`SecretProviderClass`

Vous utilisez YAML pour décrire les secrets à monter sur Amazon à EKS l'aide du ASCP. Pour obtenir des exemples, consultez Exemple : montez des secrets par nom ou ARN.


apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

Le parameters champ contient les détails de la demande de montage :

region

(Facultatif) Le Région AWS du secret. Si vous n'utilisez pas ce champ, la ASCP région est recherchée à partir de l'annotation sur le nœud. Comme cette recherche ajoute une surcharge aux demandes de montage, nous vous recommandons de fournir la région pour les clusters qui utilisent un grand nombre de pods.

Si vous le spécifiez égalementfailoverRegion, il ASCP essaie de récupérer le secret dans les deux régions. Si l'une des régions renvoie une erreur 4xx, par exemple pour un problème d'authentification, aucun secret ASCP ne monte. Si le secret est extrait avec succèsregion, alors cette valeur ASCP secrète est montée. Si le secret n'est pas extrait avec succèsregion, mais qu'il est extrait avec succèsfailoverRegion, alors cette valeur secrète est ASCP montée.

failoverRegion

(Facultatif) Si vous incluez ce champ, il ASCP essaie de récupérer le secret à partir des régions définies dans region et dans ce champ. Si l'une des régions renvoie une erreur 4xx, par exemple pour un problème d'authentification, aucun secret ASCP ne monte. Si le secret est extrait avec succèsregion, alors cette valeur ASCP secrète est montée. Si le secret n'est pas extrait avec succèsregion, mais qu'il est extrait avec succèsfailoverRegion, alors cette valeur secrète est ASCP montée. Pour accéder à un exemple sur la façon de procéder, consultez Définition d'une région de basculement pour un secret multi-région.

pathTranslation

(Facultatif) Un seul caractère de substitution à utiliser si le nom du fichier dans Amazon EKS doit contenir le caractère séparateur de chemin, tel que la barre oblique (/) sous Linux. Impossible ASCP de créer un fichier monté contenant un caractère séparateur de chemin. Au lieu de cela, le caractère séparateur de chemin est ASCP remplacé par un caractère différent. Si vous n'utilisez pas ce champ, la valeur par défaut est le trait de soulignement (_). Par exemple, My/Path/Secret se monte en tant que My_Path_Secret.

Pour empêcher la substitution de caractères, entrez la chaîne False.

objects

Chaîne contenant une YAML déclaration des secrets à monter. Nous vous recommandons d'utiliser une chaîne YAML multiligne ou un caractère en forme de tube (|).

objectName

Le nom ou ARN le secret complet. Si vous utilisez leARN, vous pouvez omettreobjectType. Ce champ devient le nom de fichier du secret dans le EKS module Amazon, sauf si vous le spécifiezobjectAlias. Si vous utilisez unARN, la région ARN doit correspondre au champregion. Si vous incluez un failoverRegion, ce champ représente le champ principal objectName.

objectType

Obligatoire si vous n'utilisez pas de Secrets Manager ARN pourobjectName. Peut avoir la valeur secretsmanager ou ssmparameter.

objectAlias

(Facultatif) Le nom de fichier du secret dans le EKS module Amazon. Si vous ne spécifiez pas ce champ, objectName apparaît en tant que nom de fichier.

objectVersion

(Facultatif) ID de version du secret. Déconseillé, car vous devez mettre à jour l'identifiant de la version à chaque fois que vous mettez le secret à jour. La version la plus récente est utilisée par défaut. Si vous incluez un failoverRegion, ce champ représente le champ principal objectVersion.

objectVersionLabel

(Facultatif) Alias de la version. La version par défaut est la version la plus récente AWSCURRENT. Pour de plus amples informations, veuillez consulter Versions secrètes. Si vous incluez un failoverRegion, ce champ représente le champ principal objectVersionLabel.

jmesPath

(Facultatif) Une carte des clés du secret des fichiers à monter sur AmazonEKS. Pour utiliser ce champ, votre valeur secrète doit être au JSON format. Si vous utilisez ce champ, vous devez inclure les sous-champs path et objectAlias.

path: Une clé d'une paire clé/valeur dans JSON la valeur secrète. Si le champ contient un trait d'union, utilisez des guillemets simples pour l'ignorer, par exemple : path: '"hyphenated-path"'
objectAlias: Le nom du fichier à monter dans le EKS pod Amazon. Si le champ contient un trait d'union, utilisez des guillemets simples pour l'ignorer, par exemple : objectAlias: '"hyphenated-alias"'

failoverObject

(Facultatif) Si vous spécifiez ce champ, il ASCP essaie de récupérer à la fois le secret spécifié dans le champ principal objectName et le secret spécifié dans le failoverObject objectName sous-champ. Si l'un ou l'autre renvoie une erreur 4xx, par exemple pour un problème d'authentification, aucun des secrets ASCP ne monte. Si le secret est récupéré avec succès depuis le primaireobjectName, alors cette valeur ASCP secrète est montée. Si le secret n'est pas récupéré correctement depuis le serveur principalobjectName, mais qu'il est correctement récupéré lors du basculementobjectName, cette valeur secrète est ASCP alors montée. Si vous incluez ce champ, vous devez inclure le champ objectAlias. Pour accéder à un exemple sur la façon de procéder, consultez Choisir un secret de basculement à monter.

Vous allez généralement utiliser ce champ lorsque le secret de basculement n'est pas une réplique. Pour obtenir un exemple de spécification des capacités, consultez Définition d'une région de basculement pour un secret multi-région.

objectName: Le nom ou l'intégralité ARN du secret de basculement. Si vous utilisez unARN, la région ARN doit correspondre au champfailoverRegion.
objectVersion: (Facultatif) ID de version du secret. Doit correspondre au principal objectVersion. Déconseillé, car vous devez mettre à jour l'identifiant de la version à chaque fois que vous mettez le secret à jour. La version la plus récente est utilisée par défaut.
objectVersionLabel: (Facultatif) Alias de la version. La version par défaut est la version la plus récente AWSCURRENT. Pour de plus amples informations, veuillez consulter Versions secrètes.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon EKS

Agent du Gestionnaire des Secrets