使用 Cloud Code for Cloud Shell 在 Kubernetes 中儲存機密資訊

本頁面提供 Kubernetes 機密的簡介，以及 Cloud Code 如何協助啟用 Secret Manager API 來建立、使用及儲存機密。

Kubernetes 密鑰簡介

建立 Kubernetes 應用程式時，通常需要傳遞少量機密資料，例如密碼、SSH 金鑰或 OAuth 權杖。您可以建立 Kubernetes 機密，用來儲存機密資料，而非將這類資訊儲存在 Pod 規格或容器映像檔中。

根據預設，Kubernetes 機密資料會以未加密的形式儲存在 API 伺服器的基礎資料儲存庫中。凡是有 API 存取權的使用者，都能擷取或修改密鑰。Kubernetes 密鑰文件建議您至少採取下列步驟，才能安全使用 Kubernetes 密鑰：

• 為密鑰啟用靜態資料加密。
• 啟用或設定 RBAC 規則，並授予 Secrets 最低權限存取權。
• 限制 Secret 對特定容器的存取權。
• 考慮使用外部密鑰儲存庫供應商。

Cloud Code 中的 Secret Manager

Cloud Code 可協助您使用 Secret Manager API，在 IDE 中透過靜態資料加密功能建立、版本化及儲存 Secret。您可以專門在 Cloud Code 中使用 Secret Manager，也可以搭配您用於密鑰管理的其他工具使用。

在 IDE 中使用 Cloud Code 時，可執行的動作包括：

• 啟用 Secret Manager API。
• 使用 Secret Manager 檢視畫面或編輯器檢視畫面建立 Kubernetes 密鑰。
• 版本化、查看及刪除密鑰。
• 從應用程式存取密鑰。
• 新增密鑰做為環境變數。
• 將密鑰掛接為磁碟區。

在 Cloud Code 中使用 Kubernetes 密鑰

如需在 Cloud Code 中建立、控管版本、使用及刪除密鑰的逐步操作說明，請參閱「管理密鑰」。

後續步驟

• 如要進一步瞭解 Kubernetes 密鑰，請參閱 Kubernetes 說明文件。
• 熟悉 Kubernetes 機密資料的最佳做法。
• 建議您使用服務帳戶權杖或其他替代方案來取代機密。