本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon Elastic Kubernetes Service 中使用 AWS Secrets Manager 秘密
<a name="integrate_eks"></a>

若要將來自 AWS Secrets Manager (ASCP) 的秘密顯示為掛載在 Amazon EKS Pod 中的檔案，您可以使用 AWS Kubernetes Secrets Store CSI Driver 的 Secrets and Configuration Provider。ASCP 可與執行 Amazon EC2 節點群組的 Amazon Elastic Kubernetes Service 1.17\+ 搭配使用。不支援 Amazon EC2 節點群組。 AWS Fargate 透過 ASCP，您可以在 Secrets Manager 中存放和管理您的秘密，然後透過在 Amazon EKS 上執行的工作負載擷取這些秘密。如果您的秘密包含 JSON 格式的多個鍵/值對，您可以選擇要在 Amazon EKS 中掛載的鍵/值對。ASCP 使用 JMESPath 語法來查詢秘密中的鍵值對。ASCP 也可與 Parameter Store 參數搭配使用。ASCP 提供兩種使用 Amazon EKS 進行身分驗證的方法。第一種方法使用服務帳戶的 IAM 角色 (IRSA)。第二種方法使用 Pod 身分識別。每種方法都有其優點和使用案例。

## 具有服務帳戶 IAM 角色 (IRSA) 的 ASCP
<a name="csi_driver_overview"></a>

具有服務帳戶 IAM 角色 (IRSA) 的 ASCP 可讓您將來自 的秘密掛載 AWS Secrets Manager 為 Amazon EKS Pod 中的檔案。此方法適用於下列情況：
+ 您需要將秘密掛載為 Pod 中的檔案。
+ 您在 Amazon EC2 節點群組中使用 Amazon EKS 1.17 版或更新版本。
+ 您想要從 JSON 格式的秘密擷取特定的鍵/值對。

如需詳細資訊，請參閱[使用 AWS Secrets and Configuration Provider CSI 搭配服務帳戶 (IRSA) 的 IAM 角色](integrating_ascp_irsa.md)。

## 具有 Pod 身分識別的 ASCP
<a name="pod_identity_overview"></a>

具有 Pod Identity 的 ASCP 方法可增強安全性，並簡化在 Amazon EKS 中存取秘密的組態。此方法在下列情況下非常有用：
+ 您需要在 Pod 層級進行更精細的許可管理。
+ 您使用 Amazon EKS 1.24 版或更新版本。
+ 您想要改善效能與可擴展性。

如需詳細資訊，請參閱[使用 AWS 秘密和組態提供者 CSI 搭配 Amazon EKS 的 Pod 身分](ascp-pod-identity-integration.md)。

## 選擇正確的方法
<a name="comparison"></a>

決定具有 IRSA 的 ASCP 和具有 Pod 身分識別的 ASCP 時，請考慮下列因素：
+ Amazon EKSversion：Pod 身分識別需要 Amazon EKS 1.24 版或更高版本，而 CSI 驅動程式可與 Amazon EKS 1.17 版或更高版本搭配使用。
+ 安全需求：Pod 身分識別在 Pod 層級提供更精細的控制。
+ 效能：Pod 身分識別通常在大規模環境中表現較佳。
+ 複雜性：Pod 身分識別透過消除對單獨服務帳戶的需求，簡化設定。

選擇最符合您特定需求與 Amazon EKS 環境的方法。