`SecretProviderClass`

您可以使用描述YAML要在 Amazon EKS 中挂载哪些机密ASCP。有关示例，请参阅示例：按名称挂载密钥或 ARN。


apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

字段 parameters 包含挂载请求的详细信息。

region

（可选） AWS 区域秘密。如果您不使用此字段，则会从节点上的注释中查ASCP找 Region。查找会增加挂载请求的开销，因此我们建议为使用大量容器的群集提供区域。

如果您还指定failoverRegion，则ASCP会尝试从两个区域检索密钥。如果任一区域返回 4xx 错误（例如身份验证问题），则ASCP不会挂载任何一个密钥。如果成功从中检索到密钥region，则会ASCP挂载该密钥值。如果未成功从中检索密钥region，但成功从中检索了该密钥failoverRegion，则会ASCP挂载该机密值。

failoverRegion

（可选）如果包含此字段，则ASCP会尝试从中定义的region区域和此字段中检索密钥。如果任一区域返回 4xx 错误（例如身份验证问题），则ASCP不会挂载任何一个密钥。如果成功从中检索到密钥region，则会ASCP挂载该密钥值。如果未成功从中检索密钥region，但成功从中检索了该密钥failoverRegion，则会ASCP挂载该机密值。有关如何使用此字段的示例，请参阅为多区域密钥定义失效转移区域。

pathTranslation

（可选）如果 Amazon 中的文件名EKS将包含路径分隔符（例如 Linux 上的斜杠 (/)），则使用单个替换字符。ASCP无法创建包含路径分隔符的已安装文件。而是将路径分隔符ASCP替换为其他字符。如果不使用此字段，替换字符为下划线 (_)，因此，例如 My/Path/Secret 挂载为 My_Path_Secret。

要防止字符替换，请输入字符串 False。

objects

包含要挂载的机密YAML声明的字符串。我们建议使用YAML多行字符串或竖线 (|) 字符。

objectName

秘密ARN的名称或全部。如果使用ARN，则可以省略objectType。除非您指定，否则此字段将成为 Amazon EKS 容器中密钥的文件名objectAlias。如果您使用ARN，则中的区域ARN必须与该字段匹配region。如果包括 failoverRegion，则此字段表示主 objectName。

objectType

如果您不使用 Secrets Manager，则ARN为必填项objectName。可以是 secretsmanager 或 ssmparameter。

objectAlias

（可选）Amazon EKS 容器中密钥的文件名。如果不指定此字段，则 objectName 作为文件名显示。

objectVersion

（可选）密钥的版本 ID。不推荐，因为每次更新密钥时都必须更新版本 ID。默认情况下，使用最新版本。如果包括 failoverRegion，则此字段表示主 objectVersion。

objectVersionLabel

（可选）版本的别名。默认为最新版本 AWSCURRENT。有关更多信息，请参阅秘密版本。如果包括 failoverRegion，则此字段表示主 objectVersionLabel。

jmesPath

（可选）将密钥中的密钥映射到要在 Amazon 中挂载的文件EKS。要使用此字段，您的密钥值必须JSON采用格式。如果使用此字段，必须包含子字段 path 和 objectAlias。

path: 来自密钥值中的键/值对JSON的密钥。如果该字段包含连字符，请使用单引号对其进行转义，例如：path: '"hyphenated-path"'
objectAlias: 要安装在 Amazon EKS 容器中的文件名。如果该字段包含连字符，请使用单引号对其进行转义，例如：objectAlias: '"hyphenated-alias"'

failoverObject

（可选）如果您指定此字段，则ASCP会尝试检索主字段中指定的密码objectName和failoverObjectobjectName子字段中指定的密码。如果任何一个都返回 4xx 错误（例如身份验证问题），则ASCP不会挂载任何一个密钥。如果成功地从主服务器检索了密钥objectName，则会ASCP挂载该密钥值。如果未成功从主服务器检索密钥objectName，但已成功从故障转移中检索到该密钥objectName，则ASCP会挂载该密钥值。如果包含此字段，责必须包含字段 objectAlias。有关如何使用此字段的示例，请参阅选择要挂载的失效转移密钥。

当失效转移密钥不是副本时，通常使用此字段。有关如何指定副本的示例，请参阅为多区域密钥定义失效转移区域。

objectName: 故障转移密钥ARN的名称或完整名称。如果您使用ARN，则中的区域ARN必须与该字段匹配failoverRegion。
objectVersion: （可选）密钥的版本 ID。必须与主 objectVersion 匹配。不推荐，因为每次更新密钥时都必须更新版本 ID。默认情况下，使用最新版本。
objectVersionLabel: （可选）版本的别名。默认为最新版本 AWSCURRENT。有关更多信息，请参阅秘密版本。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Amazon EKS

Secrets Manager 特工