SEのゆるい技術メモ

ゆるくメモしてるので参考までに

【ポエム】KunbernetesのSecretは特段シークレットではない話

Secretオブジェクト

最初にConfigMapとSecretを勉強した時は、Secretに秘密情報を保持しようと思っていました。
が、実際はBase64エンコードしているだけなので例えば以下のようにSecretがあっても

apiVersion: v1
data:
  PASSWOrD: YWRtaW5wYXNzdzByZA==
kind: Secret
metadata:
  creationTimestamp: null
  name: test-env

以下で簡単に復元できます。

$ echo YWRtaW5wYXNzdzByZA== | base64 -d
adminpassw0rd

じゃあ何が便利?

権限を分けることができて、ユーザによってConfigMapは読めるがSecretは読めないなんてこともできます。

最終的なセキュリティの担保はストレージ側で担保することが求められるんでしょうね。メモ。