Шифрование секретов в Managed Service for Kubernetes
Используйте ключ KMS для шифрования секретов — конфиденциальной информации, такой как пароли, OAuth-токены и SSH-ключи, в Yandex Managed Service for Kubernetes. Для этого при создании кластера укажите ключ KMS, который будет использоваться при шифровании и расшифровке.
Ключ шифрования необходимо указать при создании кластера Kubernetes, его нельзя добавить при изменении кластера.
Укажите ключ при создании кластера Kubernetes:
- В консоли управления выберите каталог, в котором будет создан кластер Kubernetes.
- В списке сервисов выберите Managed Service for Kubernetes.
- Нажмите кнопку Создать кластер.
- В поле Ключ шифрования укажите необходимый ключ или создайте новый.
- Закончите заполнение параметров создания кластера.
- Нажмите кнопку Создать кластер.
Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
Указать ключ при создании кластера Kubernetes можно двумя способами.
-
Используя идентификатор ключа:
yc k8s create --kms-key-id <идентификатор ключа шифрования> \ ...
-
Используя имя ключа:
yc k8s create --kms-key-name <имя ключа шифрования> \ ...
Взаимодействие Managed Service for Kubernetes с KMS происходит с помощью механизма KMS провайдеров. Managed Service for Kubernetes поддерживает KMS-плагин, который используется для шифрования и расшифровки ключей шифрования данных (DEK) в KMS. Шифрование секретов осуществляется стандартными средствами Kubernetes.