您可以在应用Pod中以文件系统、Secret挂载或本地HTTP接口读取内存的形式,将存储在阿里云KMS凭据管家中的密文引入到应用程序中使用,避免应用开发构建时泄露敏感数据。若应用依赖文件系统读取密钥,与KMS 凭据管家集成时可能存在兼容性问题,可通过ack-secret-manager或csi-secrets-store-provider-alibabacloud解决;若期望应用可以直接从内存中获取敏感KMS凭据,避免敏感凭据落盘,可通过ack-kms-agent-webhook-injector实现更安全的凭据导入与管理。
组件介绍
ack-secret-manager:支持以Kubernetes Secret的形式向集群导入或同步KMS凭据信息,确保集群内应用能够安全访问敏感数据。工作负载可通过文件系统挂载指定Secret实例,以使用凭据信息。
csi-secrets-store-provider-alibabacloud:支持以Kubernetes Secret的形式向集群导入或同步KMS凭据信息,确保集群内应用能够安全访问敏感数据;还支持通过CSI Inline的形式将凭据密钥作为文件系统直接挂载到应用中,适用于通过文件系统接口(如读取文件)来获取敏感信息的应用。
ack-kms-agent-webhook-injector:将 KMS Agent 作为Sidecar容器注入Pod,使业务应用可通过本地HTTP接口,借助KMS Agent从KMS实例获取凭据并缓存于内存中,避免敏感信息硬编码,提升数据安全性。
使用场景
组件 | 适用的集群 | 使用说明 | 相关操作 |
ack-secret-manager |
| 支持Secret同步和更新。 | |
csi-secrets-store-provider-alibabacloud | 1.20及以上版本的集群:
|
| |
ack-kms-agent-webhook-injector | 1.22及以上版本的集群:
|
|
相关计费
ack-secret-manager和csi-secrets-store-provider-alibabacloud安装使用免费,但安装后将占用Worker节点资源。您可以在安装组件时配置各模块的资源申请量。
使用KMS凭据管家会产生费用,请参见产品计费。