External Secrets Operator：从KMS同步Kubernetes密钥

External Secrets Operator：从KMS同步Kubernetes密钥概览External Secrets 通过控制器将外部密钥源（如 AWS Secrets Manager、GCP Secret Manager、Vault）同步到集群内 Secrets，实现集中管理与自动轮换。技术参数（已验证）SecretStore：定义外部密钥源与认证方式（IRSA/Workload Identity/ServiceAccount）。ExternalSecret：声明同步键与目标 Secret 映射，支持模板与刷新间隔。轮换与审计：外部源轮换后控制器拉取更新；配合审计记录访问与变更。实战清单按环境与命名空间划分 SecretStore，最小权限访问。在 CI 中校验引用与命名，避免运行时缺失。