Bagikan melalui

Hubungkan idP Azure Anda ke Driver CSI Penyimpanan Rahasia Azure Key Vault di Azure Kubernetes Service (AKS)

  • Artikel

Driver Secrets Store Container Storage Interface (CSI) di Azure Kubernetes Service (AKS) menyediakan berbagai metode akses berbasis identitas ke Azure Key Vault Anda. Artikel ini menguraikan metode dan praktik terbaik ini kapan harus menggunakan model keamanan kontrol akses berbasis Peran (RBAC) atau OpenID Connect (OIDC) untuk mengakses brankas kunci dan kluster AKS Anda.

Anda dapat menggunakan salah satu metode akses berikut:

  • Konektor Layanan dengan identitas terkelola
  • ID Beban Kerja
  • Identitas terkelola yang ditetapkan pengguna

Pelajari cara menyambungkan ke Azure Key Vault dengan Driver Secrets Store CSI di kluster Azure Kubernetes Service (AKS) menggunakan Konektor Layanan. Di artikel ini, Anda menyelesaikan tugas-tugas berikut:

  • Buat kluster AKS dan Azure Key Vault.
  • Buat koneksi antara kluster AKS dan Azure Key Vault dengan Konektor Layanan.
  • Buat SecretProviderClass CRD dan Pod yang menggunakan penyedia CSI untuk menguji koneksi.
  • Membersihan sumber daya.

Penting

Fitur pratinjau AKS tersedia berdasarkan layanan mandiri. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan mereka dikecualikan dari perjanjian tingkat layanan dan garansi terbatas. Pratinjau AKS sebagian dicakup oleh dukungan pelanggan berdasarkan upaya terbaik. Dengan demikian, fitur-fitur ini tidak dimaksudkan untuk penggunaan produksi. Untuk informasi lebih lanjut, lihat artikel dukungan berikut ini:

Prasyarat

Penyetelan awal

  1. Jika Anda menggunakan Konektor Layanan untuk pertama kalinya, mulailah dengan menjalankan perintah az provider register untuk mendaftarkan penyedia sumber daya Konektor Layanan dan Konfigurasi Kubernetes.

    az provider register -n Microsoft.ServiceLinker

    az provider register -n Microsoft.KubernetesConfiguration

    Tip

    Anda dapat memeriksa apakah penyedia sumber daya ini telah terdaftar dengan menjalankan perintah az provider show -n "Microsoft.ServiceLinker" --query registrationState dan az provider show -n "Microsoft.KubernetesConfiguration" --query registrationState.

  2. Secara opsional, gunakan perintah Azure CLI untuk mendapatkan daftar layanan target yang didukung untuk kluster AKS.

    az aks connection list-support-types --output table

Membuat sumber daya Azure

  1. Buat grup sumber daya menggunakan az group create perintah .

    az group create \
    --name <resource-group-name> \
    --location <location>

  2. Buat kluster AKS menggunakan az aks create perintah . Contoh berikut membuat kluster AKS simpul tunggal dengan identitas terkelola diaktifkan.

    az aks create \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --node-count 1

  3. Sambungkan ke kluster menggunakan az aks get-credentials perintah .

    az aks get-credentials \
    --resource-group <resource-group-name> \
    --name <cluster-name>

  4. Buat brankas kunci Azure menggunakan az keyvault create perintah .

    az keyvault create \
    --resource-group <resource-group-name> \  
    --name <key-vault-name> \
    --location <location>

  5. Buat rahasia di brankas kunci menggunakan az keyvault secret set perintah .

    az keyvault secret set \
    --vault-name <key-vault-name> \
    --name <secret-name> \
    --value <secret-value>

Membuat koneksi layanan di AKS dengan Konektor Layanan (pratinjau)

Anda dapat membuat koneksi layanan ke Azure Key Vault menggunakan portal Azure atau Azure CLI.

