---

title: External Secrets Operator：从KMS同步Kubernetes密钥

keywords:

• External Secrets
• KMS
• Secrets同步
• GitOps
• 轮换

description: 使用 External Secrets Operator 将外部 KMS/密钥仓库中的机密同步为 Kubernetes Secrets，统一轮换与审计。

categories:

• 文章资讯
• 技术教程

---

External Secrets Operator：从KMS同步Kubernetes密钥

概览

External Secrets 通过控制器将外部密钥源（如 AWS Secrets Manager、GCP Secret Manager、Vault）同步到集群内 Secrets，实现集中管理与自动轮换。

技术参数（已验证）

• SecretStore：定义外部密钥源与认证方式（IRSA/Workload Identity/ServiceAccount）。
• ExternalSecret：声明同步键与目标 Secret 映射，支持模板与刷新间隔。
• 轮换与审计：外部源轮换后控制器拉取更新；配合审计记录访问与变更。

实战清单

• 按环境与命名空间划分 SecretStore，最小权限访问。
• 在 CI 中校验引用与命名，避免运行时缺失。