Kubernetes-Geheimnisse sicher teilen

Das Problem

Kubernetes-Geheimnisse und Kubeconfig-Dateien enthalten Cluster-Zugangsdaten, Service-Account-Token und TLS-Zertifikate, die direkten Zugriff auf deine Infrastruktur gewähren. Sie über Slack oder E-Mail zu teilen, legt deinen gesamten Cluster offen. Eine geleakte Kubeconfig-Datei gibt einem Angreifer die Möglichkeit, Workloads bereitzustellen, zu modifizieren oder zu zerstören.

Wie Vaulted hilft

Vaulted verschlüsselt deine Kubernetes-Geheimnisse clientseitig per AES-256-GCM vor der Übertragung. Der selbstzerstörende Link stellt sicher, dass Cluster-Zugangsdaten nur bis zum Abruf durch den Empfänger verfügbar sind. Die Zero-Knowledge-Architektur garantiert, dass der Vaulted-Server deine Cluster-Konfiguration niemals im Klartext sieht.

So geht's

1. Füge dein Kubernetes-Geheimnis, deine Kubeconfig oder deinen Service-Account-Token in Vaulted ein
2. Setze ein Einzelaufruf-Limit und ein kurzes Ablaufdatum für maximale Sicherheit
3. Teile den verschlüsselten Link mit dem Ingenieur, der Cluster-Zugriff benötigt
4. Er konfiguriert kubectl mit den Zugangsdaten, und der Link wird dauerhaft zerstört

Kubernetes-Geheimnisse über das Terminal teilen

Verwende die Vaulted CLI, um Cluster-Zugangsdaten zu teilen, ohne das Terminal zu verlassen: cat kubeconfig.yaml | npx vaulted-cli --views 1 --expires 1h. Oder übergib den Inhalt direkt: npx vaulted-cli "$(kubectl get secret my-secret -o jsonpath={.data})" -v 1. Installieren per npm: npm install -g vaulted-cli.

Kubernetes-Geheimnisse in GitHub Actions teilen

Verwende die Vaulted GitHub Action, um Cluster-Zugangsdaten in CI/CD-Pipelines zu teilen: uses: vaulted-fyi/share-secret@v1 mit deinem Kubernetes-Geheimnis als Input. Clientseitig verschlüsselt mit selbstzerstörenden Links. Verfügbar im GitHub Marketplace.