• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von Parameter Store-Parametern in Amazon Elastic Kubernetes Service
Um Parameter aus Parameter Store, einem Tool in AWS Systems Manager, als in Amazon-EKS-Pods bereitgestellte Dateien anzuzeigen, können Sie AWS Secrets and Configuration Provider (ASCP) für die Kubernetes-Secrets-Store-CSI-Treiber verwenden. ASCP funktioniert mit Amazon Elastic Kubernetes Service 1.17\$1, der eine Knotengruppe von Amazon EC2 ausführt. Knotengruppen von AWS Fargate werden nicht unterstützt.
Mit ASCP können Sie Ihre Parameter in Parameter Store speichern und verwalten und sie dann über Ihre auf Amazon EKS ausgeführten Workloads abrufen. Wenn ein Parameter mehrere Schlüssel-Wert-Paare im JSON-Format enthält, können Sie auswählen, welche davon in Amazon EKS bereitgestellt werden sollen. ASCP verwendet JMESPath-Syntax, um die Schlüssel-Wert-Paare in Ihrem Secret abzufragen. ASCP funktioniert auch mit AWS Secrets Manager-Secrets.
ASCP bietet zwei Authentifizierungsmethoden mit Amazon EKS. Der erste Ansatz verwendet IAM Roles for Service Accounts (IRSA). Der zweite Ansatz verwendet Pod Identities. Jeder Ansatz hat eigene Vorteile und Anwendungsfälle.
## ASCP mit IAM Roles for Service Accounts (IRSA)
ASCP mit IAM Roles for Service Accounts (IRSA) ermöglicht Ihnen, Parameter aus Parameter Store als Dateien in Ihren Amazon-EKS-Pods zu mounten. Dieser Ansatz ist für folgende Szenarien geeignet:
+ Sie müssen Parameter als Dateien in Ihren Pods mounten.
+ Sie verwenden Amazon-EKS-Version 1.17 oder höher mit Amazon-EC2-Knotengruppen.
+ Sie möchten bestimmte Schlüssel-Wert-Paare aus JSON-formatierten Parametern abrufen.
Weitere Informationen finden Sie unter [Verwenden Sie AWS Secrets and Configuration Provider CSI mit IAM-Rollen für Dienstkonten (IRSA)](integrating_ascp_irsa.md).
## ASCP mit Pod Identity
ASCP mit Pod Identity erhöht die Sicherheit und vereinfacht die Konfiguration für den Zugriff auf Parameter in Parameter Store. Dieser Ansatz bietet Vorteile in folgenden Szenarien:
+ Sie benötigen eine detailliertere Berechtigungsverwaltung auf Pod-Ebene.
+ Sie verwenden Amazon-EKS-Version 1.24 oder höher.
+ Sie benötigen eine höhere Leistung und Skalierbarkeit.
Weitere Informationen finden Sie unter [Verwenden Sie AWS Secrets and Configuration Provider CSI mit Pod Identity für Amazon EKS](ascp-pod-identity-integration.md).
## Den richtigen Ansatz wählen
Bei der Entscheidung zwischen ASCP mit IRSA und ASCP mit Pod Identity sollten Sie die folgenden Faktoren berücksichtigen:
+ Amazon-EKS-Version: Pod Identity erfordert Amazon EKS 1.24\$1, während der CSI-Treiber mit Amazon EKS 1.17\$1 funktioniert.
+ Sicherheitsanforderungen: Pod Identity bietet eine detailliertere Kontrolle auf Pod-Ebene.
+ Leistung: Pod Identity schneidet in umfassenden Umgebungen im Allgemeinen besser ab.
+ Komplexität: Pod Identity vereinfacht die Einrichtung, da keine separaten Servicekonten erforderlich sind.
Wählen Sie die Methode, die am besten zu Ihren spezifischen Anforderungen und Ihrer Amazon-EKS-Umgebung passt.
# Installieren von ASCP für Amazon EKS
In diesem Abschnitt wird erklärt, wie Sie den AWS Secrets and Configuration Provider für Amazon EKS installieren. Mit ASCP können Sie Parameter Parameter Store und Geheimnisse aus Dateien in Amazon AWS Secrets Manager EKS-Pods mounten.
