Esta página oferece uma introdução rápida sobre o que são os segredos do Kubernetes e como o Cloud Code ajuda a API Secret Manager a criar, usar e armazenar esses segredos.
Introdução aos secrets do Kubernetes
Ao criar aplicativos do Kubernetes, muitas vezes é necessário passar pequenos quantidades de dados sensíveis para senhas, chaves SSH ou tokens OAuth. Em vez de armazenar essas informações em uma especificação de pod ou imagem de contêiner, é possível criar secrets do Kubernetes para armazenar os dados sensíveis.
Por padrão, os secrets do Kubernetes são armazenados sem criptografia repositório de dados subjacente. Qualquer pessoa com acesso à API pode extrair ou modificar uma chave secreta. A documentação do Kubernetes Secrets recomenda que você siga pelo menos as seguintes etapas para usá-lo com segurança Secrets do Kubernetes:
- Ativar a criptografia em repouso para Secrets.
- Ativar ou configurar regras de controle de acesso baseado em função (RBAC) com acesso de privilégio mínimo aos Secrets.
- Restringir o acesso ao Secret a contêineres específicos.
- Considere o uso de provedores de armazenamento de secrets externos.
Secret Manager no Cloud Code
O Cloud Code ajuda você a usar a API Secret Manager para criar, controlar a versão e armazenar secrets com criptografia em repouso no seu IDE. É possível usar o Secret Manager exclusivamente no Cloud Code ou além de outras ferramentas que você já usa para gerenciamento de secrets.
As ações disponíveis no seu ambiente de desenvolvimento integrado com o Cloud Code incluem:
- Ative a API Secret Manager.
- Crie secrets do Kubernetes usando a visualização do Secret Manager ou do editor.
- Controlar versões, visualizar e excluir segredos.
- Acesse secrets do seu aplicativo.
Trabalhe com secrets do Kubernetes no Cloud Code
Para instruções detalhadas sobre como criar, controlar a versão, usar e excluir secrets no Cloud Code, consulte Gerenciar secrets.
A seguir
- Leia mais sobre os segredos do Kubernetes na documentação do Kubernetes.
- Conheça as práticas recomendadas para secrets do Kubernetes.
- Use um token de conta de serviço. ou outras alternativas aos secrets.