本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SecretProviderClass
您可以使用描述YAML要在 Amazon EKS 中挂载哪些机密ASCP。有关示例,请参阅示例:按名称挂载密钥或 ARN。
apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: <NAME> spec: provider: aws parameters: region: failoverRegion: pathTranslation: objects:
字段 parameters
包含挂载请求的详细信息。
- region
-
(可选) AWS 区域 秘密。如果您不使用此字段,则会从节点上的注释中查ASCP找 Region。查找会增加挂载请求的开销,因此我们建议为使用大量容器的群集提供区域。
如果您还指定
failoverRegion
,则ASCP会尝试从两个区域检索密钥。如果任一区域返回 4xx 错误(例如身份验证问题),则ASCP不会挂载任何一个密钥。如果成功从中检索到密钥region
,则会ASCP挂载该密钥值。如果未成功从中检索密钥region
,但成功从中检索了该密钥failoverRegion
,则会ASCP挂载该机密值。 - failoverRegion
-
(可选)如果包含此字段,则ASCP会尝试从中定义的
region
区域和此字段中检索密钥。如果任一区域返回 4xx 错误(例如身份验证问题),则ASCP不会挂载任何一个密钥。如果成功从中检索到密钥region
,则会ASCP挂载该密钥值。如果未成功从中检索密钥region
,但成功从中检索了该密钥failoverRegion
,则会ASCP挂载该机密值。有关如何使用此字段的示例,请参阅 为多区域密钥定义失效转移区域。 - pathTranslation
-
(可选)如果 Amazon 中的文件名EKS将包含路径分隔符(例如 Linux 上的斜杠 (/)),则使用单个替换字符。ASCP无法创建包含路径分隔符的已安装文件。而是将路径分隔符ASCP替换为其他字符。如果不使用此字段,替换字符为下划线 (_),因此,例如
My/Path/Secret
挂载为My_Path_Secret
。要防止字符替换,请输入字符串
False
。 - objects
-
包含要挂载的机密YAML声明的字符串。我们建议使用YAML多行字符串或竖线 (|) 字符。
- objectName
-
秘密ARN的名称或全部。如果使用ARN,则可以省略
objectType
。除非您指定,否则此字段将成为 Amazon EKS 容器中密钥的文件名objectAlias
。如果您使用ARN,则中的区域ARN必须与该字段匹配region
。如果包括failoverRegion
,则此字段表示主objectName
。 - objectType
-
如果您不使用 Secrets Manager,则ARN为必填项
objectName
。可以是secretsmanager
或ssmparameter
。 - objectAlias
-
(可选)Amazon EKS 容器中密钥的文件名。如果不指定此字段,则
objectName
作为文件名显示。 - objectVersion
-
(可选)密钥的版本 ID。不推荐,因为每次更新密钥时都必须更新版本 ID。默认情况下,使用最新版本。如果包括
failoverRegion
,则此字段表示主objectVersion
。 - objectVersionLabel
-
(可选)版本的别名。默认为最新版本 AWSCURRENT。有关更多信息,请参阅 秘密版本。如果包括
failoverRegion
,则此字段表示主objectVersionLabel
。 - jmesPath
-
(可选)将密钥中的密钥映射到要在 Amazon 中挂载的文件EKS。要使用此字段,您的密钥值必须JSON采用格式。如果使用此字段,必须包含子字段
path
和objectAlias
。- path
来自密钥值中的键/值对JSON的密钥。如果该字段包含连字符,请使用单引号对其进行转义,例如:
path: '"hyphenated-path"'
- objectAlias
要安装在 Amazon EKS 容器中的文件名。如果该字段包含连字符,请使用单引号对其进行转义,例如:
objectAlias: '"hyphenated-alias"'
- failoverObject
-
(可选)如果您指定此字段,则ASCP会尝试检索主字段中指定的密码
objectName
和failoverObject
objectName
子字段中指定的密码。如果任何一个都返回 4xx 错误(例如身份验证问题),则ASCP不会挂载任何一个密钥。如果成功地从主服务器检索了密钥objectName
,则会ASCP挂载该密钥值。如果未成功从主服务器检索密钥objectName
,但已成功从故障转移中检索到该密钥objectName
,则ASCP会挂载该密钥值。如果包含此字段,责必须包含字段objectAlias
。有关如何使用此字段的示例,请参阅 选择要挂载的失效转移密钥。当失效转移密钥不是副本时,通常使用此字段。有关如何指定副本的示例,请参阅 为多区域密钥定义失效转移区域。
- objectName
故障转移密钥ARN的名称或完整名称。如果您使用ARN,则中的区域ARN必须与该字段匹配
failoverRegion
。- objectVersion
(可选)密钥的版本 ID。必须与主
objectVersion
匹配。不推荐,因为每次更新密钥时都必须更新版本 ID。默认情况下,使用最新版本。- objectVersionLabel
(可选)版本的别名。默认为最新版本 AWSCURRENT。有关更多信息,请参阅 秘密版本。