`SecretProviderClass`

Viene utilizzato YAML per descrivere quali segreti montare in Amazon EKS utilizzando ASCP. Per alcuni esempi, consulta Esempio: monta i segreti per nome o ARN.


apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

Il campo parameters contiene i dettagli della richiesta di montaggio:

Regione

(Facoltativo) Il Regione AWS segreto. Se non usi questo campo, ASCP cerca la Regione dall'annotazione sul nodo. Questa ricerca aggiunge un sovraccarico alle richieste di montaggio, quindi consigliamo di fornire la regione per i cluster che utilizzano un numero elevato di pod.

Se lo specifichi anchefailoverRegion, ASCP tenta di recuperare il segreto da entrambe le regioni. Se una delle due regioni restituisce un errore 4xx, ad esempio per un problema di autenticazione, ASCP non monta nessuno dei due segreti. Se il segreto viene recuperato correttamente daregion, allora ASCP monta quel valore segreto. Se il segreto non viene recuperato correttamente daregion, ma viene recuperato correttamente dafailoverRegion, allora ASCP monta quel valore segreto.

failoverRegion

(Facoltativo) Se si include questo campo, ASCP tenta di recuperare il segreto dalle regioni definite in e in region questo campo. Se una delle regioni restituisce un errore 4xx, ad esempio per un problema di autenticazione, ASCP non monta nessuno dei due segreti. Se il segreto viene recuperato correttamente daregion, allora ASCP monta quel valore segreto. Se il segreto non viene recuperato correttamente daregion, ma viene recuperato correttamente dafailoverRegion, allora ASCP monta quel valore segreto. Per un esempio su come utilizzare questo campo, consulta la sezione Definizione di una Regione di failover per un segreto multiregione.

pathTranslation

(Facoltativo) Un singolo carattere sostitutivo da utilizzare se il nome del file in Amazon EKS conterrà il carattere separatore di percorso, ad esempio barra (/) su Linux. Non ASCP possono creare un file montato che contenga un carattere separatore di percorso. Invece, ASCP sostituisce il carattere separatore di percorso con un carattere diverso. Se non utilizzi questo campo, il carattere sostitutivo è il carattere di sottolineatura (_), quindi ad esempio, My/Path/Secret monta come My_Path_Secret.

Per impedire la sostituzione dei caratteri, immettere la stringa False.

objects

Una stringa contenente una YAML dichiarazione dei segreti da montare. Si consiglia di utilizzare una stringa YAML multilinea o un carattere pipe (|).

objectName

Il nome o l'intero ARN del segreto. Se usi ilARN, puoi ometterlo. objectType Questo campo diventa il nome del file segreto nel EKS pod Amazon, a meno che tu non lo specifichiobjectAlias. Se usi unARN, la regione in ARN deve corrispondere al camporegion. Se includi un failoverRegion, questo campo rappresenta l'objectName primario.

objectType

Obbligatorio se non si utilizza un Secrets Manager ARN perobjectName. Può essere secretsmanager o ssmparameter.

objectAlias

(Facoltativo) Il nome del file segreto nel EKS pod Amazon. Se non indichi questo campo, objectName viene visualizzato come nome del file.

objectVersion

(Facoltativo) L'ID di versione del segreto. Non è consigliato perché è necessario aggiornare l'ID di versione ogni volta che si aggiorna il segreto. Per impostazione predefinita viene utilizzata la versione più recente. Se includi un failoverRegion, questo campo rappresenta l'objectVersion primario.

objectVersionLabel

(Facoltativo) L'alias per la versione. L'impostazione predefinita è la versione più recente AWSCURRENT. Per ulteriori informazioni, consulta Versioni segrete. Se includi un failoverRegion, questo campo rappresenta l'objectVersionLabel primario.

jmesPath

(Facoltativo) Una mappa delle chiavi segrete dei file da montare in AmazonEKS. Per utilizzare questo campo, il valore segreto deve essere in JSON formato. Se si utilizza questo campo, è necessario includere i sottocampi path e objectAlias.

path: Una chiave da una coppia chiave/valore nel JSON valore segreto. Se il campo contiene un trattino, usa le virgolette singole per evitarlo, ad esempio: path: '"hyphenated-path"'
objectAlias: Il nome del file da montare nel EKS pod Amazon. Se il campo contiene un trattino, usa le virgolette singole per evitarlo, ad esempio: objectAlias: '"hyphenated-alias"'

failoverObject

(Facoltativo) Se specifichi questo campo, ASCP tenta di recuperare sia il segreto specificato nel primario objectName che il segreto specificato nel failoverObject objectName sottocampo. Se uno dei due restituisce un errore 4xx, ad esempio per un problema di autenticazione, ASCP non monta nessuno dei due segreti. Se il segreto viene recuperato correttamente dal primarioobjectName, ASCP monta quel valore segreto. Se il segreto non viene recuperato correttamente dal primarioobjectName, ma viene recuperato correttamente dal failoverobjectName, allora monta quel valore segreto. ASCP Se si include questo campo, è necessario includere il campo objectAlias. Per un esempio su come utilizzare questo campo, consulta la sezione Scelta di un segreto di failover da montare.

In genere, si utilizza questo campo quando il segreto di failover non è una replica. Per un esempio su come specificare una replica, consulta la sezione Definizione di una Regione di failover per un segreto multiregione.

objectName: Il nome o l'intero del segreto ARN di failover. Se si utilizza unARN, la regione in ARN deve corrispondere al campofailoverRegion.
objectVersion: (Facoltativo) L'ID di versione del segreto. Deve corrispondere all'objectVersion primaria. Non è consigliato perché è necessario aggiornare l'ID di versione ogni volta che si aggiorna il segreto. Per impostazione predefinita viene utilizzata la versione più recente.
objectVersionLabel: (Facoltativo) L'alias per la versione. L'impostazione predefinita è la versione più recente AWSCURRENT. Per ulteriori informazioni, consulta Versioni segrete.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Amazon EKS

Agente Secrets Manager