Prendre rendez-vous
  1. Accueil
  2. /
  3. Blog
  4. /

  5. Automatiser la gestion des secrets dans Kubernetes avec External Secrets Operator

Kubernetes
Sécurité

Automatiser la gestion des secrets dans Kubernetes avec External Secrets Operator

23 juillet 2025

2 min de lecture

Sommaire
Introduction
Prérequis
Installation de l'Operator
Configuration d'un SecretStore
Déploiement d'un ExternalSecret
Bonnes pratiques
Intégration avec les sources de secrets
Conclusion

Introduction

La gestion des secrets (mots de passe, tokens, clés) dans Kubernetes peut rapidement devenir complexe et sensible. External Secrets Operator (ESO) permet de synchroniser automatiquement des secrets stockés dans des vaults externes (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, etc.) vers des Secret Kubernetes, garantissant une rotation sécurisée et transparente.

Si vous débutez avec Kubernetes, consultez d'abord notre guide d'introduction aux concepts fondamentaux de Kubernetes.

Prérequis

  • Un cluster Kubernetes (>=1.21)
  • kubectl configuré
  • Store de secrets externe (HashiCorp Vault, AWS Secrets Manager…)
  • Helm 3 (optionnel)

Installation de l'Operator

1. Ajouter le repo Helm
helm repo add external-secrets https://charts.external-secrets.io
helm repo update
2. Installer via Helm
helm install external-secrets external-secrets/external-secrets -n external-secrets --create-namespace --version 0.10.0

Configuration d'un SecretStore

Exemple pour HashiCorp Vault :

apiVersion: external-secrets.io/v1beta1
kind: SecretStore
metadata:
  name: vault-secretstore
  namespace: external-secrets
spec:
  provider:
    vault:
      server: 'https://vault.example.com'
      path: 'secret/data/k8s'
      version: 'v2'
      auth:
        token:
          secretRef:
            name: vault-token
            key: token

kubectl apply -f secretstore.yaml

Le Secret vault-token contient le token d'accès :

apiVersion: v1
kind: Secret
metadata:
  name: vault-token
  namespace: external-secrets
type: Opaque
stringData:
  token: <VAULT_TOKEN>

Déploiement d'un ExternalSecret

apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: db-credentials
  namespace: production
spec:
  refreshInterval: '15m'
  secretStoreRef:
    name: vault-secretstore
    kind: SecretStore
  target:
    name: prod-db-secret
    creationPolicy: Owner
  data:
    - secretKey: username
      remoteRef:
        key: prod/db
        property: username
    - secretKey: password
      remoteRef:
        key: prod/db
        property: password

kubectl apply -f externalsecret.yaml

Le Secret Kubernetes prod-db-secret contient désormais username et password.

Bonnes pratiques

  1. Limiter les permissions du token Vault
  2. Externaliser la configuration dans Git (GitOps) pour auditabilité
  3. Surveiller le refresh (refreshInterval) et logs de l'Operator
  4. Chiffrer les Secret Kubernetes au repos (Sealed Secrets, KMS)
  5. Testez la rotation régulière des secrets

Intégration avec les sources de secrets

Pour les sources de secrets avancées, découvrez comment déployer et utiliser HashiCorp Vault comme backend de stockage de secrets. Pour une approche GitOps complète, intégrez External Secrets avec Argo CD pour automatiser vos déploiements sécurisés.

Conclusion

En automatisant la synchronisation des secrets externes dans Kubernetes avec External Secrets Operator, vous renforcez la sécurité, garantissez la rotation et simplifiez la gestion de vos credentials, tout en restant conforme aux meilleures pratiques DevSecOps.

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets d'infrastructure et d'infogérance.

Contactez-nous

Articles similaires

Surveiller et sécuriser le réseau Kubernetes avec Cilium et eBPF
Kubernetes
Réseau
Sécurité

Surveiller et sécuriser le réseau Kubernetes avec Cilium et eBPF

Découvrez comment installer Cilium pour exploiter eBPF et renforcer la sécurité réseau, la visibilité et la gestion des politiques dans vos clusters Kubernetes.

25 juil. 2025

Lire plus

Automatiser la gestion des certificats TLS dans Kubernetes avec cert-manager
Kubernetes
Sécurité

Automatiser la gestion des certificats TLS dans Kubernetes avec cert-manager

Apprenez à installer et configurer cert-manager pour gérer automatiquement l'émission, le renouvellement et la rotation des certificats TLS dans vos clusters Kubernetes.

19 juil. 2025

Lire plus

Renforcer la sécurité de votre cluster Kubernetes avec OPA Gatekeeper
Kubernetes
Sécurité

Renforcer la sécurité de votre cluster Kubernetes avec OPA Gatekeeper

Découvrez comment installer et configurer OPA Gatekeeper pour appliquer des politiques de sécurité déclaratives et garantir la conformité de vos clusters Kubernetes.

19 juil. 2025

Lire plus

SHPV, votre partenaire de confiance en infrastructure et infogérance informatique en France.

SHPV
Prendre rendez-vousNous contacter
Expertise
InfrastructureDatacenterInfogéranceCloudHébergementTransit IP
Légales
Conditions Générales de VenteCPS - Contrat de ServicesCPS - Hébergement CloudCPS - Microsoft 365Accord sous-traitance RGPDTarifs interventions

SHPV © 2026 - Tous droits réservés

Mentions légalesPolitiques de confidentialité
SHPV FRANCE - SAS au capital de 16 000 € - 52 Rue Romain Rolland, 71230 Saint-Vallier - SIRET n°80886287400035 - R.C.S. Chalon-sur-Saône. Par téléphone 09 72 310 818 - Email: support@shpv.fr