2022年におけるKubernetesのシークレットマネジメントの状況（後半）

Kubernetesのシークレットマネジメントに関する記事です。

長い記事なので、前半と後半の２つに分けて投稿いたします。今回は後半です。

3.3 オペレーター

ここでは、external-secretsを例にして説明します。

External Secrets Operatorは、AWS Secrets Manager、HashiCorp Vault、Google Secrets Manager、Azure Key Vaultなどの外部秘密管理システムを統合するKubernetes演算子です。このオペレーターは、外部APIから情報を読み取り、その値をK8sシークレットに自動的に注入します。

これには多くの利点があります：

• 複数の secrets managerに対応している — ベンダーロックインがありません；
• デプロイメント YAML を更新する必要がありません。
• アプリを変更する必要はありません。外部シークレットにとらわれず、K8s Secretsをネイティブに使用することができます。
• しかし、一つだけ弱点があります。オペレーションコストがかかることです。
• K8sシークレットのYAMLをメンテナンスする必要はありませんが、外部シークレットのYAMLをメンテナンスする必要があるのです。例を挙げます。

apiVersion: external-secrets.io/v1beta1
kind: SecretStore
metadata:
name: secretstore-sample
spec:
provider:
aws:
service: SecretsManager
region: us-east-1
auth:
secretRef:
accessKeyIDSecretRef:
name: awssm-secret
key: access-key
secretAccessKeySecretRef:
name: awssm-secret
key: secret-access-key

シークレット情報を含まず、バージョン管理システムでチェックできるので、ネイティブのK8シークレットYAMLを管理するよりもずっとよいでしょう。

3.4 Secrets CSI

最近の新しい方法としては、Container Storage Interface（CSI）ボリュームを介してシークレットストアをKubernetesに統合する、Secrets Store CSI Driver for Kubernetes secretsが挙げられます。

Secrets Store CSI…