`SecretProviderClass`

Sie beschreiben YAML mit dem, welche Geheimnisse in Amazon bereitgestellt EKS werden sollen ASCP. Beispiele finden Sie unter Beispiel: Hängen Sie Geheimnisse nach Namen ein oder ARN.


apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

Das Feld parameters enthält die Details der Mounting-Anfrage:

Region

(Optional) Das AWS-Region des Geheimnisses. Wenn Sie dieses Feld nicht verwenden, wird ASCP die Region anhand der Anmerkung auf dem Knoten gesucht. Diese Suche steigert den Overhead von Mounting-Anfragen. Daher wird empfohlen, die Region für Cluster mit einer großen Anzahl von Pods anzugeben.

Wenn Sie dies auch angebenfailoverRegion, ASCP versucht der, das Geheimnis aus beiden Regionen abzurufen. Wenn eine der Regionen einen 4xx-Fehler zurückgibt, z. B. aufgrund eines Authentifizierungsproblems, ASCP wird keines der Secrets bereitgestellt. Wenn das Geheimnis erfolgreich abgerufen wurderegion, hängt es diesen ASCP geheimen Wert ein. Wenn das Geheimnis nicht erfolgreich abgerufen wurderegion, es aber erfolgreich abgerufen wurdefailoverRegion, hängt er diesen ASCP geheimen Wert an.

failoverRegion

(Optional) Wenn Sie dieses Feld angeben, ASCP versucht der, den geheimen Schlüssel aus den in region und diesem Feld definierten Regionen abzurufen. Wenn eine der Regionen einen 4xx-Fehler zurückgibt, z. B. aufgrund eines Authentifizierungsproblems, hängt ASCP sie keines der Geheimnisse ein. Wenn das Geheimnis erfolgreich abgerufen wurderegion, hängt es diesen ASCP geheimen Wert ein. Wenn das Geheimnis nicht erfolgreich abgerufen wurderegion, es aber erfolgreich abgerufen wurdefailoverRegion, hängt er diesen ASCP geheimen Wert an. Ein Beispiel für die Nutzung dieses Felds finden Sie unter Definieren einer Failover-Region für ein multiregionales Secret.

pathTranslation

(Optional) Ein einzelnes Ersatzzeichen, das verwendet EKS werden soll, wenn der Dateiname in Amazon das Pfadtrennzeichen enthält, z. B. einen Schrägstrich (/) unter Linux. Es ASCP kann keine gemountete Datei erstellt werden, die ein Pfadtrennzeichen enthält. Stattdessen ASCP ersetzt der das Pfadtrennzeichen durch ein anderes Zeichen. Wenn Sie dieses Feld nicht verwenden, ist das Ersatzzeichen ein Unterstrich (_), d. h. My/Path/Secret wird als My_Path_Secret gemountet.

Um die Zeichenersetzung zu verhindern, geben Sie die Zeichenfolge False ein.

objects

Eine Zeichenfolge, die eine YAML Deklaration der Geheimnisse enthält, die bereitgestellt werden sollen. Wir empfehlen, eine YAML mehrzeilige Zeichenfolge oder einen senkrechten Strich (|) zu verwenden.

objectName

Der Name oder die vollständige Angabe ARN des Geheimnisses. Wenn Sie das verwendenARN, können Sie es weglassenobjectType. Dieses Feld wird zum Dateinamen des Geheimnisses im EKS Amazon-Pod, sofern Sie nichts anderes angebenobjectAlias. Wenn Sie eine verwendenARN, ARN muss die Region in dem mit dem Feld übereinstimmenregion. Wenn Sie eine failoverRegion angeben, stellt dieses Feld den primären objectName dar.

objectType

Erforderlich, wenn Sie keinen Secrets Manager ARN für verwendenobjectName. Kann secretsmanager oder ssmparameter sein.

objectAlias

(Optional) Der Dateiname des Secrets im EKS Amazon-Pod. Wenn Sie dieses Feld nicht angeben, wird objectName als Dateiname angezeigt.

objectVersion

(Optional) Die Versions-ID des Secrets. Nicht empfohlen, da Sie jedes Mal, wenn Sie das Secret aktualisieren, die Versions-ID aktualisieren müssen. Standardmäßig wird die neueste Version verwendet. Wenn Sie eine failoverRegion angeben, stellt dieses Feld den primären objectVersion dar.

objectVersionLabel

(Optional) Der Alias für die Version. Die Standardversion ist die neueste Version AWSCURRENT. Weitere Informationen finden Sie unter Geheime Versionen. Wenn Sie eine failoverRegion angeben, stellt dieses Feld den primären objectVersionLabel dar.

jmesPath

(Optional) Eine Zuordnung der Schlüssel im Secret zu den Dateien, die in Amazon bereitgestellt werden sollenEKS. Um dieses Feld verwenden zu können, muss Ihr geheimer Wert JSON das Format Format haben. Wenn Sie dieses Feld verwenden, müssen Sie die Unterfelder path und objectAlias angeben.

Pfad: Ein Schlüssel aus einem Schlüssel/Wert-Paar im Bereich JSON des geheimen Werts. Wenn das Feld einen Bindestrich enthält, verwenden Sie einfache Anführungszeichen als Escape-Zeichen. Beispiel: path: '"hyphenated-path"'
objectAlias: Der Name der Datei, die im EKS Amazon-Pod bereitgestellt werden soll. Wenn das Feld einen Bindestrich enthält, verwenden Sie einfache Anführungszeichen als Escape-Zeichen. Beispiel: objectAlias: '"hyphenated-alias"'

failoverObject

(Optional) Wenn Sie dieses Feld angeben, wird ASCP versucht, sowohl das im objectName Primärfeld angegebene Geheimnis als auch das im failoverObject objectName Unterfeld angegebene Geheimnis abzurufen. Wenn einer von beiden einen 4xx-Fehler zurückgibt, z. B. aufgrund eines Authentifizierungsproblems, hängt ASCP er keines der Geheimnisse ein. Wenn der geheime Schlüssel erfolgreich von der Primärseite abgerufen wurdeobjectName, hängt sie diesen geheimen ASCP Wert ein. Wenn der geheime Schlüssel nicht erfolgreich von der PrimärseiteobjectName, aber erfolgreich vom Failover abgerufen wurdeobjectName, hängt der geheime Wert diesen geheimen ASCP Wert ein. Wenn Sie dieses Feld angeben, müssen Sie auch das Feld objectAlias angeben. Ein Beispiel für die Nutzung dieses Felds finden Sie unter Ein Failover-Secret zum Mounten auswählen.

In der Regel verwenden Sie dieses Feld, wenn es sich bei dem Failover-Secret nicht um ein Replikat handelt. Ein Beispiel dazu, wie Sie ein Replikat angeben, finden Sie unter Definieren einer Failover-Region für ein multiregionales Secret.

objectName: Der Name oder der vollständige Name ARN des Failover-Geheimnisses. Wenn Sie eine verwendenARN, ARN muss die Region in dem dem Feld failoverRegion entsprechen.
objectVersion: (Optional) Die Versions-ID des Secrets. Muss mit der primären objectVersion übereinstimmen. Nicht empfohlen, da Sie jedes Mal, wenn Sie das Secret aktualisieren, die Versions-ID aktualisieren müssen. Standardmäßig wird die neueste Version verwendet.
objectVersionLabel: (Optional) Der Alias für die Version. Die Standardversion ist die neueste Version AWSCURRENT. Weitere Informationen finden Sie unter Geheime Versionen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Amazon EKS

Secrets Manager Manager-Agent