  1. Di portal Azure, navigasikan ke sumber daya kluster AKS Anda.

  2. Dari menu layanan, di bawah Pengaturan, pilih Konektor Layanan (Pratinjau)>Buat.

  3. Pada halaman Buat koneksi , konfigurasikan pengaturan berikut ini di tab Dasar :

    • Namespace layanan Kubernetes: Pilih default.
    • Jenis layanan: Pilih Key Vault dan pilih kotak centang untuk mengaktifkan Penyedia CSI Azure Key Vault.
    • Nama koneksi: Masukkan nama untuk koneksi.
    • Langganan: Pilih langganan yang berisi brankas kunci.
    • Brankas kunci: Pilih brankas kunci yang Anda buat.
    • Jenis klien: Pilih Tidak Ada.

  4. Pilih Tinjau + buat, lalu pilih Buat untuk membuat koneksi.

Menguji koneksi

Mengkloning repositori sampel dan menyebarkan file manifes

  1. Kloning repositori sampel menggunakan git clone perintah .

    git clone https://github.com/Azure-Samples/serviceconnector-aks-samples.git

  2. Ubah direktori ke sampel penyedia CSI Azure Key Vault.

    cd serviceconnector-aks-samples/azure-keyvault-csi-provider

  3. secret_provider_class.yaml Dalam file, ganti tempat penampung berikut dengan informasi Azure Key Vault Anda:

    • Ganti dengan nama brankas kunci yang Anda buat dan sambungkan <AZURE_KEYVAULT_NAME> .
    • Ganti <AZURE_KEYVAULT_TENANTID> dengan ID penyewa brankas kunci.
    • Ganti <AZURE_KEYVAULT_CLIENTID> dengan ID klien identitas addon azureKeyvaultSecretsProvider .
    • Ganti <KEYVAULT_SECRET_NAME> dengan rahasia brankas kunci yang Anda buat. Contohnya,ExampleSecret.

  4. Sebarkan SecretProviderClass CRD menggunakan kubectl apply perintah .

    kubectl apply -f secret_provider_class.yaml

  5. Sebarkan Pod file manifes menggunakan kubectl apply perintah .

    Perintah membuat pod bernama sc-demo-keyvault-csi di namespace default kluster AKS Anda.

    kubectl apply -f pod.yaml

Memverifikasi koneksi

  1. Pastikan pod berhasil dibuat menggunakan kubectl get perintah .

    kubectl get pod/sc-demo-keyvault-csi

    Setelah pod dimulai, tersedia konten yang dipasang pada jalur volume yang ditentukan dalam penyebaran YAML Anda.

  2. Tampilkan rahasia yang disimpan di penyimpanan rahasia menggunakan kubectl exec perintah .

    kubectl exec sc-demo-keyvault-csi -- ls /mnt/secrets-store/

  3. Tampilkan rahasia menggunakan kubectl exec perintah .

    Contoh perintah ini menunjukkan rahasia pengujian bernama ExampleSecret.

    kubectl exec sc-demo-keyvault-csi -- cat /mnt/secrets-store/ExampleSecret

Prasyarat untuk Driver CSI

Akses dengan ID Beban Kerja Microsoft Entra

ID Beban Kerja Microsoft Entra adalah identitas yang digunakan aplikasi yang berjalan di pod untuk mengautentikasi dirinya terhadap layanan Azure lainnya, seperti beban kerja dalam perangkat lunak. Driver CSI Secret Store terintegrasi dengan kemampuan Kubernetes asli untuk bergabung dengan penyedia identitas eksternal.

Dalam model keamanan ini, kluster AKS bertindak sebagai penerbit token. Microsoft Entra ID kemudian menggunakan OIDC untuk menemukan kunci penandatanganan publik dan memverifikasi keaslian token akun layanan sebelum menukarnya dengan token Microsoft Entra. Agar beban kerja Anda menukar token akun layanan yang diproyeksikan ke volumenya untuk token Microsoft Entra, Anda memerlukan pustaka klien Azure Identity di Azure SDK atau Microsoft Authentication Library (MSAL)

Catatan

  • Metode autentikasi ini menggantikan identitas yang dikelola pod Microsoft Entra (pratinjau). Sumber terbuka identitas yang dikelola pod Microsoft Entra (pratinjau) di Azure Kubernetes Service telah tidak digunakan lagi pada 24/10/2022.
  • ID Beban Kerja Microsoft Entra mendukung kluster Windows dan Linux.