## Voraussetzungen
+ Ein Amazon-EKS-Cluster
+ Version 1.24 oder höher für Pod Identity
+ Version 1.17 oder höher für IRSA
+ Das AWS CLI installierte und konfigurierte
+ kubectl, für Ihren Amazon-EKS-Cluster installiert und konfiguriert
+ Helm (Version 3.0 oder höher)
## Installieren und Konfigurieren von ASCP
Das ASCP ist GitHub im [secrets-store-csi-provider-aws-Repository verfügbar.](https://github.com/aws/secrets-store-csi-driver-provider-aws) Das Repository enthält auch YAML-Beispieldateien zum Erstellen und Mounten eines Secrets durch das Ändern des `objectType`-Werts von `secretsmanager` zu `ssmparameter`.
Während der Installation können Sie festlegen, dass ASCP einen FIPS-Endpunkt verwenden soll. Eine Liste von Systems-Manager-Endpunkten finden Sie im *Allgemeine Amazon Web Services-Referenz* unter [Systems-Manager-Serviceendpunkte](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region).
**Installieren Sie ASCP mit Helm wie folgt:**
1. Um sicherzustellen, dass das Repository auf die neuesten Diagramme verweist, verwenden Sie `helm repo update.`.
1. Fügen Sie das Diagramm zum Secrets-Store-CSI-Treiber hinzu.
```
helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
```
1. Installieren Sie das Diagramm. Um die Drosselung zu konfigurieren, fügen Sie das folgende Flag hinzu: `--set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}'`.
```
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
```
1. Fügen Sie das ASCP-Diagramm hinzu.
```
helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws
```
1. Installieren Sie das Diagramm. Um einen FIPS-Endpunkt zu verwenden, fügen Sie das folgende Flag hinzu: `--set useFipsEndpoint=true`.
```
helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
```
**Installieren Sie ASCP mit YAML im Repository wie folgt:**
+ Verwenden Sie die folgenden Befehle.
```
helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml
```
## Überprüfen der Installationen
Gehen Sie folgendermaßen vor, um die Installationen Ihres EKS-Clusters, des Secrets Store CSI-Treibers und des ASCP-Plug-ins zu überprüfen:
1. Den EKS-Cluster überprüfen:
```
eksctl get cluster --name clusterName
```
Dieser Befehl muss Informationen zu Ihrem Cluster zurückgeben.
1. Die Secrets-Store-CSI-Treiberinstallation überprüfen:
```
kubectl get pods -n kube-system -l app=secrets-store-csi-driver
```
Sie sollten ausgeführte Pods mit Namen wie `csi-secrets-store-secrets-store-csi-driver-xxx` sehen.
1. Die ASCP-Plugin-Installation überprüfen:
------
#### [ YAML installation ]
```
$ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws
```
Beispielausgabe:
```
NAME READY STATUS RESTARTS AGE
csi-secrets-store-provider-aws-12345 1/1 Running 0 2m
```
------
#### [ Helm installation ]
```
$ kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws
```
Beispielausgabe:
```
NAME READY STATUS RESTARTS AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890 1/1 Running 0 2m
```
------
Sie sollten Pods im Status `Running` sehen.
Wenn nach dem Ausführen dieser Befehle alles korrekt eingerichtet ist, sollten alle Komponenten fehlerfrei ausgeführt werden. Wenn Sie auf Probleme stoßen, müssen Sie diese möglicherweise beheben, indem Sie die Protokolle der jeweiligen Pods überprüfen, bei denen Probleme auftreten.
## Fehlerbehebung
1. Führen Sie folgenden Befehl aus, um die Protokolle des ASCP-Anbieters zu überprüfen:
```
kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws
```
1. Überprüfen Sie den Status aller Pods im `kube-system` Namespace.
Ersetzen Sie das *default placeholder text* durch Ihre eigene Pod-ID:
```
kubectl -n kube-system get pods
```
```
kubectl -n kube-system logs pod/pod-id
```
Alle Pods, die sich auf den CSI-Treiber und ASCP beziehen, sollten sich im Status „In Ausführung“ befinden.
1. Die Version des CSI-Treibers überprüfen:
```
kubectl get csidriver secrets-store.csi.k8s.io -o yaml
```
Dieser Befehl muss Informationen zu dem installierten CSI-Treiber zurückgeben.
