本頁面簡要介紹 Kubernetes 密鑰,以及 Cloud Code 如何協助啟用 Secret Manager API,以便建立、使用及儲存密鑰。
Kubernetes Secret 簡介
建立 Kubernetes 應用程式時,通常需要傳遞少量的機密資料,例如密碼、SSH 金鑰或 OAuth 權杖。Kubernetes Secret 可用於儲存機密資料,不必將這類資訊儲存在 Pod 規格或容器映像檔中。
根據預設,Kubernetes Secret 會以未加密的形式儲存在 API 伺服器的基礎資料儲存庫中。任何有權存取 API 的使用者都能擷取或修改密鑰。 Kubernetes Secrets 文件建議至少採取下列步驟,安全地使用 Kubernetes Secret:
- 啟用 Secret 的靜態資料加密。
- 啟用或設定 RBAC 規則,並授予密鑰最低權限的存取權。
- 限制特定容器的密鑰存取權。
- 考慮使用外部密鑰儲存供應商。
Cloud Code 中的 Secret Manager
Cloud Code 可協助您使用 Secret Manager API,在 IDE 中建立、版本化及儲存密鑰,並採用靜態加密。您可以在 Cloud Code 中專門使用 Secret Manager,也可以搭配其他密鑰管理工具使用。
您可以在 IDE 中使用 Cloud Code 執行下列動作:
- 啟用 Secret Manager API。
- 使用 Secret Manager 檢視畫面或編輯器檢視畫面建立 Kubernetes 密鑰。
- 版本:查看及刪除密鑰。
- 從應用程式存取密鑰。
在 Cloud Code 中使用 Kubernetes 密鑰
如需在 Cloud Code 中建立、版本化、使用及刪除密鑰的逐步操作說明,請參閱「管理密鑰」。
後續步驟
- 如要進一步瞭解 Kubernetes 密鑰,請參閱 Kubernetes 說明文件。
- 請先熟悉 Kubernetes Secret 的最佳做法。
- 建議使用服務帳戶權杖或其他替代方案來取代密鑰。