Mengonfigurasi identitas beban kerja

  1. Atur az account set langganan Anda menggunakan perintah .

    export SUBSCRIPTION_ID=<subscription id>
export RESOURCE_GROUP=<resource group name>
export UAMI=<name for user assigned identity>
export KEYVAULT_NAME=<existing keyvault name>
export CLUSTER_NAME=<aks cluster name>

az account set --subscription $SUBSCRIPTION_ID

  2. Buat identitas terkelola menggunakan az identity create perintah .

    Catatan

    Langkah ini mengasumsikan Anda memiliki kluster AKS yang ada dengan identitas beban kerja diaktifkan. Jika Anda tidak mengaktifkannya, lihat Mengaktifkan identitas beban kerja pada kluster AKS yang ada untuk mengaktifkannya.

    az identity create --name $UAMI --resource-group $RESOURCE_GROUP

export USER_ASSIGNED_CLIENT_ID="$(az identity show --resource-group $RESOURCE_GROUP --name $UAMI --query 'clientId' -o tsv)"
export IDENTITY_TENANT=$(az aks show --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --query identity.tenantId -o tsv)

  3. Buat penetapan peran yang memberikan izin identitas beban kerja untuk mengakses rahasia brankas kunci, kunci akses, dan sertifikat menggunakan az role assignment create perintah .

    Penting

    • Jika brankas kunci Anda diatur dengan --enable-rbac-authorization dan Anda menggunakan key atau certificate mengetik, tetapkan Key Vault Certificate User peran untuk memberikan izin.
    • Jika brankas kunci Anda diatur dengan --enable-rbac-authorization dan Anda menggunakan secret jenis, tetapkan Key Vault Secrets User peran .
    • Jika brankas kunci Anda tidak diatur dengan --enable-rbac-authorization, Anda dapat menggunakan az keyvault set-policy perintah dengan --key-permissions getparameter , , --certificate-permissions getatau --secret-permissions get untuk membuat kebijakan brankas kunci untuk memberikan akses untuk kunci, sertifikat, atau rahasia. Contohnya:
    az keyvault set-policy --name $KEYVAULT_NAME --key-permissions get --object-id $IDENTITY_OBJECT_ID

    export KEYVAULT_SCOPE=$(az keyvault show --name $KEYVAULT_NAME --query id -o tsv)

# Example command for key vault with RBAC enabled using `key` type
az role assignment create --role "Key Vault Certificate User" --assignee $USER_ASSIGNED_CLIENT_ID --scope $KEYVAULT_SCOPE

  4. Dapatkan URL Pengeluar Sertifikat OIDC kluster AKS menggunakan az aks show perintah .

    Catatan

    Langkah ini mengasumsikan Anda memiliki kluster AKS yang sudah ada dengan URL Penerbit OIDC diaktifkan. Jika Anda tidak mengaktifkannya, lihat Memperbarui kluster AKS dengan Pengeluar Sertifikat OIDC untuk mengaktifkannya.

    export AKS_OIDC_ISSUER="$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --query "oidcIssuerProfile.issuerUrl" -o tsv)"
echo $AKS_OIDC_ISSUER

  5. Buat kredensial identitas gabungan antara aplikasi Microsoft Entra, penerbit akun layanan, dan subjek. Dapatkan ID objek aplikasi Microsoft Entra menggunakan perintah berikut. Pastikan untuk memperbarui nilai untuk serviceAccountName dan serviceAccountNamespace dengan nama akun layanan Kubernetes dan namespace layanannya.

    export SERVICE_ACCOUNT_NAME="workload-identity-sa"  # sample name; can be changed
export SERVICE_ACCOUNT_NAMESPACE="default" # can be changed to namespace of your workload

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    azure.workload.identity/client-id: ${USER_ASSIGNED_CLIENT_ID}
  name: ${SERVICE_ACCOUNT_NAME}
  namespace: ${SERVICE_ACCOUNT_NAMESPACE}
EOF

  6. Buat kredensial identitas gabungan antara identitas terkelola, penerbit akun layanan, dan subjek menggunakan az identity federated-credential create perintah .

