我正在为开发者用户自动配置 Kubernetes 环境。我想定期轮换这些环境中的“秘密”类型的资源。此外,我还想仅有的如果用户当前应该有权访问这些机密,则喜欢在这些环境中配置或重新配置这些轮换的机密(因为用户将能够在环境中使用 kubectl 来读取其中的任何内容)。理想情况下,我会从机密管理器中检索这些机密,例如gcloud 秘密管理器或者无钥匙它可以帮我完成旋转。
问题是,如果不将执行轮换的凭证放入不受信任的用户环境中,我无法弄清楚如何做到这一点 - 这似乎是个糟糕的主意。我可以要求环境联系我的自动化系统以获取轮换后的机密,但(我认为)除非他们重新进行身份验证,否则无法验证他们的身份。
每当秘密轮换时,我都可以要求用户进行身份验证并重新请求环境(或仅仅是秘密),但这限制了我在不让用户发疯的情况下轮换的频率。
人们做这种事有某种标准方法吗?
如果有帮助,用户可以使用 OpenId 通过我的配置自动化进行身份验证。