SecretProviderClass - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

SecretProviderClass

您可以使用 YAML 描述要使用 ASCP 在 Amazon EKS 中挂载哪些密钥。有关示例,请参阅 确定要挂载的密钥

apiVersion: secrets-store.csi.x-k8s.io/v1alpha1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

字段 parameters 包含挂载请求的详细信息。

区域

(可选)密钥的 Amazon Web Services 区域。如果不使用此字段,ASCP 将从节点上的注释中查找 “区域”。查找会增加挂载请求的开销,因此我们建议为使用大量容器的群集提供区域。

如果您还指定 failoverRegion,ASCP 会尝试从两个区域检索密钥。如果任一区域返回 4xx 错误(例如身份验证问题),ASCP 都不会挂载任何一个密钥。如果成功从 region 中检索到密钥,则 ASCP 会挂载该密钥值。如果未成功从 region 中检索到密钥,但已成功从 failoverRegion 中检索到密钥,则 ASCP 会挂载该密钥值。

failoverRegion

(可选)如果您包含此字段,ASCP 会尝试从 region 中定义的区域和此字段检索密钥。如果任一区域返回 4xx 错误(例如身份验证问题),ASCP 都不会挂载任何一个密钥。如果成功从 region 中检索到密钥,则 ASCP 会挂载该密钥值。如果未成功从 region 中检索到密钥,但已成功从 failoverRegion 中检索到密钥,则 ASCP 会挂载该密钥值。有关如何使用此字段的示例,请参阅 为多区域密钥定义失效转移区域

pathTranslation

(可选)如果 Amazon EKS 中的文件名包含路径分隔符则要使用的单个替换字符,例如 Linux 上的斜杠 (/)。ASCP 无法创建包含路径分隔符的挂载文件。相反,ASCP 使用不同的字符替换路径分隔符。如果不使用此字段,替换字符为下划线 (_),因此,例如 My/Path/Secret 挂载为 My_Path_Secret

要防止字符替换,请输入字符串 False

objects

包含要挂载密钥的 YAML 声明字符串。我们建议使用 YAML 多行字符串或竖线 (|) 字符。

objectName

密钥的名称或完整 ARN。如果使用 ARN,可以省略 objectType。除非指定 objectAlias,此字段将成为 Amazon EKS 容器组中密钥的文件名。如果使用 ARN,则 ARN 中的区域必须与字段 region 匹配。如果包括 failoverRegion,则此字段表示主 objectName

objectType

如果不将 Secrets Manager ARN 用于 objectName,需要这个操作 可以是 secretsmanagerssmparameter

objectAlias

(可选)Amazon EKS 容器中密钥的文件名。如果不指定此字段,则 objectName 作为文件名显示。

ObjectVersion

(可选)密钥的版本 ID。不推荐,因为每次更新密钥时都必须更新版本 ID。默认情况下,使用最新版本。如果包括 failoverRegion,则此字段表示主 objectVersion

objectVersionLabel

(可选)版本的别名。原定设置是最新版本 AWSCURRENT。有关更多信息,请参阅版本。如果包括 failoverRegion,则此字段表示主 objectVersionLabel

JMESPath

(可选)密钥中的键映射到要在 Amazon EKS 中挂载的文件。要使用此字段,密钥值必须采用 JSON 格式。如果使用此字段,必须包含子字段 pathobjectAlias

path

密钥值 JSON 中的键/值对中的键。

objectAlias

要挂载在 Amazon EKS 容器中的文件名。

failoverObject

(可选)如果您指定此字段,ASCP 会尝试检索主 objectName 中指定的密钥和 failoverObject objectName 子字段中指定的密钥。如果任何一个返回 4xx 错误(例如身份验证问题),ASCP 都不会挂载任何一个密钥。如果成功从主 objectName 中检索到密钥,则 ASCP 会挂载该密钥值。如果未成功从主 objectName 中检索到密钥,但已成功从失效转移 objectName 中检索到密钥,则 ASCP 会挂载该密钥值。如果包含此字段,责必须包含字段 objectAlias。有关如何使用此字段的示例,请参阅 选择要挂载的失效转移密钥

当失效转移密钥不是副本时,通常使用此字段。有关如何指定副本的示例,请参阅 为多区域密钥定义失效转移区域

objectName

失效转移密钥的名称或完整 ARN。如果使用 ARN,则 ARN 中的区域必须与字段 failoverRegion 匹配。

ObjectVersion

(可选)密钥的版本 ID。必须与主 objectVersion 匹配。不推荐,因为每次更新密钥时都必须更新版本 ID。默认情况下,使用最新版本。

objectVersionLabel

(可选)版本的别名。原定设置是最新版本 AWSCURRENT。有关更多信息,请参阅版本