`SecretProviderClass`

Você usa o YAML para descrever quais segredos devem ser montados no Amazon EKS usando o ASCP. Para ver exemplos, consulte Exemplo: montar segredos por nome ou ARN.


apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

O campo parameters contém os detalhes da solicitação de montagem:

região

(Opcional) A Região da AWS do segredo. Se você não usar esse campo, o ASCP procurará a região na anotação no nó. Essa pesquisa adiciona sobrecarga para solicitações de montagem, portanto, recomendamos que você forneça a Região para clusters que usam um grande número de pods.

Se você também especificar failoverRegion, o ASCP tentará recuperar o segredo de ambas as regiões. Se qualquer uma das regiões retornar um erro 4xx (p. ex., para um problema de autenticação), o ASCP não montará nenhum segredo. Se o segredo for recuperado com êxito de region, o ASCP montará o valor desse segredo. Se o segredo não for recuperado com êxito de region, mas for recuperado com êxito de failoverRegion, o ASCP montará o valor desse segredo.

failoverRegion

(Opcional) Se você incluir esse campo, o ASCP tentará recuperar o segredo das regiões definidas em region e nesse campo. Se qualquer uma das regiões retornar um erro 4xx (p. ex., para um problema de autenticação), o ASCP não montará nenhum segredo. Se o segredo for recuperado com êxito de region, o ASCP montará o valor desse segredo. Se o segredo não for recuperado com êxito de region, mas for recuperado com êxito de failoverRegion, o ASCP montará o valor desse segredo. Para obter um exemplo de como usar esse campo, consulte Definir uma região de failover para um segredo multirregional.

pathTranslation

(Opcional) Um só caractere de substituição para usar se o nome de arquivo no Amazon EKS vá conter o caractere separador de caminho, como barra (/) no Linux. O ASCP não poderá criar um arquivo montado que contenha um caractere separador de caminho. Em vez disso, o ASCP substituirá o caractere separador de caminho por outro caractere. Se você não usar esse campo, o caractere substituto será um sublinhado (_), portanto, por exemplo,My/Path/Secret será montado como My_Path_Secret.

Para impedir a substituição de caracteres, digite a stringFalse.

objects

Uma string contendo uma declaração do YAML dos segredos a serem montados. Recomendamos o uso de uma string com várias linhas ou um caractere pipe (|) no YAML.

objectName

O nome ou ARN completo do segredo. Se você usar o ARN, poderá omitir o objectType. A menos que você especifique objectAlias, esse campo passará a ser o nome de arquivo do segredo no pod do Amazon EKS. Se você usar um ARN, a região no ARN deverá corresponder ao campo region. Se você incluir um failoverRegion, esse campo representará o objectName primário.

objectType

Necessário se você não usar um ARN do Secrets Manager paraobjectName. Pode ser secretsmanager ou ssmparameter.

objectAlias

(Opcional) O nome do arquivo do segredo no pod do Amazon EKS. Se você não especificar esse campo, o objectName aparece como o nome do arquivo.

objectVersion

(Opcional) O ID da versão do segredo. Não recomendado porque você deve atualizar o ID da versão sempre que atualizar o segredo. Por padrão, a versão mais recente é usada. Se você incluir um failoverRegion, esse campo representará o objectVersion primário.

objectVersionLabel

(Opcional) O alias da versão. O padrão é a versão mais recente de AWSCURRENT. Para ter mais informações, consulte Versões do segredo. Se você incluir um failoverRegion, esse campo representará o objectVersionLabel primário.

jmesPath

(Opcional) Um mapa das chaves no segredo para os arquivos a serem montados no Amazon EKS. Para usar esse campo, o valor do segredo deve estar no formato JSON. Se você usar esse campo, deverá incluir os subcampos path e objectAlias.

caminho: Uma chave de um par de chave-valor no JSON do valor do segredo. Se o campo contiver um hífen, use aspas simples para delimitá-lo, por exemplo: path: '"hyphenated-path"'
objectAlias: O nome do arquivo a ser montado no pod Amazon EKS. Se o campo contiver um hífen, use aspas simples para delimitá-lo, por exemplo: objectAlias: '"hyphenated-alias"'

failoverObject

(Opcional) Se você especificar esse campo, o ASCP tentará recuperar o segredo especificado no objectName primário e o segredo especificado no subcampo objectName de failoverObject. Se qualquer um deles retornar um erro 4xx (p. ex., para um problema de autenticação), o ASCP não montará nenhum segredo. Se o segredo for recuperado com êxito do objectName primário, o ASCP montará o valor desse segredo. Se o segredo não for recuperado com êxito do objectName primário, mas for recuperado com êxito do objectName do failover, o ASCP montará o valor desse segredo. Se incluir esse campo, você deverá incluir o campo objectAlias. Para obter um exemplo de como usar esse campo, consulte Escolher um segredo de failover para montar.

Normalmente, você usa esse campo quando o segredo de failover não for uma réplica. Para obter um exemplo de como especificar uma réplica, consulte Definir uma região de failover para um segredo multirregional.

objectName: O nome ou ARN completo do segredo de failover. Se você usar um ARN, a região no ARN deverá corresponder ao campo failoverRegion.
objectVersion: (Opcional) O ID da versão do segredo. Deve corresponder ao objectVersion primário. Não recomendado porque você deve atualizar o ID da versão sempre que atualizar o segredo. Por padrão, a versão mais recente é usada.
objectVersionLabel: (Opcional) O alias da versão. O padrão é a versão mais recente de AWSCURRENT. Para ter mais informações, consulte Versões do segredo.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Amazon EKS

Agente do Secrets Manager