## Weitere Ressourcen
Weitere Informationen zur Verwendung von ASCP mit Amazon EKS finden Sie in den folgenden Ressourcen:
+ [Verwenden von Pod Identity mit Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html)
+ [AWS Secrets Store CSI-Treiber aktiviert GitHub](https://github.com/aws/secrets-store-csi-driver-provider-aws)
# Verwenden Sie AWS Secrets and Configuration Provider CSI mit Pod Identity für Amazon EKS
Die AWS Secrets and Configuration Provider-Integration mit dem Pod Identity Agent für Amazon Elastic Kubernetes Service bietet verbesserte Sicherheit, vereinfachte Konfiguration und verbesserte Leistung für Anwendungen, die auf Amazon EKS ausgeführt werden. Pod Identity vereinfacht die AWS Identity and Access Management (IAM) -Authentifizierung für Amazon EKS beim Abrufen von Parametern AWS Systems Manager Parameter Store oder Geheimnissen aus Secrets Manager.
Amazon EKS Pod Identity optimiert die Konfiguration von IAM-Berechtigungen für Kubernetes-Anwendungen, da Berechtigungen direkt über Amazon-EKS-Schnittstellen eingerichtet werden können. Das reduziert die Anzahl der Schritte und der Wechsel zwischen Amazon EKS und IAM-Services entfällt. Pod Identity ermöglicht die Verwendung einer einzigen IAM-Rolle in mehreren Clustern, ohne dass die Vertrauensrichtlinien aktualisiert werden müssen, und unterstützt [Rollensitzungs-Tags](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-abac.html#pod-id-abac-tags) für eine detailliertere Zugriffskontrolle. Dieser Ansatz vereinfacht nicht nur die Richtlinienverwaltung, indem er die rollenübergreifende Wiederverwendung von Berechtigungsrichtlinien ermöglicht, sondern erhöht auch die Sicherheit, indem der Zugriff auf AWS Ressourcen auf der Grundlage übereinstimmender Tags ermöglicht wird.
## Funktionsweise
1. Pod Identity weist dem Pod eine IAM-Rolle zu.
1. ASCP verwendet diese Rolle zur Authentifizierung bei. AWS-Services
1. Wenn ASCP entsprechend autorisiert ist, ruft es die angeforderten Parameter ab und stellt sie dem Pod zur Verfügung.
Weitere Informationen finden Sie im *Benutzerhandbuch für Amazon EKS* unter [Funktionsweise von Amazon EKS Pod Identity](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-how-it-works.html).
## Voraussetzungen
**Wichtig**
Pod Identity wird nur für Amazon EKS in der Cloud unterstützt. Es wird nicht für [Amazon EKS Anywhere](https://aws.amazon.com/eks/eks-anywhere/), [Red Hat OpenShift Service in AWS](https://aws.amazon.com/rosa/) oder selbstverwaltete Kubernetes-Cluster auf Amazon-EC2-Instances unterstützt.
+ Amazon-EKS-Cluster (Version 1.24 oder höher)
+ Zugriff auf AWS CLI einen Amazon EKS-Cluster über `kubectl`
+ (Optional) Zugriff auf zwei AWS-Konten für kontoübergreifenden Zugriff
## Installieren des Pod-Identity-Agents für Amazon EKS
Um Pod Identity in Ihrem Cluster zu verwenden, müssen Sie das Add-on „Amazon EKS Pod Identity Agent“ installieren.
**Installieren des Pod-Identity-Agents**
+ Installieren Sie das Add-on „Pod-Identity-Agent“ in Ihrem Cluster.
Ersetzen Sie die *default placeholder text * durch Ihre eigenen Werte:
```
eksctl create addon \
--name eks-pod-identity-agent \
--cluster clusterName \
--region region
```
## Einrichten von ASCP mit Pod Identity
1. Erstellen Sie eine Berechtigungsrichtlinie, die den Parametern, auf die der Pod zugreifen muss, die Berechtigungen `ssm:GetParameters` und `ssm:DescribeParameters` gewährt.
1. Erstellen Sie eine IAM-Rolle, die vom Amazon-EKS-Service-Prinzipalen für Pod Identity übernommen werden kann:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pods.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
```
------
Fügen Sie die IAM-Richtlinie an die Rolle an.