    export FEDERATED_IDENTITY_NAME="aksfederatedidentity" # can be changed as needed

az identity federated-credential create --name $FEDERATED_IDENTITY_NAME --identity-name $UAMI --resource-group $RESOURCE_GROUP --issuer ${AKS_OIDC_ISSUER} --subject system:serviceaccount:${SERVICE_ACCOUNT_NAMESPACE}:${SERVICE_ACCOUNT_NAME}

  7. SecretProviderClass Sebarkan kubectl apply menggunakan perintah dan skrip YAML berikut.

    cat <<EOF | kubectl apply -f -
# This is a SecretProviderClass example using workload identity to access your key vault
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
  name: azure-kvname-wi # needs to be unique per namespace
spec:
  provider: azure
  parameters:
    usePodIdentity: "false"
    clientID: "${USER_ASSIGNED_CLIENT_ID}" # Setting this to use workload identity
    keyvaultName: ${KEYVAULT_NAME}       # Set to the name of your key vault
    cloudName: ""                         # [OPTIONAL for Azure] if not provided, the Azure environment defaults to AzurePublicCloud
    objects:  |
      array:
        - |
          objectName: secret1             # Set to the name of your secret
          objectType: secret              # object types: secret, key, or cert
          objectVersion: ""               # [OPTIONAL] object versions, default to latest if empty
        - |
          objectName: key1                # Set to the name of your key
          objectType: key
          objectVersion: ""
    tenantId: "${IDENTITY_TENANT}"        # The tenant ID of the key vault
EOF

    Catatan

    Jika Anda menggunakan objectAlias alih-alih objectName, perbarui skrip YAML untuk memperhitungkannya.

    Catatan

    Agar SecretProviderClass berfungsi dengan baik, pastikan untuk mengisi Azure Key Vault Anda dengan rahasia, kunci, atau sertifikat sebelum mereferensikannya di bagian .objects

  8. Sebarkan pod sampel menggunakan kubectl apply perintah dan skrip YAML berikut.

    cat <<EOF | kubectl apply -f -
# This is a sample pod definition for using SecretProviderClass and workload identity to access your key vault
kind: Pod
apiVersion: v1
metadata:
  name: busybox-secrets-store-inline-wi
  labels:
    azure.workload.identity/use: "true"
spec:
  serviceAccountName: "workload-identity-sa"
  containers:
    - name: busybox
      image: registry.k8s.io/e2e-test-images/busybox:1.29-4
      command:
        - "/bin/sleep"
        - "10000"
      volumeMounts:
      - name: secrets-store01-inline
        mountPath: "/mnt/secrets-store"
        readOnly: true
  volumes:
    - name: secrets-store01-inline
      csi:
        driver: secrets-store.csi.k8s.io
        readOnly: true
        volumeAttributes:
          secretProviderClass: "azure-kvname-wi"
EOF

Prasyarat untuk Driver CSI

Akses dengan identitas terkelola

ID Terkelola Microsoft Entra adalah identitas yang digunakan administrator untuk mengautentikasi diri mereka sendiri terhadap layanan Azure lainnya. Identitas terkelola menggunakan RBAC untuk bergabung dengan penyedia identitas eksternal.

Dalam model keamanan ini, Anda dapat memberikan akses ke sumber daya kluster Anda kepada anggota tim atau penyewa yang berbagi peran terkelola. Peran diperiksa cakupannya untuk mengakses keyvault dan kredensial lainnya. Saat Anda mengaktifkan penyedia Azure Key Vault untuk Secrets Store CSI Driver di Kluster AKS Anda, ia membuat identitas pengguna.

Mengonfigurasikan identitas terkelola

  1. Akses brankas kunci Anda menggunakan az aks show perintah dan identitas terkelola yang ditetapkan pengguna yang dibuat oleh add-on. Anda juga harus mengambil identitas clientId, yang akan Anda gunakan di langkah-langkah selanjutnya saat membuat SecretProviderClass.

    az aks show --resource-group <resource-group> --name <cluster-name> --query addonProfiles.azureKeyvaultSecretsProvider.identity.objectId -o tsv
az aks show --resource-group <resource-group> --name <cluster-name> --query addonProfiles.azureKeyvaultSecretsProvider.identity.clientId -o tsv

