# Kubernetes外部シークレットオペレータ
## 概要
[Kubernetes外部シークレットオペレータ](https://external-secrets.io/latest/)は、さまざまな外部APIからシークレットを同期することで、Kubernetesにシークレットを挿入します。本ページでは主に外部シークレットのセットアップに焦点を当て、KeeperボルトからKubernetesへのシークレットを同期します。
## 特徴
* 外部シークレットを介して、KeeperボルトからKubernetesへシークレットをシームレスに同期します。
* Keeperボルトからすべてのポッドに渡ってシークレットにリアルタイムでアクセスできます。
## 要件
この統合を利用するには、以下が必要となります。
* Keeperシークレットマネージャーへのアクセス (詳細については[クイックスタートガイド](/keeperpam/jp/secrets-manager/quick-start-guide.md)のページをご参照ください)
* Keeperアカウントでシークレットマネージャーのアドオンが有効である
* シークレットマネージャー強制適用ポリシーが有効になっているロールのメンバーシップ
* シークレットが共有された[Keeperシークレットマネージャーアプリケーション](/keeperpam/jp/secrets-manager/about/terminology.md)
* アプリケーションの作成手順については、[クイックスタートガイド](/keeperpam/jp/secrets-manager/quick-start-guide.md)をご参照ください。
* シークレットを読み書きできるように、デバイスに適切な権限を追加してください。
* 初期化された[Keeperシークレットマネージャー構成](/keeperpam/jp/secrets-manager/about/secrets-manager-configuration.md)
* 以下のコマンドがインストール済み
* [`helm`](https://helm.sh/)- Kubernetesのパッケージマネージャー
* [`kubectl`](https://kubernetes.io/docs/reference/kubectl/)- Kubernetesのコマンドライン ツール
## セットアップ
### Helmで外部シークレットをインストールする
以下のコマンドを実行します。
```sh
helm repo add external-secrets https://charts.external-secrets.io
helm install external-secrets \
external-secrets/external-secrets \
-n external-secrets \
--create-namespace
```
### Base64 KSM 構成を保存するためのKubernetesシークレットを作成
ご利用のデバイス用に[Secrets Manager構成](/keeperpam/jp/secrets-manager/about/secrets-manager-configuration.md)を作成すると、KeeperシークレットマネージャーAPI からのデータの認証と復号化に使用される接続トークン、暗号化キー、識別子、ドメイン情報を含む Base64 JSON 文字列が作成されます。
Base64 JSON構成文字列は外部シークレットによって設定されKeeper Securityに対して認証し、通常のKubernetesシークレット内で定義されます。
以下のコマンドを呼び出すと、Keeperシークレットマネージャーへの認証に使用される Kubernetesシークレットが作成されます。
{% code lineNumbers="true" %}
```
kubectl apply -f - <
Base64 JSON文字列に定義した`ksm_config`でKubernetesシークレットを作成すると、SecretStoreを作成できます。
以下のコマンドを呼び出すと、SecretStoreが作成されます。
{% code lineNumbers="true" %}
```
kubectl apply -f - <
次に、ExternalSecretを作成します。
以下のコードでは、外部シークレットを作成し、指定したレコードのログインとパスワードフィールドの値をKubernetesシークレットに保存します。これらのフィールドは`target.template.data`セクションで定義され、30秒ごとに更新されます。サポートされているフィールドのリストについては、[こちらのページ](/keeperpam/jp/secrets-manager/about/field-record-types.md)をご覧ください。
{% code lineNumbers="true" %}
```
kubectl apply -f - <
このプロバイダの使用にはいくつかの制限があります。
* Keeperシークレットマネージャーは、レガシーのタイプなしのレコードでは動作しません。
* Keeperシークレットマネージャーでは`find.tags`タグの使用はサポートされていません。
* `find.path`は現在サポートされていません。
### シークレットをプッシュ
プッシュシークレットは、カスタムKeeperSecurityレコードタイプの`ExternalSecrets`でのみ機能します。
**動作**
* `selector`:
* `secret.name`: プッシュするKubernetes シークレットの名前
* `data.match`:
* `secretKey`: プッシュする選択済みシークレットのキー
* `remoteRef.remoteKey`: リモートプロバイダで作成されるシークレットとキー
* 形式: SecretName/SecretKey
### PushSecretを作成
KubernetesからKeeper Securityレコードを作成するには、`Kind=PushSecret`が必要となります。
{% code lineNumbers="true" %}
```
kubectl apply -f - <
[Kubernetesシークレット](#create-kubernetes-secret-to-store-base64-ksm-config)、[SecretStore](#create-secretstore)、[ExternalSecret](#create-externalsecret)を設定後、`kubectl get secrets`コマンドでシークレットを抽出できます。
上記のコード例では、シークレットの名前はmy-external-secrets-valuesであり、以下のレコード値が保存されます。
```
data:
username: "{{ .login }}"
password: "{{ .password }}"
```
ログインとパスワードの値を取得するには、以下のコマンドを呼び出します。
```
$ kubectl get secret my-external-secrets-values -o jsonpath="{.data}"
{"password":"a2lsbCB5b3U=","username":"SSB3aWxs"}
```
上記の応答はエンコードいるので、デコードするには以下を呼び出します。
```
$ kubectl get secret my-external-secrets-values -o jsonpath="{.data.password}" | base64 --decode
pAs$w0rd
```
## 結論
本ページでは、Kubernetes外部シークレットオペレータを介して KeeperシークレットマネージャーをKubernetesに統合するための手順を詳しく説明しました。上記の手順で、Keeperボルトに保存されているシークレットをKubernetes環境にシームレスに同期できるようになります。これにより、シークレットを安全に管理できるだけでなく、すべてのポッド間でリアルタイムのアクセスも容易になります。
概説したプロセス (外部シークレットオペレータの設定、Kubernetesシークレット、SecretStore、ExternalSecret の作成など) は、この統合の鍵となります。設定が成功すると、コマンドを使用して統合を確認し、保存されているシークレットを簡単に取得できるようになります。
KeeperシークレットマネージャーとKubernetesの統合により、Kubernetes環境で実行されるアプリケーションのセキュリティインフラストラクチャが強化されます。シークレットを管理するための強固な基盤となり、全体的な運用効率とセキュリティ体制が向上します。
コマンド例のすべてのプレースホルダ部分を実際の情報に置き換えるようにしましょう。Kubernetesで外部シークレットを設定または管理する必要があるときはいつでも、本ページをご参照ください。
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/keeperpam/jp/secrets-manager/integrations/kubernetes-external-secrets-operator.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.