Gérer les secrets d'application

Cette page décrit quelques bonnes pratiques pour gérer les secrets des applications que vous déployez sur Google Kubernetes Engine ou sur des clusters GKE associés à l'aide de Cloud Deploy.

Évitez de gérer les secrets depuis les pipelines Cloud Deploy, car l'injection de secrets d'application dans les artefacts de déploiement présente des risques de sécurité.

Les secrets consommés de cette manière doivent être générés, gérés et renouvelés en dehors du champ d'application de Cloud Deploy.

Dans ce contexte, les secrets font référence à des données sensibles telles que les identifiants de base de données, les clés API, les certificats ou les mots de passe.

Secrets Kubernetes

Les secrets Kubernetes sont des objets sécurisés qui stockent des données sensibles, telles que des mots de passe, des jetons OAuth et des clés SSH, dans vos clusters, séparément des pods. Les secrets sont semblables aux ConfigMaps, mais sont conçus pour contenir des données confidentielles.

Étant donné que les secrets Kubernetes ne sont pas sécurisés par défaut, les approches décrites dans ce document ne les utilisent pas sans chiffrement.

Gérer les secrets à utiliser avec Cloud Deploy

Cette section explique comment gérer les secrets pour les applications que vous déployez à l'aide de Cloud Deploy.

Voici deux approches pour gérer les secrets avec GKE ou les clusters associés à GKE :

• Google Secret Manager

• Hashicorp Vault

Google Secret Manager

Secret Manager est un service multirégion Google Cloudentièrement géré qui stocke de manière sécurisée des clés API, des mots de passe et d'autres données sensibles.

Les secrets de Secret Manager sont accessibles depuis le cluster à l'aide de la bibliothèque cliente et de l'authentification Workload Identity, ou à l'aide du pilote CSI Secrets Store.

Pour utiliser Secret Manager dans votre application :

1. Créez un secret à l'aide de Secret Manager.

2. Référencez le secret à partir du code de votre application à l'aide du SDK.

Vous pouvez spécifier des métadonnées supplémentaires pour le secret à l'aide de variables d'environnement, par exemple la version du secret ou l'environnement de l'application (développement, staging, production, etc.).

Si le processus de déploiement d'une fonctionnalité spécifique inclut le provisionnement de l'infrastructure, créez ou mettez à jour le secret à l'aide de Secret Manager dans le cadre du processus de provisionnement, avant de déployer l'application.

Pour en savoir plus sur la gestion des secrets Kubernetes avec Secret Manager, consultez la page Utiliser Secret Manager avec d'autres produits .

HashiCorp Vault

Hashicorp Vault est un outil Open Source populaire et largement utilisé pour gérer les secrets. Google Cloud offre de nombreuses intégrations et une compatibilité avec Vault, ainsi qu'avec d'autres outils Hashicorp tels que Terraform.

Vous pouvez configurer Vault dans votre cluster Kubernetes comme suit :

1. Accédez aux secrets Vault via l'API et authentifiez-vous à l'aide de Workload Identity.

2. Injectez des secrets dans vos pods Kubernetes à l'aide de conteneurs Vault Agent.

3. Utilisez le fournisseur CSI Vault pour consommer ces secrets.

Étape suivante

• En savoir plus sur les bonnes pratiques de Secret Manager

• Consultez un article de blog sur les bonnes pratiques de sécurité avec HashiCorp Vault et Terraform sur Google Cloud.

• En savoir plus sur la gestion des secrets dans GKE

• Découvrez comment configurer Vault sur Google Cloud.