AWS シークレットおよび構成プロバイダーが Amazon EKS のポッドアイデンティティと統合されるようになりました

本記事は、2025 年 2 月 11 日にAWS公式サイトの What’s New with AWS? に掲載された英語記事を自動翻訳したものです。

ニュース内容

本日、AWS Secrets Manager は、AWS Secrets and Configuration Provider (ASCP) が Amazon Elastic Kubernetes Service (Amazon EKS) Pod Identity と統合されたことを発表しました。この統合により、AWS Secrets Manager からシークレットを取得したり、AWS Systems Manager パラメータストアからパラメータを取得したりする際、Amazon EKS の IAM 認証が簡素化されます。この新しい機能により、Kubernetes アプリケーションの IAM 権限をより効率的かつ安全に管理し、シークレットのロールセッションタグによるきめ細かなアクセス制御が可能になります。

ASCP は、業界標準の Kubernetes Secrets Store CSI ドライバーのプラグインです。これにより、Kubernetes ポッドで実行されているアプリケーションは、カスタムコードを使用したり、シークレットがローテーションされたときにコンテナを再起動したりすることなく、AWS Secrets Manager から簡単にシークレットを取得できます。AWS EKS Pod Identity により、Kubernetes アプリケーションの IAM 権限をより効率的かつ安全に構成するプロセスが合理化されます。この統合により、両方のコンポーネントの長所が組み合わされ、Amazon EKS 環境でのシークレット管理が強化されます。

これまで、ASCP は認証に IAM Roles for Service Accounts (IRSA) に依存していました。現在は、新しいオプションパラメータ「usePodIdentity」を使用して、IAM 認証に IRSA と Pod Identity のどちらかを選択できます。この柔軟性により、セキュリティ要件と運用ニーズに最適な認証方法を採用できます。

ASCP と Pod Identity の統合は、AWS Secrets Manager と Amazon EKS Pod Identity がサポートされているすべての AWS リージョンで利用できます。この新機能の使用を開始するには、AWS Secrets Manager のドキュメント、Amazon EKS Pod Identity のドキュメント、およびリリースブログ投稿をご覧ください。

原文

Today, AWS Secrets Manager announces that AWS Secrets and Configuration Provider (ASCP) now integrates with Amazon Elastic Kubernetes Service (Amazon EKS) Pod Identity. This integration simplifies IAM authentication for Amazon EKS when retrieving secrets from AWS Secrets Manager or parameters from AWS Systems Manager Parameter Store. With this new capability, you can manage IAM permissions for Kubernetes applications more efficiently and securely, enabling granular access control through role session tags on secrets.

ASCP is a plugin for the industry-standard Kubernetes Secrets Store CSI Driver. It enables applications running in Kubernetes pods to retrieve secrets from AWS Secrets Manager easily, without the need for custom code or restarting containers when secrets are rotated. The AWS EKS Pod Identity, streamlines the process of configuring IAM permissions for Kubernetes applications in a more efficient and secure way. This integration combines the strengths of both components, enhancing secret management in Amazon EKS environments.

Previously, ASCP relied on IAM Roles for Service Accounts (IRSA) for authentication. Now, you can choose between IRSA and Pod Identity for IAM authentication using the new optional parameter “usePodIdentity”. This flexibility allows you to adopt the authentication method that best suits your security requirements and operational needs.

The integration of ASCP with Pod Identity is available in all AWS Regions where AWS Secrets Manager and Amazon EKS Pod Identity are supported. To get started with this new feature, see the following resources AWS Secrets Manager documentation, Amazon EKS Pod Identity documentation and launch blog post.

引用元：AWS Secrets and Configuration Provider now integrates with Pod Identity for Amazon EKS