Шифрование секретов в Yandex Managed Service for Kubernetes
Используйте ключ Yandex Key Management Service для шифрования секретов — конфиденциальной информации, такой как пароли, OAuth-токены и SSH-ключи, в Yandex Managed Service for Kubernetes. Для этого при создании кластера Managed Service for Kubernetes укажите ключ Key Management Service, который будет использоваться при шифровании и расшифровании.
Ключ шифрования необходимо указать при создании кластера Managed Service for Kubernetes, его нельзя добавить при изменении кластера.
Укажите ключ при создании кластера Managed Service for Kubernetes:
- В консоли управления
выберите каталог, в котором будет создан кластер Managed Service for Kubernetes. - В списке сервисов выберите Managed Service for Kubernetes.
- Нажмите кнопку Создать кластер.
- В поле Ключ шифрования укажите необходимый ключ или создайте новый.
- Закончите заполнение параметров создания кластера.
- Нажмите кнопку Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
Указать ключ при создании кластера Managed Service for Kubernetes можно двумя способами.
-
Используя идентификатор ключа:
yc managed-kubernetes cluster create \ ... --kms-key-id <идентификатор_ключа> \ ...
-
Используя имя ключа:
yc managed-kubernetes cluster create \ ... --kms-key-name <имя_ключа> \ ...
Terraform
Terraform распространяется под лицензией Business Source License
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
Укажите ключ при создании кластера Managed Service for Kubernetes:
-
Добавьте блок
kms_provider
в описание кластера Managed Service for Kubernetes:resource "yandex_kubernetes_cluster" "<имя_кластера>" { ... kms_provider { key_id = "<идентификатор_ключа>" } }
-
Проверьте корректность конфигурационных файлов.
-
В командной строке перейдите в каталог, в котором создан конфигурационный файл.
-
Выполните проверку с помощью команды:
terraform plan
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет. Это проверочный этап: ресурсы не будут созданы.
-
-
Создайте кластер Managed Service for Kubernetes.
-
Если в конфигурации нет ошибок, выполните команду:
terraform apply
-
Подтвердите создание ресурсов.
После этого в указанном каталоге будут созданы все требуемые ресурсы, а в терминале отобразятся IP-адреса виртуальных машин. Проверить появление ресурсов и их настройки можно в консоли управления
. -
Укажите ключ шифрования при создании кластера Managed Service for Kubernetes. Для этого воспользуйтесь методом REST API create для ресурса Cluster или вызовом gRPC API ClusterService/Create.
Передайте идентификатор ключа в соответствующем параметре поля kmsProvider
.
Взаимодействие Managed Service for Kubernetes с Key Management Service происходит с помощью механизма провайдеров Key Management Service