ACM теперь поддерживает автоматизированное управление сертификатами для Kubernetes
Менеджер сертификатов AWS (ACM) теперь автоматически выделяет и распространяет сертификаты для рабочих нагрузок Kubernetes через контроллеры AWS для Kubernetes (ACK). Ранее в ACM было автоматизировано управление сертификатами для сервисов, интегрированных с AWS, например балансировщиков нагрузки приложений и CloudFront. При этом использование сертификатов ACM в приложениях, прерывающих работу протокола TLS в Kubernetes, требовало выполнения действий вручную: экспорта сертификатов и закрытых ключей через API, создания секретов Kubernetes и их обновления при продлении. Эта интеграция расширяет автоматизацию ACM на любую рабочую нагрузку Kubernetes как с публичными, так и с закрытыми сертификатами, позволяя управлять ими с помощью встроенных Kubernetes API.
С помощью ACK сертификаты определяются как ресурсы Kubernetes, а контроллер ACK автоматизирует полный жизненный цикл сертификатов: запрашивает их у ACM, экспортирует после проверки, обновляет секреты Kubernetes с помощью сертификата и закрытого ключа и автоматически обновляет эти секреты при продлении. Это позволяет использовать экспортируемые публичные сертификаты ACM (выпущенные в июне 2025 года) для рабочих нагрузок с выходом в Интернет или закрытые сертификаты AWS Private CA для внутренних сервисов в Amazon EKS или других средах Kubernetes. Примеры использования включают прерывание работы протокола TLS в подах приложений (NGINX, пользовательские приложения), защиту взаимодействия между сервисными сетками (Istio, Linkerd) и управление сертификатами сторонних контроллеров входящего трафика (NGINX Ingress, Traefik). Также можно распространять сертификаты в гибридные и периферийные среды Kubernetes.
Эта функция доступна во всех регионах присутствия ACM, включая коммерческие регионы, регионы AWS GovCloud (США) и регионы Китая.
Дополнительные сведения можно найти на GitHub или в нашей документации и на странице цен.