Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Key Management Service
  • Начало работы
    • Все руководства
    • Шифрование секретов в Managed Service for Kubernetes
    • Подпись и проверка Docker-образов в Managed Service for Kubernetes
    • Управление ключами KMS с HashiCorp Terraform
    • Шифрование секретов в HashiCorp Terraform
    • Auto Unseal в HashiCorp Vault
    • Безопасная передача пароля в скрипт инициализации
    • Шифрование для бакета Object Storage на стороне сервера
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • Вопросы и ответы
  • Обучающие курсы

В этой статье:

  • Необходимые платные ресурсы
  • См. также
  1. Практические руководства
  2. Шифрование секретов в Managed Service for Kubernetes

Шифрование секретов в Yandex Managed Service for Kubernetes

Статья создана
Yandex Cloud
Улучшена
Обновлена 21 апреля 2025 г.
  • Необходимые платные ресурсы
  • См. также

Используйте ключ Yandex Key Management Service для шифрования секретов — конфиденциальной информации, такой как пароли, OAuth-токены и SSH-ключи, в Yandex Managed Service for Kubernetes. Для этого при создании кластера Managed Service for Kubernetes укажите ключ Key Management Service, который будет использоваться при шифровании и расшифровании.

Ключ шифрования необходимо указать при создании кластера Managed Service for Kubernetes, его нельзя добавить при изменении кластера.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость поддержки описываемого решения входит плата за сервис Key Management Service: количество активных версий ключа (в статусах Active и Scheduled For Destruction) и выполненных криптографических операций (см. тарифы Key Management Service).

Консоль управления
CLI
Terraform
API

Укажите ключ при создании кластера Managed Service for Kubernetes:

  1. В консоли управления выберите каталог, в котором будет создан кластер Managed Service for Kubernetes.
  2. В списке сервисов выберите Managed Service for Kubernetes.
  3. Нажмите кнопку Создать кластер.
  4. В поле Ключ шифрования укажите необходимый ключ или создайте новый.
  5. Закончите заполнение параметров создания кластера.
  6. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Указать ключ при создании кластера Managed Service for Kubernetes можно двумя способами.

  • Используя идентификатор ключа:

    yc managed-kubernetes cluster create \
      ...
      --kms-key-id <идентификатор_ключа> \
      ...
    
  • Используя имя ключа:

    yc managed-kubernetes cluster create \
      ...
      --kms-key-name <имя_ключа> \
      ...
    

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Укажите ключ при создании кластера Managed Service for Kubernetes:

  1. Добавьте блок kms_provider в описание кластера Managed Service for Kubernetes:

    resource "yandex_kubernetes_cluster" "<имя_кластера>" {
      ...
      kms_provider {
        key_id = "<идентификатор_ключа>"
      }
    }
    
  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в каталог, в котором создан конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan
      

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет. Это проверочный этап: ресурсы не будут созданы.

  3. Создайте кластер Managed Service for Kubernetes.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply
      
    2. Подтвердите создание ресурсов.

    После этого в указанном каталоге будут созданы все требуемые ресурсы, а в терминале отобразятся IP-адреса виртуальных машин. Проверить появление ресурсов и их настройки можно в консоли управления.

Укажите ключ шифрования при создании кластера Managed Service for Kubernetes. Для этого воспользуйтесь методом REST API create для ресурса Cluster или вызовом gRPC API ClusterService/Create.

Передайте идентификатор ключа в соответствующем параметре поля kmsProvider.

Взаимодействие Managed Service for Kubernetes с Key Management Service происходит с помощью механизма провайдеров Key Management Service. Managed Service for Kubernetes поддерживает плагин Key Management Service, который используется для шифрования и расшифрования ключей шифрования данных (DEK) в Key Management Service. Шифрование секретов осуществляется стандартными средствами Kubernetes.

См. такжеСм. также

  • Начало работы с Managed Service for Kubernetes.
  • Шифрование по схеме envelope encryption.
  • Создание секретов в Kubernetes.

Была ли статья полезна?

Предыдущая
Шифрование с помощью Google Tink
Следующая
Подпись и проверка Docker-образов в Managed Service for Kubernetes
Проект Яндекса
© 2025 ООО «Яндекс.Облако»