Demande de devis

Automatiser la gestion des secrets dans Kubernetes avec External Secrets Operator

Publié le 23 juillet 2025

Kubernetes
Sécurité

Introduction

La gestion des secrets (mots de passe, tokens, clés) dans Kubernetes peut rapidement devenir complexe et sensible. External Secrets Operator (ESO) permet de synchroniser automatiquement des secrets stockés dans des vaults externes — HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, etc. — vers des Secret Kubernetes, garantissant une rotation sécurisée et transparente.

Prérequis

  • Un cluster Kubernetes (>=1.21)
  • kubectl configuré
  • Store de secrets externe (HashiCorp Vault, AWS Secrets Manager…)
  • Helm 3 (optionnel)

Installation de l’Operator

1. Ajouter le repo Helm

helm repo add external-secrets https://external-secrets.github.io/kubernetes-external-secrets/
helm repo update

2. Installer via Helm

helm install external-secrets external-secrets/kubernetes-external-secrets   --namespace external-secrets --create-namespace

Configuration d’un SecretStore

Exemple pour HashiCorp Vault :

apiVersion: external-secrets.io/v1beta1
kind: SecretStore
metadata:
  name: vault-secretstore
  namespace: external-secrets
spec:
  provider:
    vault:
      server: "https://vault.example.com"
      path: "secret/data/k8s"
      version: "v2"
      auth:
        token:
          secretRef:
            name: vault-token
            key: token

kubectl apply -f secretstore.yaml

Le Secret vault-token contient le token d’accès :

apiVersion: v1
kind: Secret
metadata:
  name: vault-token
  namespace: external-secrets
type: Opaque
stringData:
  token: <VAULT_TOKEN>

Déploiement d’un ExternalSecret

apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: db-credentials
  namespace: production
spec:
  refreshInterval: "15m"
  secretStoreRef:
    name: vault-secretstore
    kind: SecretStore
  target:
    name: prod-db-secret
    creationPolicy: Owner
  data:
    - secretKey: username
      remoteRef:
        key: prod/db
        property: username
    - secretKey: password
      remoteRef:
        key: prod/db
        property: password

kubectl apply -f externalsecret.yaml

Le Secret Kubernetes prod-db-secret contient désormais username et password.

Bonnes pratiques

  1. Limiter les permissions du token Vault
  2. Externaliser la configuration dans Git (GitOps) pour auditabilité
  3. Surveiller le refresh (refreshInterval) et logs de l’Operator
  4. Chiffrer les Secret Kubernetes au repos (Sealed Secrets, KMS)
  5. Testez la rotation régulière des secrets

Conclusion

En automatisant la synchronisation des secrets externes dans Kubernetes avec External Secrets Operator, vous renforcez la sécurité, garantissez la rotation et simplifiez la gestion de vos credentials, tout en restant conforme aux meilleures pratiques DevSecOps.

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets.

Contactez-nous
Articles similaires qui pourraient vous intéresser
Mettre en place un RAID 1 logiciel avec MDADM sous Linux
Stockage
Linux

Mettre en place un RAID 1 logiciel avec MDADM sous Linux

Apprenez à configurer un RAID 1 logiciel avec MDADM pour garantir la redondance et la disponibilité de vos données sur un serveur Linux.

29/07/2025

Lire plus →

Isoler vos applications avec Firecracker : Introduction aux microVMs
Virtualisation
Sécurité

Isoler vos applications avec Firecracker : Introduction aux microVMs

Découvrez comment utiliser Firecracker, le microVM manager d’Amazon, pour exécuter vos applications dans des microVMs légères et sécurisées.

28/07/2025

Lire plus →

Auto‑héberger GitLab CE avec Docker Compose et planification de sauvegardes
CI/CD
Conteneurs

Auto‑héberger GitLab CE avec Docker Compose et planification de sauvegardes

Apprenez à déployer GitLab Community Edition en auto‑hébergement via Docker Compose, avec configuration initiale, volumes persistants et sauvegardes automatisées.

26/07/2025

Lire plus →