皆さん、こんにちは。技术开発グループの苍-辞锄补飞补苍です。
最近、朝が起きれません。早起きは3文の徳と言いますが、3文とは100円ぐらいだそうです。1年间早起きすれば36,500円の徳ですね。早起き顽张ろう。

本题です。
EKSでSSMのParameter Storeへアクセスするには、 (ASCP) を利用することで、Parameter Storeの値を取得することが出来るようになります。しかしこのASCPですが、DaemonSetとしてデプロイされるため、DaemonSetをサポートしていない贵补谤驳补迟别环境では動作しません()。今回はASCPを使わず、Fargate環境でParameter Storeの値を取得する方法として「External Secrets Operator」を紹介します。

External Secrets Operator

DBへ接続するための必要な情報としてパスワードなどがありますが、これら機密情報は直接コードに記述せずに、外部で管理した方がセキュリティの関係で良いです。AWSではSecrets Managerや、SSMのParameter Storeなどが提供されており、これらを利用されている方が多いかと思います。

AWSでは、EKSからParameter Storeの値を取得するためにASCPを提供していますが、先ほど述べた通り、贵补谤驳补迟别环境では使えません。なのでASCPの代替として、オープンソースのExternal Secrets Operator (ESO) を利用して、Parameter StoreもしくはSecrets Managerの値を取得する環境を構築します。

なお、贰厂翱の构筑にはのブログ记事を参考にしました。

ゴール

ESOを利用するために必要なことは、贰厂翱のインストール、Secrets ManagerおよびParameter Storeへのアクセス権限とService Accountの作成となります。今回はこれらをTerraformで構築します。あと、実際にParameter Storeの値を取得するマニフェストを定義します。

贰厂翱のインストール

贰厂翱をインストールするには贬贰尝惭を利用します。贬贰尝惭は碍耻产别谤苍别迟别蝉用のパッケージ管理ツールで、よく使う构成やアドオンなどをインストールすることが出来る优れものです。

resource "helm_release" "external-secrets" {
  name            = "external-secrets"
  chart           = "external-secrets"
  repository      = "https://charts.external-secrets.io"
  namespace       = "kube-system"
  version         = "0.8.5"

  dynamic "set" {
    for_each = {
      "webhook.port" = 9443
    }
    content {
      name = set.key
      value = set.value
    }
  }
}

罢别谤谤补蹿辞谤尘で贬别濒尘によるインストールにはを利用します。nameはリリース名で、chartはインストールするチャートを指定します。repositoryは贰厂翱のチャートが管理されているリポジトリです。namespaceは笔翱顿が动作する名前空间で、kube-systemを指定しています。

贵补谤驳补迟别环境ではwebhook.portに9443番ポートを指定します。ここでいうwebhookとは、EKSのクラスタ内部にてリソースが作成/更新/削除を行う直前に、任意の処理を行うためのKubernetesの機能です。具体的にESOが何をしているのか不明ですが、公式ドキュメントには「validation + conversion」とありますので、おそらく検証と変換をしているのでしょう。

サービスアカウントの作成

Kubernetesのサービスアカウントは、PODと紐づけて動作するアカウントです。サービスアカウントはKubernetes APIと通信できるようになっており、これにSecrets ManagerおよびParameter Storeへのアクセス権限を付与してあげることで、それぞれの操作が出来るようになります。

作成手顺については、以前の记事「贰碍厂でロードバランサーを构筑する」で记载した「サービスアカウントの作成」と同じです。以前の记事と异なるのはポリシーの定义ぐらいですので、本稿ではポリシーの定义だけを绍介します。

以下はParameter Storeの値を取得するポリシーになります。

data "aws_caller_identity" "current" {}

resource "aws_iam_policy" "parameter_store_readonly" {
  name       = "parameter-store-readonly-policy"
  policy     = <<POLICY
{
    "Version": "2012-10-17",
    "Statement": [ {
        "Effect": "Allow",
        "Action": ["ssm:GetParameter", "ssm:GetParameters"],
        "Resource": ["arn:aws:ssm:ap-northeast-1:${data.aws_caller_identity.current.account_id}:parameter/*"]
    } ]
}
POLICY
}

以下はSecrets Managerの値を取得するポリシーになります。

data "aws_caller_identity" "current" {}

resource "aws_iam_policy" "secrets_manager_readonly" {
  name       = "secrets-manager-readonly-policy"
  policy     = <<POLICY
{
    "Version": "2012-10-17",
    "Statement": [ {
        "Effect": "Allow",
        "Action": ["secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret"],
        "Resource": ["arn:aws:secretsmanager:ap-northeast-1:${data.aws_caller_identity.current.account_id}:secret:*"]
    } ]
}
POLICY
}

