Condividi i segreti Kubernetes in modo sicuro

Il problema

I segreti Kubernetes e i file kubeconfig contengono credenziali del cluster, token degli account di servizio e certificati TLS che concedono accesso diretto alla tua infrastruttura. Condividerli via Slack o email espone l'intero cluster. Un file kubeconfig trapelato dà a un attaccante la capacità di distribuire, modificare o distruggere workload.

Come Vaulted aiuta

Vaulted cifra i tuoi segreti Kubernetes lato client con AES-256-GCM prima della trasmissione. Il link autodistruttivo garantisce che le credenziali del cluster siano disponibili solo finché il destinatario non le recupera. L'architettura zero-knowledge garantisce che il server Vaulted non veda mai la tua configurazione del cluster in chiaro.

Come farlo

1. Incolla il tuo segreto Kubernetes, la kubeconfig o il token dell'account di servizio in Vaulted
2. Imposta un limite di una singola visualizzazione e una breve scadenza per la massima sicurezza
3. Condividi il link cifrato con l'ingegnere che ha bisogno di accedere al cluster
4. Il destinatario configura kubectl con le credenziali, e il link viene distrutto definitivamente

Condividi i segreti Kubernetes dal terminale

Usa la Vaulted CLI per condividere le credenziali del cluster senza lasciare il terminale: cat kubeconfig.yaml | npx vaulted-cli --views 1 --expires 1h. Oppure passa il contenuto direttamente: npx vaulted-cli "$(kubectl get secret my-secret -o jsonpath={.data})" -v 1. Installa da npm: npm install -g vaulted-cli.

Condividi i segreti Kubernetes in GitHub Actions

Usa la Vaulted GitHub Action per condividere le credenziali del cluster nelle pipeline CI/CD: uses: vaulted-fyi/share-secret@v1 con il tuo segreto Kubernetes come input. Cifrato lato client con link autodistruttivi. Disponibile sul GitHub Marketplace.