SecretProviderClass

Solías YAML describir qué secretos montar en Amazon EKS utilizando el ASCP. Para ver ejemplos, consulte Ejemplo: monta los secretos por su nombre o ARN.

apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

El campo parameters contiene los detalles de la solicitud de montaje.

región

(Opcional) El Región de AWS del secreto. Si no utilizas este campo, ASCP busca la región en la anotación del nodo. Esta búsqueda agrega una sobrecarga a las solicitudes de montaje, por lo que recomendamos que proporcione la Región para los clústeres que utilizan una gran cantidad de pods.

Si también lo especificasfailoverRegion, ASCP intentará recuperar el secreto de ambas regiones. Si alguna de las regiones devuelve un error 4xx, por ejemplo, por un problema de autenticación, ASCP no se guarda ninguno de los secretos. Si el secreto se recupera correctamenteregion, se acumula ASCP ese valor secreto. Si el secreto no se recupera correctamenteregion, pero sí se recupera correctamentefailoverRegion, entonces se acumula ASCP ese valor secreto.

failoverRegion

(Opcional) Si incluye este campo, se ASCP intentará recuperar el secreto de las regiones definidas en region este campo. Si alguna de las regiones devuelve un error 4xx, por ejemplo, por un problema de autenticación, ASCP no se incluye ninguno de los secretos. Si el secreto se recupera correctamenteregion, se acumula ASCP ese valor secreto. Si el secreto no se recupera correctamenteregion, pero sí se recupera correctamentefailoverRegion, entonces se acumula ASCP ese valor secreto. Para ver un ejemplo sobre cómo utilizar este campo, consulte Definir una región de conmutación por error para un secreto de varias regiones.

pathTranslation

(Opcional) Un único carácter de sustitución para usarlo si el nombre del archivo en Amazon EKS va a contener el carácter separador de rutas, como una barra (/) en Linux. No se ASCP puede crear un archivo montado que contenga un carácter separador de rutas. En su lugar, ASCP reemplaza el carácter separador de rutas por un carácter diferente. Si no se utiliza este campo, el carácter de reemplazo es el guion bajo (_), de modo que, por ejemplo, My/Path/Secret se monta como My_Path_Secret.

Para evitar la sustitución de caracteres, ingrese la cadena False.

objects

Una cadena que contiene una YAML declaración de los secretos que se van a montar. Se recomienda utilizar una cadena de YAML varias líneas o un carácter de barra vertical (|).

objectName

El nombre o el nombre completo ARN del secreto. Si usa elARN, puede omitirlo. objectType Este campo se convierte en el nombre de archivo del secreto del EKS pod de Amazon, a menos que lo especifiquesobjectAlias. Si utilizas unARN, la región del campo ARN debe coincidir con el camporegion. Si se incluye failoverRegion, este campo representa el campo objectName principal.

objectType

Obligatorio si no utilizas Secrets Manager ARN paraobjectName. Puede ser secretsmanager o ssmparameter.

objectAlias

(Opcional) El nombre de archivo del secreto en el EKS pod de Amazon. Si no especifica este campo, el objectName aparece como nombre de archivo.

objectVersion

(Opcional) El ID de versión del secreto. No se recomienda, porque se debe actualizar el ID de versión cada vez que se actualice el secreto. Se utiliza la versión más reciente de forma predeterminada. Si se incluye failoverRegion, este campo representa el campo objectVersion principal.

objectVersionLabel

(Opcional) El alias de la versión. La versión predeterminada es la más reciente AWSCURRENT. Para obtener más información, consulte Versiones secretas. Si se incluye failoverRegion, este campo representa el campo objectVersionLabel principal.

jmesPath

(Opcional) Un mapa de las claves del secreto de los archivos que se van a montar en AmazonEKS. Para usar este campo, el valor secreto debe estar en JSON formato. Si utiliza este campo, debe incluir los subcampos path y objectAlias.

ruta

Una clave de un par clave/valor JSON del valor secreto. Si el campo contiene un guion, aplique escape con comillas simples, por ejemplo: path: '"hyphenated-path"'

objectAlias

El nombre del archivo que se va a montar en el EKS pod de Amazon. Si el campo contiene un guion, aplique escape con comillas simples, por ejemplo: objectAlias: '"hyphenated-alias"'

failoverObject

(Opcional) Si especificas este campo, se ASCP intentará recuperar tanto el secreto especificado en el campo principal objectName como el secreto especificado en el failoverObject objectName subcampo. Si alguno de los dos devuelve un error 4xx, por ejemplo, si se trata de un problema de autenticación, ASCP no se monta ninguno de los secretos. Si el secreto se recupera correctamente del principalobjectName, entonces se acumula ASCP ese valor secreto. Si el secreto no se recupera correctamente del servidor principalobjectName, pero sí se recupera correctamente de la conmutación por errorobjectName, entonces se acumula ese ASCP valor secreto. Si se incluye este campo, se debe incluir el campo objectAlias. Para ver un ejemplo sobre cómo utilizar este campo, consulte Seleccionar un secreto de conmutación por error para montarlo.

Este campo se suele utilizar cuando el secreto de conmutación por error no es una réplica. Para ver un ejemplo sobre cómo especificar una réplica, consulte Definir una región de conmutación por error para un secreto de varias regiones.

objectName

El nombre o el nombre completo ARN del secreto de la conmutación por error. Si utiliza unARN, la región ARN debe coincidir con el campofailoverRegion.

objectVersion

(Opcional) El ID de versión del secreto. Debe coincidir con el campo objectVersion principal. No se recomienda, porque se debe actualizar el ID de versión cada vez que se actualice el secreto. Se utiliza la versión más reciente de forma predeterminada.

objectVersionLabel

(Opcional) El alias de la versión. El valor predeterminado es la versión más reciente AWSCURRENT. Para obtener más información, consulte Versiones secretas.