`SecretProviderClass`

Anda gunakan YAML untuk menjelaskan rahasia mana yang akan dipasang di Amazon EKS menggunakan ASCP. Sebagai contoh, lihat Contoh: Pasang rahasia dengan nama atau ARN.


apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

Bidang parameters berisi rincian permintaan pemasangan:

region

(Opsional) Wilayah AWS dari rahasianya. Jika Anda tidak menggunakan bidang ini, ASCP mencari Wilayah dari anotasi pada node. Pencarian ini menambahkan overhead ke permintaan mount, jadi sebaiknya Anda menyediakan Region untuk cluster yang menggunakan pod dalam jumlah besar.

Jika Anda juga menentukanfailoverRegion, ASCP mencoba untuk mengambil rahasia dari kedua Wilayah. Jika salah satu Wilayah mengembalikan kesalahan 4xx, misalnya untuk masalah otentikasi, ASCP tidak memasang rahasia mana pun. Jika rahasia berhasil diambilregion, maka nilai rahasia itu ASCP dipasang. Jika rahasia tidak berhasil diambil dariregion, tetapi berhasil diambil darifailoverRegion, maka ASCP mount nilai rahasia itu.

failoverRegion

(Opsional) Jika Anda menyertakan bidang ini, ASCP mencoba untuk mengambil rahasia dari Wilayah yang ditentukan dalam region dan bidang ini. Jika salah satu Wilayah mengembalikan kesalahan 4xx, misalnya untuk masalah otentikasi, ASCP tidak memasang rahasia mana pun. Jika rahasia berhasil diambilregion, maka nilai rahasia itu ASCP dipasang. Jika rahasia tidak berhasil diambil dariregion, tetapi berhasil diambil darifailoverRegion, maka ASCP mount nilai rahasia itu. Untuk contoh cara menggunakan bidang ini, lihatTentukan Wilayah failover untuk rahasia Multi-wilayah.

pathTranslation

(Opsional) Karakter substitusi tunggal untuk digunakan jika nama file di Amazon EKS akan berisi karakter pemisah jalur, seperti garis miring (/) di Linux. Tidak ASCP dapat membuat file yang dipasang yang berisi karakter pemisah jalur. Sebaliknya, ASCP menggantikan karakter pemisah jalur dengan karakter yang berbeda. Jika Anda tidak menggunakan bidang ini, karakter pengganti adalah garis bawah (_), jadi misalnya, My/Path/Secret dipasang sebagai. My_Path_Secret

Untuk mencegah substitusi karakter, masukkan stringFalse.

objek

Sebuah string yang berisi YAML deklarasi rahasia yang akan dipasang. Sebaiknya gunakan karakter string atau pipe (|) YAML multi-line.

objectName

Nama atau ARN penuh rahasia. Jika Anda menggunakanARN, Anda dapat menghilangkanobjectType. Bidang ini menjadi nama file rahasia di EKS pod Amazon kecuali Anda menentukanobjectAlias. Jika Anda menggunakanARN, Wilayah di bidang ARN harus cocok dengan bidangregion. Jika Anda menyertakan afailoverRegion, bidang ini mewakili primerobjectName.

objectType

Diperlukan jika Anda tidak menggunakan Secrets Manager ARN untukobjectName. Bisa salah satu secretsmanager ataussmparameter.

objectAlias

(Opsional) Nama file rahasia di EKS pod Amazon. Jika Anda tidak menentukan bidang ini, objectName muncul sebagai nama file.

objectVersion

(Opsional) ID versi rahasia. Tidak disarankan karena Anda harus memperbarui ID versi setiap kali Anda memperbarui rahasia. Secara default versi terbaru digunakan. Jika Anda menyertakan afailoverRegion, bidang ini mewakili primerobjectVersion.

objectVersionLabel

(Opsional) Alias untuk versi. Defaultnya adalah versi terbaru AWSCURRENT. Untuk informasi selengkapnya, lihat Versi rahasia. Jika Anda menyertakan afailoverRegion, bidang ini mewakili primerobjectVersionLabel.

jmesPath

(Opsional) Peta kunci rahasia file yang akan dipasang di AmazonEKS. Untuk menggunakan bidang ini, nilai rahasia Anda harus dalam JSON format. Jika Anda menggunakan bidang ini, Anda harus menyertakan subbidang path danobjectAlias.

path: Kunci dari pasangan kunci/nilai dalam JSON nilai rahasia. Jika bidang berisi tanda hubung, gunakan tanda kutip tunggal untuk menghindarinya, misalnya: path: '"hyphenated-path"'
objectAlias: Nama file yang akan dipasang di EKS pod Amazon. Jika bidang berisi tanda hubung, gunakan tanda kutip tunggal untuk menghindarinya, misalnya: objectAlias: '"hyphenated-alias"'

failoverObject

(Opsional) Jika Anda menentukan bidang ini, ASCP mencoba untuk mengambil kedua rahasia yang ditentukan dalam primer objectName dan rahasia yang ditentukan dalam failoverObject objectName sub-bidang. Jika salah satu mengembalikan kesalahan 4xx, misalnya untuk masalah otentikasi, ASCP tidak memasang salah satu rahasia. Jika rahasia berhasil diambil dari primerobjectName, maka nilai rahasia itu ASCP dipasang. Jika rahasia tidak berhasil diambil dari primerobjectName, tetapi berhasil diambil dari failoverobjectName, maka akan ASCP memasang nilai rahasia itu. Jika Anda menyertakan bidang ini, Anda harus menyertakan bidang tersebutobjectAlias. Untuk contoh cara menggunakan bidang ini, lihatPilih rahasia failover untuk dipasang.

Anda biasanya menggunakan bidang ini ketika rahasia failover bukan replika. Untuk contoh cara menentukan replika, lihatTentukan Wilayah failover untuk rahasia Multi-wilayah.

objectName: Nama atau penuh ARN rahasia failover. Jika Anda menggunakanARN, Wilayah di bidang ARN harus cocok dengan bidangfailoverRegion.
objectVersion: (Opsional) ID versi rahasia. Harus cocok dengan yang utamaobjectVersion. Tidak disarankan karena Anda harus memperbarui ID versi setiap kali Anda memperbarui rahasia. Secara default versi terbaru digunakan.
objectVersionLabel: (Opsional) Alias untuk versi. Defaultnya adalah versi terbaru AWSCURRENT. Untuk informasi selengkapnya, lihat Versi rahasia.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Amazon EKS

Agen Secrets Manager