AWS Secrets and Configuration Provider が Amazon EKS の Pod Identity を統合

投稿日: 2025年2月11日

本日、AWS Secrets Manager において、AWS Secrets and Configuration Provider (ASCP) が Amazon Elastic Kubernetes Service (Amazon EKS) Pod Identity と統合されたことを発表しました。この統合により、AWS Secrets Manager からシークレットを取得する場合や、AWS Systems Manager Parameter Store からパラメータを取得する場合の Amazon EKS の IAM 認証が簡単になります。この新機能により、Kubernetes アプリケーションの IAM 権限をより効率的かつ安全に管理できるようになり、シークレットのロールセッションタグによるきめ細かなアクセス制御が可能になります。

ASCP は、業界標準の Kubernetes Secrets Store CSI ドライバーのプラグインです。ASCP を使用すると、Kubernetes ポッドで実行しているアプリケーションは、AWS Secrets Manager からシークレットを簡単に取得できます。カスタムコードや、シークレットがローテーションされた際のコンテナの再起動は必要ありません。AWS EKS Pod Identity は、Kubernetes アプリケーションの IAM アクセス権限の設定プロセスを効率的かつ安全な方法で簡素化します。この統合により、両方のコンポーネントの長所が組み合わされ、Amazon EKS 環境におけるシークレット管理が強化されます。

これまで、ASCP はサービスアカウントの IAM ロール (IRSA) を使用して認証を行っていました。今後は、新しいオプションパラメータ usePoDidentity を使用して、IRSA と Pod Identity のどちらかを選択して IAM 認証を行うことができます。この柔軟性により、セキュリティ要件や運用上のニーズに最適な認証方法を採用できます。

ASCP と Pod Identity の統合は、AWS Secrets Manager と Amazon EKS Pod Identity がサポートされているすべての AWS リージョンでご利用いただけます。この新機能の使用を開始するには、AWS Secrets Manager のドキュメントAmazon EKS Pod Identity のドキュメント、リリースのブログ記事をご覧ください。