SecretProviderClass

Usi YAML per descrivere quali segreti montare in Amazon EKS utilizzando ASCP. Per alcuni esempi, consulta Esempio: montaggio di segreti per nome o ARN.

apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

Il campo parameters contiene i dettagli della richiesta di montaggio:

Regione

(Facoltativo) Il segreto Regione AWS . Se non utilizzi questo campo, l'ASCP cerca la regione dall'annotazione sul nodo. Questa ricerca aggiunge un sovraccarico alle richieste di montaggio, quindi consigliamo di fornire la regione per i cluster che utilizzano un numero elevato di pod.

Se specifichi anche la failoverRegion, l'ASCP tenta di recuperare il segreto da entrambe le Regioni. Se una delle Regioni restituisce un errore 4xx, ad esempio per un problema di autenticazione, l'ASCP non installa nessuno dei due segreti. Se il segreto viene recuperato correttamente da region, l'ASCP monta tale valore del segreto. Se il segreto non viene recuperato correttamente da region, ma viene correttamente recuperato da failoverRegion, l'ASCP monta tale valore del segreto.

failoverRegion

(Facoltativo) Se si include questo campo, l'ASCP tenta di recuperare il segreto dalle Regioni definite inregion e in questo campo. Se una delle Regioni restituisce un errore 4xx, ad esempio per un problema di autenticazione, l'ASCP non installa nessuno dei due segreti. Se il segreto viene recuperato correttamente da region, l'ASCP monta tale valore del segreto. Se il segreto non viene recuperato correttamente da region, ma viene correttamente recuperato da failoverRegion, l'ASCP monta tale valore del segreto. Per un esempio su come utilizzare questo campo, consulta la sezione Definizione di una Regione di failover per un segreto multiregione.

pathTranslation

(Facoltativo) Un singolo carattere di sostituzione da utilizzare se il nome del file in Amazon EKS conterrà il carattere separatore di percorso, come barra (/) su Linux. L'ASCP non è in grado di creare un file montato che contiene un carattere separatore di percorso. Invece, l'ASCP sostituisce il carattere separatore di percorso con un carattere diverso. Se non utilizzi questo campo, il carattere sostitutivo è il carattere di sottolineatura (_), quindi ad esempio, My/Path/Secret monta come My_Path_Secret.

Per impedire la sostituzione dei caratteri, immettere la stringa False.

objects

Una stringa contenente una dichiarazione YAML dei segreti da montare. Si consiglia di utilizzare una stringa multiriga YAML o un carattere pipe (|).

objectName

Il nome o l'ARN completo del segreto. Se usi l'ARN, puoi omettere objectType. Questo campo diventa il nome file del segreto nel pod Amazon EKS, a meno che tu non specifichi objectAlias. Se utilizzi un ARN, la Regione nell'ARN deve corrispondere al campo region. Se includi un failoverRegion, questo campo rappresenta l'objectName primario.

objectType

Obbligatorio se non si utilizza un ARN di Secrets Manager per objectName. Può essere secretsmanager o ssmparameter.

objectAlias

(Facoltativo) Il nome file del segreto nel pod Amazon EKS. Se non indichi questo campo, objectName viene visualizzato come nome del file.

objectVersion

(Facoltativo) L'ID di versione del segreto. Non è consigliato perché è necessario aggiornare l'ID di versione ogni volta che si aggiorna il segreto. Per impostazione predefinita viene utilizzata la versione più recente. Se includi un failoverRegion, questo campo rappresenta l'objectVersion primario.

objectVersionLabel

(Facoltativo) L'alias per la versione. L'impostazione predefinita è la versione più recente AWSCURRENT. Per ulteriori informazioni, consulta Versioni segrete. Se includi un failoverRegion, questo campo rappresenta l'objectVersionLabel primario.

jmesPath

(Facoltativo) Una mappa delle chiavi nel segreto per i file da montare in Amazon EKS. Per utilizzare questo campo, il valore del segreto deve essere in formato JSON. Se si utilizza questo campo, è necessario includere i sottocampi path e objectAlias.

path

Una chiave di una coppia chiave/valore nel JSON del valore del segreto. Se il campo contiene un trattino, usa le virgolette singole per evitarlo, ad esempio: path: '"hyphenated-path"'

objectAlias

Il nome del file da montare nel pod Amazon EKS. Se il campo contiene un trattino, usa le virgolette singole per evitarlo, ad esempio: objectAlias: '"hyphenated-alias"'

failoverObject

(Facoltativo) Se specifichi questo campo, l'ASCP tenta di recuperare sia il segreto specificato nel campo primario objectName che il segreto specificato nel sottocampo failoverObject objectName. Se uno dei due restituisce un errore 4xx, ad esempio per un problema di autenticazione, l'ASCP non installa nessuno dei due segreti. Se il segreto viene recuperato con successo dall'objectName primario, l'ASCP monta tale valore del segreto. Se il segreto non viene recuperato correttamente dall'objectName primario, ma viene recuperato con successo dall'objectName di failover, l'ASCP installa tale valore del segreto. Se si include questo campo, è necessario includere il campo objectAlias. Per un esempio su come utilizzare questo campo, consulta la sezione Scelta di un segreto di failover da montare.

In genere, si utilizza questo campo quando il segreto di failover non è una replica. Per un esempio su come specificare una replica, consulta la sezione Definizione di una Regione di failover per un segreto multiregione.

objectName

Il nome o l'ARN completo del segreto di failover. Se utilizzi un ARN, la Regione nell'ARN deve corrispondere al campo failoverRegion.

objectVersion

(Facoltativo) L'ID di versione del segreto. Deve corrispondere all'objectVersion primaria. Non è consigliato perché è necessario aggiornare l'ID di versione ogni volta che si aggiorna il segreto. Per impostazione predefinita viene utilizzata la versione più recente.

objectVersionLabel

(Facoltativo) L'alias per la versione. L'impostazione predefinita è la versione più recente AWSCURRENT. Per ulteriori informazioni, consulta Versioni segrete.