Ersetze die *default placeholder text * durch deine eigenen Werte:
```
aws iam attach-role-policy \
--role-name MY_ROLE \
--policy-arn POLICY_ARN
```
1. Erstellen Sie eine Pod-Identity-Zuordnung. Ein Beispiel finden Sie unter [Erstellen einer Pod-Identity-Zuordnung](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-association.html#pod-id-association-create) im *Benutzerhandbuch für Amazon EKS*
1. Erstellen Sie die `SecretProviderClass`, die angibt, welche Parameter oder Secrets im Pod gemountet werden sollen:
```
kubectl apply -f kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleSecretProviderClass-PodIdentity.yaml
```
Der Hauptunterschied in `SecretProviderClass` zwischen IRSA und Pod Identity ist der optionale Parameter `usePodIdentity`. Es ist ein optionales Feld, das den Authentifizierungsansatz bestimmt. Wenn nicht angegeben, wird standardmäßig IAM Roles for Service Accounts (IRSA) verwendet.
+ Verwenden Sie einen der folgenden Werte, um EKS Pod Identity zu verwenden: `"true", "True", "TRUE", "t", "T"`.
+ Wenn Sie explizit IRSA nutzen möchten, verwenden Sie einen der folgenden Werte: `"false", "False", "FALSE", "f", or "F"`.
1. Stellen Sie den Pod, der die Parameter oder Secrets mountet, unter `/mnt/secrets-store` bereit:
```
kubectl apply -f kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleDeployment-PodIdentity.yaml
```
1. Wenn Sie einen privaten Amazon EKS-Cluster verwenden, stellen Sie sicher, dass die VPC, in der sich der Cluster befindet, über einen AWS STS Endpunkt verfügt. Weitere Informationen zum Erstellen eines Endpunktes finden Sie unter [Schnittstellen-VPC-Endpunkte](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_interface_vpc_endpoints.html) im *Benutzerhandbuch für AWS Identity and Access Management *.
### Überprüfen des Secret-Mountings
Führen Sie den folgenden Befehl aus, um zu überprüfen, dass der Parameter oder das Secret korrekt gemountet wurde.
Ersetzen Sie die *default placeholder text * durch Ihre eigenen Werte:
```
kubectl exec -it $(kubectl get pods | awk '/pod-identity-deployment/{print $1}' | head -1) -- cat /mnt/secrets-store/MyParameter
```
**Richten Sie Amazon EKS Pod Identity für den Zugriff auf Parameter in Parameter Store wie folgt ein:**
1. Erstellen Sie eine Berechtigungsrichtlinie, die den Parametern, auf die der Pod zugreifen muss, die Berechtigungen `ssm:GetParameters` und `ssm:DescribeParameters` gewährt.
1. Erstellen Sie einen Parameter in Parameter Store, sofern noch nicht geschehen. Weitere Informationen finden Sie unter [Parameter Store-Parameter im Systems Manager erstellen](sysman-paramstore-su-create.md).
## Fehlerbehebung
Sie können die meisten Fehler anzeigen, indem Sie die Pod-Bereitstellung beschreiben.
**Fehlermeldungen für Ihren Container anzeigen**
1. Rufen Sie mit dem folgenden Befehl eine Liste der Pod-Namen ab. Wenn Sie nicht den Standard-Namespace verwenden, verwenden Sie `-n namespace`.
```
kubectl get pods
```
1. *pod-id*Verwenden Sie zur Beschreibung des Pods im folgenden Befehl die Pod-ID der Pods, die Sie im vorherigen Schritt gefunden haben. Wenn Sie nicht den Standard-Namespace verwenden, verwenden Sie `-n NAMESPACE`.
```
kubectl describe pod/pod-id
```
**Fehler für den ASCP anzeigen**
+ Um weitere Informationen in den Anbieterprotokollen zu finden, *PODID* verwenden Sie im folgenden Befehl die ID des Pods *csi-secrets-store-provider-aws*.
```
kubectl -n kube-system get pods
kubectl -n kube-system logs pod/pod-id
```
# Verwenden Sie AWS Secrets and Configuration Provider CSI mit IAM-Rollen für Dienstkonten (IRSA)
**Topics**
+ [Voraussetzungen](#prerequisites)
+ [Einrichten der Zugriffssteuerung](#integrating_ascp_irsa_access)
+ [Identifizieren der Parameter, die gemountet werden sollen](#integrating_ascp_irsa_mount)
+ [Fehlerbehebung](#integrating_ascp_irsa_trouble)
## Voraussetzungen
+ Amazon-EKS-Cluster (Version 1.17 oder höher)
+ Zugriff auf AWS CLI einen Amazon EKS-Cluster über `kubectl`
## Einrichten der Zugriffssteuerung
ASCP ruft die Amazon-EKS-Pod-Identität ab und tauscht sie gegen eine IAM-Rolle. Sie legen in einer IAM-Richtlinie Berechtigungen für diese IAM-Rolle fest. Wenn ASCP die IAM-Rolle übernimmt, erhält der Service Zugriff auf die von Ihnen autorisierten Parameter. Andere Container können nur auf die Parameter zugreifen, wenn Sie diese auch der IAM-Rolle zuordnen.