    Atau, Anda dapat membuat identitas terkelola baru dan menetapkannya ke set skala komputer virtual (VM) Anda atau ke setiap instans VM dalam set ketersediaan Anda menggunakan perintah berikut.

    az identity create --resource-group <resource-group> --name <identity-name>
az vmss identity assign --resource-group <resource-group> --name <agent-pool-vmss> --identities <identity-resource-id>
az vm identity assign --resource-group <resource-group> --name <agent-pool-vm> --identities <identity-resource-id>

az identity show --resource-group <resource-group> --name <identity-name> --query 'clientId' -o tsv

  2. Buat penetapan peran yang memberikan izin identitas untuk mengakses rahasia brankas kunci, kunci akses, dan sertifikat menggunakan az role assignment create perintah .

    Penting

    • Jika brankas kunci Anda diatur dengan --enable-rbac-authorization dan Anda menggunakan key atau certificate mengetik, tetapkan peran.Key Vault Certificate User
    • Jika brankas kunci Anda diatur dengan --enable-rbac-authorization dan Anda menggunakan secret jenis, tetapkan Key Vault Secrets User peran .
    • Jika brankas kunci Anda tidak diatur dengan --enable-rbac-authorization, Anda dapat menggunakan az keyvault set-policy perintah dengan --key-permissions getparameter , , --certificate-permissions getatau --secret-permissions get untuk membuat kebijakan brankas kunci untuk memberikan akses untuk kunci, sertifikat, atau rahasia. Contohnya:
    az keyvault set-policy --name $KEYVAULT_NAME --key-permissions get --object-id $IDENTITY_OBJECT_ID

    export IDENTITY_OBJECT_ID="$(az identity show --resource-group <resource-group> --name <identity-name> --query 'principalId' -o tsv)"
export KEYVAULT_SCOPE=$(az keyvault show --name <key-vault-name> --query id -o tsv)

# Example command for key vault with RBAC enabled using `key` type
az role assignment create --role "Key Vault Certificate User" --assignee $USER_ASSIGNED_CLIENT_ID --scope $KEYVAULT_SCOPE

  3. SecretProviderClass Buat menggunakan YAML berikut. Pastikan untuk menggunakan nilai Anda sendiri untuk userAssignedIdentityID, , keyvaultNametenantId, dan objek yang akan diambil dari brankas kunci Anda.

    # This is a SecretProviderClass example using user-assigned identity to access your key vault
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
  name: azure-kvname-user-msi
spec:
  provider: azure
  parameters:
    usePodIdentity: "false"
    useVMManagedIdentity: "true"          # Set to true for using managed identity
    userAssignedIdentityID: <client-id>   # Set the clientID of the user-assigned managed identity to use
    keyvaultName: <key-vault-name>        # Set to the name of your key vault
    cloudName: ""                         # [OPTIONAL for Azure] if not provided, the Azure environment defaults to AzurePublicCloud
    objects:  |
      array:
        - |
          objectName: secret1
          objectType: secret              # object types: secret, key, or cert
          objectVersion: ""               # [OPTIONAL] object versions, default to latest if empty
        - |
          objectName: key1
          objectType: key
          objectVersion: ""
    tenantId: <tenant-id>                 # The tenant ID of the key vault

    Catatan

    Jika Anda menggunakan objectAlias alih-alih objectName, pastikan untuk memperbarui skrip YAML.

    Catatan

    Agar SecretProviderClass berfungsi dengan baik, pastikan untuk mengisi Azure Key Vault Anda dengan rahasia, kunci, atau sertifikat sebelum mereferensikannya di bagian .objects

  4. Terapkan ke SecretProviderClass kluster Anda menggunakan kubectl apply perintah .

    kubectl apply -f secretproviderclass.yaml

  5. Buat pod menggunakan YAML berikut.

    # This is a sample pod definition for using SecretProviderClass and the user-assigned identity to access your key vault
kind: Pod
apiVersion: v1
metadata:
  name: busybox-secrets-store-inline-user-msi
spec:
  containers:
    - name: busybox
      image: registry.k8s.io/e2e-test-images/busybox:1.29-4
      command:
        - "/bin/sleep"
        - "10000"
      volumeMounts:
      - name: secrets-store01-inline
        mountPath: "/mnt/secrets-store"
        readOnly: true
  volumes:
    - name: secrets-store01-inline
      csi:
        driver: secrets-store.csi.k8s.io
        readOnly: true
        volumeAttributes:
          secretProviderClass: "azure-kvname-user-msi"

