`SecretProviderClass`

Você usa YAML para descrever quais segredos montar na Amazon EKS usando ASCP o. Para ver exemplos, consulte Exemplo: Monte segredos por nome ou ARN.


apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

O campo parameters contém os detalhes da solicitação de montagem:

região

(Opcional) O Região da AWS do segredo. Se você não usar esse campo, ele pesquisará ASCP a região a partir da anotação no nó. Essa pesquisa adiciona sobrecarga para solicitações de montagem, portanto, recomendamos que você forneça a Região para clusters que usam um grande número de pods.

Se você também especificarfailoverRegion, ASCP ele tentará recuperar o segredo de ambas as regiões. Se uma das regiões retornar um erro 4xx, por exemplo, devido a um problema de autenticação, ASCP ela não monta nenhum segredo. Se o segredo for recuperado com sucessoregion, ele ASCP montará esse valor secreto. Se o segredo não for recuperado com êxitoregion, mas for recuperado com êxitofailoverRegion, ele ASCP monta esse valor secreto.

failoverRegion

(Opcional) Se você incluir esse campo, ASCP ele tentará recuperar o segredo das regiões definidas em region e neste campo. Se uma das regiões retornar um erro 4xx, por exemplo, devido a um problema de autenticação, ASCP ela não monta nenhum segredo. Se o segredo for recuperado com sucessoregion, ele ASCP montará esse valor secreto. Se o segredo não for recuperado com êxitoregion, mas for recuperado com êxitofailoverRegion, ele ASCP monta esse valor secreto. Para obter um exemplo de como usar esse campo, consulte Definir uma região de failover para um segredo multirregional.

pathTranslation

(Opcional) Um único caractere de substituição a ser usado se o nome do arquivo na Amazon EKS contiver o caractere separador de caminho, como barra (/) no Linux. Não é ASCP possível criar um arquivo montado que contenha um caractere separador de caminho. Em vez disso, o ASCP substitui o caractere separador de caminho por um caractere diferente. Se você não usar esse campo, o caractere substituto será um sublinhado (_), portanto, por exemplo,My/Path/Secret será montado como My_Path_Secret.

Para impedir a substituição de caracteres, digite a stringFalse.

objects

Uma string contendo uma YAML declaração dos segredos a serem montados. Recomendamos usar uma string de YAML várias linhas ou um caractere de barra vertical (|).

objectName

O nome ou a totalidade ARN do segredo. Se você usar oARN, você pode omitir. objectType Esse campo se torna o nome do arquivo secreto no EKS pod da Amazon, a menos que você especifiqueobjectAlias. Se você usar umARN, a região no ARN deve corresponder ao camporegion. Se você incluir um failoverRegion, esse campo representará o objectName primário.

objectType

Obrigatório se você não usa um Secrets Manager ARN paraobjectName. Pode ser secretsmanager ou ssmparameter.

objectAlias

(Opcional) O nome do arquivo secreto no EKS pod da Amazon. Se você não especificar esse campo, aobjectNameaparece como o nome do arquivo.

objectVersion

(Opcional) O ID da versão do segredo. Não recomendado porque você deve atualizar o ID da versão sempre que atualizar o segredo. Por padrão, a versão mais recente é usada. Se você incluir um failoverRegion, esse campo representará o objectVersion primário.

objectVersionLabel

(Opcional) O alias da versão. O padrão é a versão mais recente AWSCURRENT. Para obter mais informações, consulte Versões secretas. Se você incluir um failoverRegion, esse campo representará o objectVersionLabel primário.

jmesPath

(Opcional) Um mapa das chaves no segredo dos arquivos a serem montados na AmazonEKS. Para usar esse campo, seu valor secreto deve estar no JSON formato. Se você usar esse campo, deverá incluir os subcampos path e objectAlias.

caminho: Uma chave de um par chave/valor no JSON valor secreto. Se o campo contiver um hífen, use aspas simples para delimitá-lo, por exemplo: path: '"hyphenated-path"'
objectAlias: O nome do arquivo a ser montado no EKS pod da Amazon. Se o campo contiver um hífen, use aspas simples para delimitá-lo, por exemplo: objectAlias: '"hyphenated-alias"'

failoverObject

(Opcional) Se você especificar esse campo, ASCP ele tentará recuperar o segredo especificado no primário objectName e o segredo especificado no failoverObject objectName subcampo. Se algum deles retornar um erro 4xx, por exemplo, devido a um problema de autenticação, ASCP ele não monta nenhum segredo. Se o segredo for recuperado com sucesso do primárioobjectName, ele ASCP monta esse valor secreto. Se o segredo não for recuperado com êxito do primárioobjectName, mas for recuperado com êxito do failoverobjectName, o valor secreto será ASCP montado. Se incluir esse campo, você deverá incluir o campo objectAlias. Para obter um exemplo de como usar esse campo, consulte Escolher um segredo de failover para montar.

Normalmente, você usa esse campo quando o segredo de failover não for uma réplica. Para obter um exemplo de como especificar uma réplica, consulte Definir uma região de failover para um segredo multirregional.

objectName: O nome ou a totalidade ARN do segredo do failover. Se você usar umARN, a região no ARN deve corresponder ao campofailoverRegion.
objectVersion: (Opcional) O ID da versão do segredo. Deve corresponder ao objectVersion primário. Não recomendado porque você deve atualizar o ID da versão sempre que atualizar o segredo. Por padrão, a versão mais recente é usada.
objectVersionLabel: (Opcional) O alias da versão. O padrão é a versão mais recente AWSCURRENT. Para obter mais informações, consulte Versões secretas.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Amazon EKS

Agente Secrets Manager