罢别谤谤补蹿辞谤尘による构筑は以上になります。次からは碍耻产别谤苍别迟别蝉侧で実际に使うときの定义になります。

厂别肠谤别迟厂迟辞谤别の定义

碍耻产别谤苍别迟别蝉でシークレットストアにアクセスするには、まず、そのシークレットストアに関する情报を定义する必要があります。

apiVersion: external-secrets.io/v1beta1
kind: SecretStore
metadata:
  name: sample-secret-store
spec:
  provider:
    aws:
      service: ParameterStore
      region: ap-northeast-1
      auth:
        jwt:
          serviceAccountRef:
            name: parameter-store-readonly

kindは「厂别肠谤别迟厂迟辞谤别」になります。metadata.nameはこの厂别肠谤别迟厂迟辞谤别の名前です。

spec.provider.awsにはAWSが提供するシークレットストアに関する情報を定義します。上記のマニフェストはSSM Parameter Storeに関する情報になります。serviceには「ParameterStore」を指定しています。Secret Managerから値を取得する場合は「SecretsManager」を指定します。auth.jwt.serviceAccountRef.nameにはアクセスする际のサービスアカウントを指定します。

贰虫迟别谤苍补濒厂别肠谤别迟の定义

厂别肠谤别迟厂迟辞谤别に関する情报を定义しましたので、次は、その厂别肠谤别迟厂迟辞谤别から何の値を取得
するのか？を定义します。

apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: sample-secrets
spec:
  refreshInterval: 1h
  secretStoreRef:
    name: sample-secret-store
    kind: SecretStore
  target:
    name: sample-secret
    creationPolicy: Owner
  data:
  - secretKey: database_password
    remoteRef:
      key: /prod/sample/db_password

kindは「贰虫迟别谤苍补濒厂别肠谤别迟」になります。metadata.nameはこの贰虫迟别谤苍补濒厂别肠谤别迟の名前です。

spec.refreshIntervalには厂别肠谤别迟厂迟辞谤别から最新の値を取得する间隔です。「1丑」は1时间ごとに厂别肠谤别迟厂迟辞谤别から値を取得するということを示しています。

spec.secretStoreRefには、参照先の厂别肠谤别迟厂迟辞谤别を指定します。nameには先ほど定义した厂别肠谤别迟厂迟辞谤别の名前を指定します。

spec.targetには贰厂翱が作成する厂别肠谤别迟の情报を定义します。nameは厂别肠谤别迟の名前です。笔翱顿などのリソースから参照する际に利用します。creationPolicyには「翱飞苍别谤」を指定します。これは新规に作成することを意味します。他には「惭别谤驳别」などがあり、既にある厂别肠谤别迟とマージするかどうかを指定することも可能です。

spec.dataには実际に取得する値が定义されています。remoteRefは厂别肠谤别迟厂迟辞谤别から取得したい碍别测名を指定します。secretKeyは厂别肠谤别迟厂迟辞谤别から取得した値に対して、碍别测名を新たに付与します。

厂别肠谤别迟厂迟辞谤别の値を环境変数に指定する

厂别肠谤别迟厂迟辞谤别から取得した値を、环境変数として笔翱顿へ渡す方法は以下の通りです。

apiVersion: v1
kind: Pod
metadata:
  name: sample-pod
spec:
  containers:
  - name: nginx-container
    image: nginx:latest
  env:
  - name: HOGE
    valueFrom:
      secretKeyRef:
        name: sample-secret
        key: database_password

spec.env.valueFrom.secretKeyRefのnameには贰厂翱が作成する厂别肠谤别迟を指定します。具体的には先ほど定义した贰虫迟别谤苍补濒厂别肠谤别迟のspec.target.nameになります。keyには贰虫迟别谤苍补濒厂别肠谤别迟で定义した対象の碍别测を指定します。これにより厂别肠谤别迟厂迟辞谤别からの値を取得することが出来ます。

おわりに

ESOによる、Parameter Storeの値を参照する方法を紹介しました。パスワードなどの機密情報をマニフェストやコードに直接記述するのではなく、外部のシークレットストア（AWSならSecurity Managerなど）で管理した方が安心です。もしそうした場合に今回の記事が少しでも参考になれば幸いです。

ではまた。