  6. Terapkan pod ke kluster Anda menggunakan kubectl apply perintah .

    kubectl apply -f pod.yaml

Memvalidasi rahasia Key Vault

Setelah pod dimulai, tersedia konten yang dipasang pada jalur volume yang ditentukan dalam penyebaran YAML Anda. Gunakan perintah berikut untuk memvalidasi rahasia Anda dan mencetak rahasia pengujian.

  1. Tampilkan rahasia yang disimpan di penyimpanan rahasia menggunakan perintah berikut.

    kubectl exec busybox-secrets-store-inline-user-msi -- ls /mnt/secrets-store/

  2. Tampilkan rahasia di penyimpanan menggunakan perintah berikut. Contoh perintah ini menunjukkan rahasia ExampleSecretpengujian .

    kubectl exec busybox-secrets-store-inline-user-msi -- cat /mnt/secrets-store/ExampleSecret

Mendapatkan sertifikat dan kunci

Desain Azure Key Vault membuat perbedaan tajam antara kunci, rahasia, dan sertifikat. Fitur sertifikat layanan Key Vault dirancang untuk memanfaatkan kemampuan kunci dan rahasia. Saat Anda membuat sertifikat brankas kunci, sertifikat tersebut membuat kunci dan rahasia yang dapat diatasi dengan nama yang sama. Kunci ini memungkinkan operasi autentikasi, dan rahasia memungkinkan pengambilan nilai sertifikat sebagai rahasia.

Sertifikat brankas kunci juga berisi metadata sertifikat x509 publik. Gudang kunci menyimpan komponen publik dan privat dari sertifikat Anda secara rahasia. Anda dapat memperoleh setiap komponen individu dengan menentukan objectType di SecretProviderClass. Tabel berikut menunjukkan objek mana yang dipetakan ke berbagai sumber daya yang terkait dengan sertifikat Anda:

Objek Nilai hasil Mengembalikan seluruh rantai sertifikat
key Kunci publik, dalam format Email yang Ditingkatkan Privasi (PEM). T/A
cert Sertifikat, dalam format PEM. No
secret Kunci privat dan sertifikat, dalam format PEM. Ya

Menonaktifkan addon pada kluster yang ada

Catatan

Sebelum Anda menonaktifkan add-on, pastikan tidak ada yang SecretProviderClass digunakan. Mencoba menonaktifkan add-on saat SecretProviderClass ada menghasilkan kesalahan.

  • Nonaktifkan penyedia Azure Key Vault untuk kemampuan Driver Secrets Store CSI di kluster yang ada menggunakan az aks disable-addons perintah dengan azure-keyvault-secrets-provider add-on.

    az aks disable-addons --addons azure-keyvault-secrets-provider --resource-group myResourceGroup --name myAKSCluster

Catatan

Saat Anda menonaktifkan add-on, beban kerja yang ada seharusnya tidak memiliki masalah atau melihat pembaruan apa pun dalam rahasia yang dipasang. Jika pod dimulai ulang atau pod baru dibuat sebagai bagian dari peristiwa peningkatan skala, pod gagal dimulai karena driver tidak lagi berjalan.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara membuat dan memberikan identitas untuk mengakses Azure Key Vault Anda. Integrasi Konektor Layanan membantu menyederhanakan konfigurasi koneksi untuk beban kerja AKS dan layanan dukungan Azure. Ini dengan aman menangani konfigurasi autentikasi dan jaringan dan mengikuti praktik terbaik untuk menyambungkan ke layanan Azure. Untuk informasi selengkapnya, lihat Menggunakan penyedia Azure Key Vault untuk Secrets Store CSI Driver di kluster AKS dan pengenalan Konektor Layanan.

Jika Anda ingin mengonfigurasi opsi konfigurasi tambahan atau melakukan pemecahan masalah, lihat Opsi konfigurasi dan pemecahan masalah sumber daya untuk penyedia Azure Key Vault dengan Driver Secrets Store CSI di AKS.