本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SecretProviderClass
你用YAML來描述哪些秘密安裝在 Amazon EKS 使用 ASCP. 如需範例,請參閱 範例:依名稱或掛載密碼 ARN。
apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: <NAME> spec: provider: aws parameters: region: failoverRegion: pathTranslation: objects:
欄位 parameters
包含掛載請求的詳細資訊:
- region
-
(選擇性) AWS 區域 的秘密。如果您不使用此欄位,則會從節點上的註釋中查ASCP找 Region。此查閱會增加掛載請求的額外負荷,因此建議您為使用大量 Pod 的叢集提供區域。
如果您也指定
failoverRegion
,則會ASCP嘗試從這兩個區域擷取密碼。如果任一區域傳回 4xx 錯誤 (例如驗證問題),則ASCP不會掛載任一機密。如果從中成功擷取密碼region
,則會ASCP裝載該密碼值。如果未從中成功擷取密碼region
,但從中成功擷取密碼failoverRegion
,則會ASCP裝載該機密值。 - failoverRegion
-
(選擇性) 如果您包含此欄位,會ASCP嘗試從中定義的 [區域]
region
和此欄位擷取密碼。如果任一區域傳回 4xx 錯誤 (例如驗證問題),則ASCP不會掛載任一機密。如果從中成功擷取密碼region
,則會ASCP裝載該密碼值。如果未從中成功擷取密碼region
,但從中成功擷取密碼failoverRegion
,則會ASCP裝載該機密值。如需如何使用此欄位的範例,請參閱 定義多區域機密的容錯移轉區域。 - pathTranslation
-
(選擇性) 如果 Amazon EKS 中的檔案名稱包含路徑分隔符號字元,例如 Linux 上的斜線 (/),則要使用的單一替代字元。ASCP無法建立包含路徑分隔符號字元的已掛載檔案。而是以不同的字元ASCP取代路徑分隔符號字元。如果不使用此欄位,則取代字元為底線 (_),例如
My/Path/Secret
掛載為My_Path_Secret
。若要避免發生字元取代的情況,請輸入字串
False
。 - objects
-
包含要掛載之密碼YAML宣告的字串。我們建議使用YAML多行字串或直線 (|) 字元。
- objectName
-
名稱或完整ARN的秘密。如果您使用ARN,則可以省略
objectType
。除非您指定,否則此欄位會成為 Amazon EKS 網繭中密碼的檔案名稱objectAlias
。如果您使用ARN,則中的「區域」ARN 必須與欄位相符region
。如果您包含failoverRegion
,則此欄位代表主要objectName
。 - objectType
-
如果您不使用 Secrets ManagerARN,則需要
objectName
. 可以是secretsmanager
或ssmparameter
。 - objectAlias
-
(選擇性) Amazon EKS 網繭中密碼的檔案名稱。如果您未指定此欄位,
objectName
會顯示為檔案名稱。 - objectVersion
-
(選用) 秘密的版本 ID。不建議,因為每次更新機密時都必須更新版本 ID。依預設,會使用最新版本。如果您包含
failoverRegion
,則此欄位代表主要objectVersion
。 - objectVersionLabel
-
(選用) 版本的別名。預設為最新版本 AWSCURRENT。如需詳細資訊,請參閱秘密版本。如果您包含
failoverRegion
,則此欄位代表主要objectVersionLabel
。 - jmesPath
-
(選擇性) 秘密中的金鑰對應至要掛載在 Amazon 的檔案EKS。若要使用此欄位,您的密碼值必須為JSON格式。如果使用此欄位,您必須包含
path
和objectAlias
。- 路徑
來自秘密值的鍵/值對JSON的鍵。如果欄位包含連字號,請使用單引號將其逸出,例如:
path: '"hyphenated-path"'
。- objectAlias
要掛接在 Amazon EKS 網繭中的檔案名稱。如果欄位包含連字號,請使用單引號將其逸出,例如:
objectAlias: '"hyphenated-alias"'
。
- failoverObject
-
(選擇性) 如果您指定此欄位,ASCP會嘗試擷取主要密碼中指定的密碼
objectName
和failoverObject
objectName
子欄位中指定的密碼。如果其中一個傳回 4xx 錯誤 (例如驗證問題),則ASCP不會掛載任何一個機密。如果成功從主要機密擷取密碼objectName
,則會ASCP裝載該密碼值。如果未成功從主要機密擷取密碼objectName
,但從容錯移轉成功擷取密碼objectName
,則會ASCP裝載該機密值。如果包含此欄位,則您必須包含欄位objectAlias
。如需如何使用此欄位的範例,請參閱 選擇要掛載的容錯移轉機密。當容錯移轉機密不是複本時,您通常會使用此欄位。如需如何指定複本的範例,請參閱 定義多區域機密的容錯移轉區域。
- objectName
容錯移轉密碼ARN的名稱或完整。如果您使用ARN,則中的「區域」ARN 必須與欄位相符
failoverRegion
。- objectVersion
(選用) 秘密的版本 ID。必須與主要
objectVersion
相符。不建議,因為每次更新機密時都必須更新版本 ID。依預設,會使用最新版本。- objectVersionLabel
(選用) 版本的別名。預設為最新版本 AWSCURRENT。如需詳細資訊,請參閱秘密版本。