Cloud Identity & Secrets
IRSA (AWS), Workload Identity (GCP), Managed Identity (Azure), External Secrets Operator, Vault patterns
1Quel est l'avantage principal d'utiliser IRSA (IAM Roles for Service Accounts) dans un cluster EKS plutôt que des clés d'accès AWS statiques ?
Quel est l'avantage principal d'utiliser IRSA (IAM Roles for Service Accounts) dans un cluster EKS plutôt que des clés d'accès AWS statiques ?
Réponse
IRSA permet aux pods Kubernetes d'assumer des rôles IAM temporaires via OIDC, éliminant le besoin de stocker des credentials statiques dans des Secrets. Les permissions sont scopées par ServiceAccount, ce qui suit le principe du moindre privilège. Les credentials sont automatiquement rotés par AWS STS (Security Token Service), réduisant ainsi la surface d'attaque en cas de compromission d'un pod.
2Dans GCP, comment Workload Identity Federation permet-il à un pod GKE d'accéder aux ressources Google Cloud ?
Dans GCP, comment Workload Identity Federation permet-il à un pod GKE d'accéder aux ressources Google Cloud ?
Réponse
Workload Identity lie un Kubernetes ServiceAccount à un Google Service Account via une annotation. Le pod obtient un token OIDC de l'API server Kubernetes, qui est échangé contre un token GCP via le metadata server. Cela évite de stocker des clés JSON statiques de service account dans le cluster, suivant le modèle zero-trust et permettant une rotation automatique des credentials.
3Quelle est la différence principale entre Azure Managed Identity et les service principals traditionnels ?
Quelle est la différence principale entre Azure Managed Identity et les service principals traditionnels ?
Réponse
Managed Identity élimine la nécessité de gérer manuellement les credentials (client secret, certificat). Azure gère automatiquement le cycle de vie des credentials, incluant leur rotation. Les Managed Identities peuvent être system-assigned (liées au lifecycle d'une ressource) ou user-assigned (indépendantes). Cela réduit le risque de fuite de secrets comparé aux service principals où les secrets doivent être stockés et rotés manuellement.
Comment External Secrets Operator synchronise-t-il les secrets d'un provider externe (AWS Secrets Manager, Vault) vers Kubernetes ?
Quel est le rôle du webhook mutating admission controller dans l'injection automatique de secrets Vault via le Vault Agent Injector ?
+19 questions d'entretien
Autres sujets d'entretien DevOps
Contrôle de version & Git
Fondamentaux Linux
Shell Scripting & Bash
Bases du Networking
Fondamentaux Docker
Fondamentaux CI/CD
GitHub Actions
GitLab CI/CD
Jenkins
Les bases de Kubernetes
Networking Kubernetes
Kubernetes Avancé
Ingress & API Gateway
Les bases de Terraform
Terraform Avancé
Ansible & Configuration Management
AWS Essentiels
Fondamentaux Azure
Fondamentaux GCP
Monitoring & Prometheus
Logging & ELK Stack
Alerting & Incident Response
Sécurité Pipelines CI/CD
Helm & Kubernetes
Sécurité Runtime & Cluster
Container Supply Chain Security
Service Mesh & Istio
GitOps & ArgoCD
Progressive Delivery
Observabilité Distribuée
Disaster Recovery & Backup
Optimisation des Performances
Optimisation des Coûts Cloud
Principes SRE
Chaos Engineering
Platform Engineering
Maîtrise DevOps pour ton prochain entretien
Accède à toutes les questions, flashcards, tests techniques, exercices de code review et simulateurs d'entretien.
Commencer gratuitement