Berbagi Rahasia Kubernetes dengan Aman

Masalah

Rahasia Kubernetes dan file kubeconfig memuat kredensial cluster, service account token, dan sertifikat TLS yang memberikan akses langsung ke infrastrukturmu. Membagikannya melalui Slack atau email mengekspos seluruh cluster. File kubeconfig yang bocor memberi penyerang kemampuan untuk men-deploy, memodifikasi, atau menghancurkan workload.

Cara Vaulted membantu

Vaulted mengenkripsi rahasia Kubernetes-mu di sisi klien menggunakan AES-256-GCM sebelum transmisi. Tautan yang memusnahkan diri memastikan kredensial cluster hanya tersedia sampai penerima mengambilnya. Arsitektur zero-knowledge menjamin server Vaulted tidak pernah melihat konfigurasi cluster-mu dalam plaintext.

Cara melakukannya

1. Tempel rahasia Kubernetes, kubeconfig, atau service account token-mu ke Vaulted
2. Tetapkan batas satu tampilan dan kedaluwarsa singkat untuk keamanan maksimal
3. Bagikan tautan terenkripsi ke engineer yang membutuhkan akses cluster
4. Mereka mengonfigurasi kubectl dengan kredensial, dan tautan dihancurkan secara permanen

Berbagi rahasia Kubernetes dari terminal

Gunakan Vaulted CLI untuk berbagi kredensial cluster tanpa meninggalkan terminal: cat kubeconfig.yaml | npx vaulted-cli --views 1 --expires 1h. Atau berikan kontennya langsung: npx vaulted-cli "$(kubectl get secret my-secret -o jsonpath={.data})" -v 1. Instal dari npm: npm install -g vaulted-cli.

Berbagi rahasia Kubernetes di GitHub Actions

Gunakan Vaulted GitHub Action untuk berbagi kredensial cluster dalam pipeline CI/CD: uses: vaulted-fyi/share-secret@v1 dengan rahasia Kubernetes sebagai input. Dienkripsi di sisi klien dengan tautan yang memusnahkan diri. Tersedia di GitHub Marketplace.