SecretProviderClass - AWS Secrets Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SecretProviderClass

ASCP を使用して Amazon EKS にマウントするシークレットを YAML で記述します。例については、「例: 名前または ARN でシークレットをマウントする」を参照してください。

apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

parameters には、以下のマウントリクエストの詳細が含まれます。

region

(オプション) シークレットの AWS リージョン このフィールドを使用しない場合、ASCP はノード上の注釈からリージョンを検索します。この検索では、マウントリクエストにオーバーヘッドが追加されるため、大量のポッドを使用するクラスターでリージョンを指定することをお勧めします。

同時に failoverRegion も指定すると、ASCP は両方のリージョンからシークレットを試行します。どちらかのリージョンが認証の問題などで 4xx エラーを返した場合、ASCP はいずれのシークレットもマウントしません。シークレットが region から正常に取得されると、ASCP はそのシークレット値をマウントします。region からはシークレットが正常に取得されないものの、failoverRegion からは正常に取得された場合、ASCP は取得された方のシークレット値をマウントします。

failoverRegion

(オプション) このフィールドを含めると、ASCP は region で定義されているリージョンと、このフィールドで定義されているリージョンからのシークレット取得を試行します。どちらかのリージョンが認証の問題などで 4xx エラーを返した場合、ASCP はいずれのシークレットもマウントしません。シークレットが region から正常に取得されると、ASCP はそのシークレット値をマウントします。region からはシークレットが正常に取得されないものの、failoverRegion からは正常に取得された場合、ASCP は取得された方のシークレット値をマウントします。このフィールドの使用例については、「マルチリージョンシークレットのフェイルオーバーリージョンを定義する」を参照してください。

pathTranslation

(オプション) Amazon EKS のファイル名に、Linux のスラッシュ (/) のようなパス区切り文字が含まれている場合に使用する単一の置換文字。ASCP では、パス区切り文字が含まれているファイルを作成し、マウントすることはできません。代わりに、ASCP はパス区切り文字を別の文字に置き換えます。このフィールドを使用しない場合、置換文字にはアンダースコア (_) が使用されます。例えば、My/Path/SecretMy_Path_Secret としてマウントされます。

文字の置換を防ぐには、文字列 False を入力してください。

objects

マウントするシークレットの YAML 宣言を含む文字列 YAML 複数行の文字列またはパイプ (|) 文字を使用することをお勧めします。

objectName

シークレットの名前または完全な ARN ARN を使用する場合、objectType は省略できます。objectAlias を指定しない限り、このフィールドが Amazon EKS ポッドのシークレットのファイル名として使用されます。ARN を使用する場合、ARN 内のリージョンはフィールド region と一致する必要があります。failoverRegion を含めると、このフィールドはプライマリの objectName になります。

objectType

objectName で Secrets Manager ARN を使用しない場合は必須。secretsmanager または ssmparameter のいずれかになります。

objectAlias

(オプション) Amazon EKS ポッド内のシークレットのファイル名 このフィールドを指定しなかった場合、objectName がファイル名として表示されます。

objectVersion

(オプション) シークレットのバージョン ID バージョン ID は、シークレットを変更するたびに更新の必要が生じるため、これは推奨されません。デフォルトでは、最新バージョンが使用されます。failoverRegion を含めると、このフィールドはプライマリの objectVersion になります。

objectVersionLabel

(オプション) バージョンのエイリアス デフォルトでは、最新バージョン AWSCURRENT になります。詳細については、「シークレットバージョン」を参照してください。failoverRegion を含めると、このフィールドはプライマリの objectVersionLabel になります。

jmesPath

(オプション) シークレット内のキーから Amazon EKS にマウントされるファイルへのマッピング このフィールドを使用するには、シークレット値を JSON 形式にする必要があります。このフィールドを使用する場合は、サブフィールド path および objectAlias を含める必要があります。

パス

シークレット値の JSON 内のキー/値のペアからのキー フィールドにハイフンが含まれている場合は、一重引用符でエスケープします。例: path: '"hyphenated-path"'

objectAlias

Amazon EKS ポッドにマウントされるファイル名。フィールドにハイフンが含まれている場合は、一重引用符でエスケープします。例: objectAlias: '"hyphenated-alias"'

failoverObject

(オプション) このフィールドを指定した場合、ASCP はプライマリ objectName で指定されたシークレットと、failoverObjectobjectName サブフィールドで指定されたシークレットの両方の取得を試行します。どちらかが認証の問題などで 4xx エラーを返した場合、ASCP はいずれのシークレットもマウントしません。シークレットがプライマリ objectName から正常に取得されると、ASCP はそのシークレット値のマウントを行います。シークレットが、プライマリ objectName からは正常に取得されなかったものの、フェイルオーバー objectName からは正常に取得された場合、ASCP はその (取得された) シークレット値をマウントします。このフィールドを含める場合は、フィールド objectAlias も含める必要があります。このフィールドの使用例については、「マウントするフェイルオーバーシークレットを選択する」を参照してください。

通常、このフィールドはフェイルオーバーシークレットがレプリカではない場合に使用します。レプリカを指定する際の例については、「マルチリージョンシークレットのフェイルオーバーリージョンを定義する」を参照してください。

objectName

フェイルオーバーシークレットの名前または完全な ARN ARN を使用する場合、ARN 内のリージョンはフィールド failoverRegion と一致する必要があります。

objectVersion

(オプション) シークレットのバージョン ID プライマリ objectVersion と一致している必要があります。バージョン ID は、シークレットを変更するたびに更新の必要が生じるため、これは推奨されません。デフォルトでは、最新バージョンが使用されます。

objectVersionLabel

(オプション) バージョンのエイリアス デフォルトでは、最新バージョン AWSCURRENT になります。詳細については、「シークレットバージョン」を参照してください。