀取密鑰和阿里云KMS憑據管家之間的直接交互可能存在兼容性問題,您可以通過ack-secret-manager或csi-secrets-store-provider-alibabacloud組件解決此類兼容性問題。
組件介紹
ack-secret-manager支持以Kubernetes Secret實例的形式向集群導入或同步KMS憑據信息,確保您集群內的應用能夠安全的訪問敏感信息。工作負載可以通過文件系統掛載指定Secret實例使用憑據信息。
csi-secrets-store-provider-alibabacloud支持以Kubernetes Secret實例的形式向集群導入或同步KMS憑據信息,確保您集群內的應用能夠安全的訪問敏感信息;還支持通過CSI Inline的形式將憑據密鑰作為文件系統直接掛載到應用程序中,適用于通過文件系統接口(例如讀取文件)來獲取敏感信息的應用。
使用場景
組件 | 適用的集群 | 使用說明 | 相關操作 |
ack-secret-manager |
| 支持Secret同步和更新。 | |
csi-secrets-store-provider-alibabacloud | 1.20及以上版本的集群:
|
|
相關計費
ack-secret-manager和csi-secrets-store-provider-alibabacloud安裝使用免費,但安裝后將占用Worker節點資源。您可以在安裝組件時配置各模塊的資源申請量。
使用KMS憑據管家會產生費用。相關計費,請參見產品計費。