SecretProviderClass - AWS Secrets Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SecretProviderClass

你用YAML來描述哪些秘密安裝在 Amazon EKS 使用 ASCP. 如需範例,請參閱 範例:依名稱或掛載密碼 ARN

apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
   name: <NAME>
spec:
  provider: aws
  parameters:
    region:
    failoverRegion:
    pathTranslation:
    objects:

欄位 parameters 包含掛載請求的詳細資訊:

region

(選擇性) AWS 區域 的秘密。如果您不使用此欄位,則會從節點上的註釋中查ASCP找 Region。此查閱會增加掛載請求的額外負荷,因此建議您為使用大量 Pod 的叢集提供區域。

如果您也指定failoverRegion,則會ASCP嘗試從這兩個區域擷取密碼。如果任一區域傳回 4xx 錯誤 (例如驗證問題),則ASCP不會掛載任一機密。如果從中成功擷取密碼region,則會ASCP裝載該密碼值。如果未從中成功擷取密碼region,但從中成功擷取密碼failoverRegion,則會ASCP裝載該機密值。

failoverRegion

(選擇性) 如果您包含此欄位,會ASCP嘗試從中定義的 [區域] region 和此欄位擷取密碼。如果任一區域傳回 4xx 錯誤 (例如驗證問題),則ASCP不會掛載任一機密。如果從中成功擷取密碼region,則會ASCP裝載該密碼值。如果未從中成功擷取密碼region,但從中成功擷取密碼failoverRegion,則會ASCP裝載該機密值。如需如何使用此欄位的範例,請參閱 定義多區域機密的容錯移轉區域

pathTranslation

(選擇性) 如果 Amazon EKS 中的檔案名稱包含路徑分隔符號字元,例如 Linux 上的斜線 (/),則要使用的單一替代字元。ASCP無法建立包含路徑分隔符號字元的已掛載檔案。而是以不同的字元ASCP取代路徑分隔符號字元。如果不使用此欄位,則取代字元為底線 (_),例如 My/Path/Secret 掛載為 My_Path_Secret

若要避免發生字元取代的情況,請輸入字串 False

objects

包含要掛載之密碼YAML宣告的字串。我們建議使用YAML多行字串或直線 (|) 字元。

objectName

名稱或完整ARN的秘密。如果您使用ARN,則可以省略objectType。除非您指定,否則此欄位會成為 Amazon EKS 網繭中密碼的檔案名稱objectAlias。如果您使用ARN,則中的「區域」ARN 必須與欄位相符region。如果您包含 failoverRegion,則此欄位代表主要 objectName

objectType

如果您不使用 Secrets ManagerARN,則需要objectName. 可以是 secretsmanagerssmparameter

objectAlias

(選擇性) Amazon EKS 網繭中密碼的檔案名稱。如果您未指定此欄位,objectName 會顯示為檔案名稱。

objectVersion

(選用) 秘密的版本 ID。不建議,因為每次更新機密時都必須更新版本 ID。依預設,會使用最新版本。如果您包含 failoverRegion,則此欄位代表主要 objectVersion

objectVersionLabel

(選用) 版本的別名。預設為最新版本 AWSCURRENT。如需詳細資訊,請參閱秘密版本。如果您包含 failoverRegion,則此欄位代表主要 objectVersionLabel

jmesPath

(選擇性) 秘密中的金鑰對應至要掛載在 Amazon 的檔案EKS。若要使用此欄位,您的密碼值必須為JSON格式。如果使用此欄位,您必須包含 pathobjectAlias

路徑

來自秘密值的鍵/值對JSON的鍵。如果欄位包含連字號,請使用單引號將其逸出,例如:path: '"hyphenated-path"'

objectAlias

要掛接在 Amazon EKS 網繭中的檔案名稱。如果欄位包含連字號,請使用單引號將其逸出,例如:objectAlias: '"hyphenated-alias"'

failoverObject

(選擇性) 如果您指定此欄位,ASCP會嘗試擷取主要密碼中指定的密碼objectNamefailoverObjectobjectName子欄位中指定的密碼。如果其中一個傳回 4xx 錯誤 (例如驗證問題),則ASCP不會掛載任何一個機密。如果成功從主要機密擷取密碼objectName,則會ASCP裝載該密碼值。如果未成功從主要機密擷取密碼objectName,但從容錯移轉成功擷取密碼objectName,則會ASCP裝載該機密值。如果包含此欄位,則您必須包含欄位 objectAlias。如需如何使用此欄位的範例,請參閱 選擇要掛載的容錯移轉機密

當容錯移轉機密不是複本時,您通常會使用此欄位。如需如何指定複本的範例,請參閱 定義多區域機密的容錯移轉區域

objectName

容錯移轉密碼ARN的名稱或完整。如果您使用ARN,則中的「區域」ARN 必須與欄位相符failoverRegion

objectVersion

(選用) 秘密的版本 ID。必須與主要 objectVersion 相符。不建議,因為每次更新機密時都必須更新版本 ID。依預設,會使用最新版本。

objectVersionLabel

(選用) 版本的別名。預設為最新版本 AWSCURRENT。如需詳細資訊,請參閱秘密版本