---

title: Kubernetes Secrets 静态加密：EncryptionConfiguration 与 KMS

keywords:

• EncryptionConfiguration
• KMS
• aescbc
• secretbox
• encryption-at-rest

description: 配置 API Server 使用 EncryptionConfiguration 对 Secrets 等资源进行静态加密，示例包含 KMS

与内置提供者。

categories:

• 文章资讯
• 技术教程

---

Kubernetes Secrets 静态加密：EncryptionConfiguration 与 KMS

配置示例（encryption-config.yaml）

apiVersion: apiserver.config.k8s.io/v1
kind: EncryptionConfiguration
resources:
  - resources: ["secrets"]
    providers:
      - kms:
          name: my-kms
          endpoint: unix:///var/run/kms-provider.sock
          cachesize: 1000
      - aescbc:
          keys:
            - name: key1
              secret: bXktc2VjcmV0LWJhc2U2NA==
      - identity: {}

启动参数（API Server）

kube-apiserver --encryption-provider-config=/etc/kubernetes/encryption-config.yaml

验证

• 创建 Secret 并在数据目录验证加密后内容不可读

总结

通过 KMS 或内置加密提供者实现静态加密，可提升数据安全基线与合规性。