registry.k8s.io/csi-secrets-store/driver-crds:v1.5.2

registry.k8s.io/csi-secrets-store/driver-crds 是 Kubernetes CSI Secrets Store Driver 的自定义资源定义（CRD）集合，用于扩展 Kubernetes API，实现对密钥、证书等敏感信息的生命周期管理与安全挂载。这些 CRD 是驱动功能的核心配置入口，通过定义标准化的资源规范，让用户能灵活配置密钥的来源、获取方式及挂载策略。

核心 CRD 资源说明

目前主要包含 SecretProviderClass 这一核心 CRD，用于描述密钥的"获取规则"。其关键配置字段包括：

• provider：指定密钥存储后端类型，支持主流密钥管理系统（如 HashiCorp Vault、AWS Secrets Manager、Azure Key Vault、GCP Secret Manager 等），用户需根据实际使用的后端填写对应标识符（如 vault、aws）。
• parameters：配置后端连接参数，例如 Vault 的地址、认证方式（如 Kubernetes Service Account 令牌），或云厂商密钥服务的区域、角色 ARN 等，确保驱动能安全访问后端系统。
• objects：定义需从后端获取的具体密钥对象，可通过 objectName 指定密钥名称、objectType 声明类型（如 secret、certificate），还支持通过 objectAlias 自定义挂载到 Pod 内的文件名，便于应用识别。

核心功能与价值

这些 CRD 与 CSI Secrets Store Driver 配合，可实现三大核心能力：

1. 多后端无缝集成：通过 provider 和 parameters 配置，驱动能对接不同厂商的密钥管理系统，无需修改应用代码即可切换密钥来源，适配混合云或多云环境。
2. 动态密钥同步：支持定期从后端拉取密钥更新（需配置 rotationPollInterval），当后端密钥变更时，自动同步到挂载目录，避免重启 Pod 即可更新应用使用的密钥。
3. 安全挂载与权限控制：密钥通过 CSI 卷直接挂载到 Pod 的指定目录（如 /mnt/secrets），文件权限默认限制为 0400（仅属主可读），且仅授权的 Pod（通过 Service Account 绑定 RBAC 权限）可访问，降低密钥泄露风险。

典型使用场景

适用于容器化应用需安全管理敏感信息的场景：例如微服务通过 SecretProviderClass 配置从 Vault 获取数据库密码，驱动将密码文件挂载到 Pod 内，应用读取文件即可访问数据库，避免密钥硬编码或存储在 Kubernetes Secret 中的持久化风险；或云原生应用通过对接云厂商密钥服务，实现证书自动轮换，满足合规审计要求。

通过这些 CRD，用户无需深入了解 CSI 驱动底层实现，即可通过声明式配置完成密钥的全生命周期管理，是 Kubernetes 环境中敏感信息治理的重要工具。