SecretProviderClass - AWS Secrets Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

SecretProviderClass

Se debe utilizar YAML para describir qué secretos hay que montar en Amazon EKS mediante el ASCP. Para ver ejemplos, consulte Ejemplo: Montar secretos por nombre o ARN.

apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

El campo parameters contiene los detalles de la solicitud de montaje.

región

(Opcional) La Región de AWS del secreto. Si no utiliza este campo, el ASCP busca la región en la anotación en el nodo. Esta búsqueda agrega una sobrecarga a las solicitudes de montaje, por lo que recomendamos que proporcione la Región para los clústeres que utilizan una gran cantidad de pods.

Si también se especifica failoverRegion, el ASCP intenta recuperar el secreto desde ambas regiones. Si alguna de estas regiones devuelve un error 4xx, por ejemplo por un problema de autenticación, el ASCP no monta ninguno de los secretos. Si el secreto se recupera correctamente desde region, el ASCP monta ese valor de secreto. Si el secreto no se recupera correctamente desde region, pero sí desde failoverRegion, el ASCP monta ese valor de secreto.

failoverRegion

(Opcional) Si se incluye este campo, la ASCP intenta recuperar el secreto desde las regiones definidas en region y este campo. Si alguna de estas regiones devuelve un error 4xx, por ejemplo por un problema de autenticación, el ASCP no monta ninguno de los secretos. Si el secreto se recupera correctamente desde region, el ASCP monta ese valor de secreto. Si el secreto no se recupera correctamente desde region, pero sí desde failoverRegion, el ASCP monta ese valor de secreto. Para ver un ejemplo sobre cómo utilizar este campo, consulte Definir una región de conmutación por error para un secreto de varias regiones.

pathTranslation

(Opcional) Un único carácter de sustitución para utilizarlo si el nombre del archivo de Amazon EKS contiene el carácter separador de ruta, por ejemplo la barra diagonal (/) en Linux. El ASCP no puede crear un archivo montado que contenga un carácter separador de ruta. En su lugar, el ASCP reemplaza el carácter separador de ruta por otro carácter. Si no se utiliza este campo, el carácter de reemplazo es el guion bajo (_), de modo que, por ejemplo, My/Path/Secret se monta como My_Path_Secret.

Para evitar la sustitución de caracteres, ingrese la cadena False.

objects

Una cadena que contiene una declaración YAML de los secretos que se van a montar. Se recomienda utilizar una cadena de varias líneas de YAML o una barra vertical (|).

objectName

El nombre o el ARN completo del secreto. Si utiliza el ARN, puede omitir el campo objectType. Este campo se convierte en el nombre de archivo del secreto en el pod de Amazon EKS, a menos que se especifique objectAlias. Si se utiliza un ARN, la región del ARN debe coincidir con el campo region. Si se incluye failoverRegion, este campo representa el campo objectName principal.

objectType

Es requerido si no utiliza un ARN de Secrets Manager para objectName. Puede ser secretsmanager o ssmparameter.

objectAlias

(Opcional) El nombre de archivo del secreto en el pod de Amazon EKS. Si no especifica este campo, el objectName aparece como nombre de archivo.

objectVersion

(Opcional) El ID de versión del secreto. No se recomienda, porque se debe actualizar el ID de versión cada vez que se actualice el secreto. Se utiliza la versión más reciente de forma predeterminada. Si se incluye failoverRegion, este campo representa el campo objectVersion principal.

objectVersionLabel

(Opcional) El alias de la versión. La versión predeterminada es la versión más reciente AWSCURRENT. Para obtener más información, consulte Versiones de un secreto. Si se incluye failoverRegion, este campo representa el campo objectVersionLabel principal.

jmesPath

(Opcional) Un mapa de las claves en el secreto a los archivos que se van a montar en Amazon EKS. Para utilizar este campo, el valor secreto debe estar en formato JSON. Si utiliza este campo, debe incluir los subcampos path y objectAlias.

ruta

Una clave de un par clave-valor en el JSON del valor secreto. Si el campo contiene un guion, aplique escape con comillas simples, por ejemplo: path: '"hyphenated-path"'

objectAlias

Nombre de archivo que se va a montar en el pod de Amazon EKS. Si el campo contiene un guion, aplique escape con comillas simples, por ejemplo: objectAlias: '"hyphenated-alias"'

failoverObject

(Opcional) Si se especifica este campo, el ASCP intenta recuperar tanto el secreto especificado en el campo objectName principal como el secreto especificado en el subcampo failoverObject objectName. Si alguno devuelve un error 4xx, por ejemplo por un problema de autenticación, el ASCP no monta ninguno de los secretos. Si el secreto se recupera correctamente desde el campo objectName principal, el ASCP monta ese valor de secreto. Si el secreto no se recupera correctamente desde el campo objectName principal, pero sí desde el objectName de conmutación por error, el ASCP monta ese valor de secreto. Si se incluye este campo, se debe incluir el campo objectAlias. Para ver un ejemplo sobre cómo utilizar este campo, consulte Seleccionar un secreto de conmutación por error para montarlo.

Este campo se suele utilizar cuando el secreto de conmutación por error no es una réplica. Para ver un ejemplo sobre cómo especificar una réplica, consulte Definir una región de conmutación por error para un secreto de varias regiones.

objectName

Nombre o ARN completo del secreto de conmutación por error. Si se utiliza un ARN, la región del ARN debe coincidir con el campo failoverRegion.

objectVersion

(Opcional) El ID de versión del secreto. Debe coincidir con el campo objectVersion principal. No se recomienda, porque se debe actualizar el ID de versión cada vez que se actualice el secreto. Se utiliza la versión más reciente de forma predeterminada.

objectVersionLabel

(Opcional) El alias de la versión. La versión predeterminada es la versión más reciente AWSCURRENT. Para obtener más información, consulte Versiones de un secreto.