**Gewähren Sie Ihrem Amazon-EKS-Pod wie folgt Zugriff auf Parameter in Parameter Store:**
1. Erstellen Sie eine Berechtigungsrichtlinie, die den Parametern, auf die der Pod zugreifen muss, die Berechtigungen `ssm:GetParameters` und `ssm:DescribeParameters` gewährt.
1. Erstellen Sie einen IAM OpenID Connect (OIDC)-Anbieter für den Cluster, wenn Sie noch keinen haben. Weitere Informationen finden Sie unter [Erstellen eines IAM-OIDC-Anbieters für Ihren Cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html) im *Benutzerhandbuch für Amazon EKS*.
1. Erstellen Sie eine [IAM-Rolle für das Servicekonto](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) und fügen Sie die Richtlinie an. Weitere Informationen finden Sie unter [Erstellen einer IAM-Rolle für ein Servicekonto](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) im *Benutzerhandbuch für Amazon EKS*.
1. Wenn Sie einen privaten Amazon EKS-Cluster verwenden, stellen Sie sicher, dass die VPC, in der sich der Cluster befindet, über einen AWS STS Endpunkt verfügt. Weitere Informationen zum Erstellen eines Endpunktes finden Sie unter [Schnittstellen-VPC-Endpunkte](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_interface_vpc_endpoints.html) im *Benutzerhandbuch für AWS Identity and Access Management *.
## Identifizieren der Parameter, die gemountet werden sollen
Um zu bestimmen, welche Parameter ASCP in Amazon EKS als Dateien im Dateisystem mountet, erstellen Sie eine [SecretProviderClass](ascp-examples.md#ascp-examples-secretproviderclass)-YAML-Datei. Die `SecretProviderClass` listet die zu mountenden Parameter und den Dateinamen auf, unter dem sie gemountet werden sollen. `SecretProviderClass` muss sich im gleichen Namespace wie der Amazon-EKS-Pod befinden, auf den verwiesen wird.
### Mounten der Parameter als Dateien
[Die folgenden Anweisungen zeigen, wie Parameter mithilfe der YAML-Beispieldateien .yaml und [ExampleSecretProviderClass.yaml als Dateien bereitgestellt werden.](https://github.com/aws/secrets-store-csi-driver-provider-aws/blob/main/examples/ExampleSecretProviderClass-IRSA.yaml) ExampleDeployment](https://github.com/aws/secrets-store-csi-driver-provider-aws/blob/main/examples/ExampleDeployment-IRSA.yaml)
**Mounten Sie Parameter in Amazon EKS wie folgt:**
1. Wenden Sie die `SecretProviderClass` auf den Pod an:
```
kubectl apply -f ExampleSecretProviderClass.yaml
```
1. Stellen Sie den Pod bereit:
```
kubectl apply -f ExampleDeployment.yaml
```
1. ASCP mountet die Dateien.
## Fehlerbehebung
Sie können die meisten Fehler anzeigen, indem Sie die Pod-Bereitstellung beschreiben.
**Fehlermeldungen für Ihren Container anzeigen**
1. Rufen Sie mit dem folgenden Befehl eine Liste der Pod-Namen ab. Wenn Sie nicht den Standard-Namespace verwenden, verwenden Sie `-n name-space`.
```
kubectl get pods
```
1. *pod-id*Verwenden Sie zur Beschreibung des Pods im folgenden Befehl die Pod-ID der Pods, die Sie im vorherigen Schritt gefunden haben. Wenn Sie nicht den Standard-Namespace verwenden, verwenden Sie `-n nameSpace`.
```
kubectl describe pod/pod-id
```
**Fehler für den ASCP anzeigen**
+ Um weitere Informationen in den Anbieterprotokollen zu finden, *pod-id* verwenden Sie im folgenden Befehl die ID des Pods *csi-secrets-store-provider-aws*.
```
kubectl -n kube-system get pods
kubectl -n kube-system logs Pod/pod-id
```
+
**Überprüfen Sie, ob die `SecretProviderClass`-CRD installiert wurde:**
```
kubectl get crd secretproviderclasses.secrets-store.csi.x-k8s.io
```
Dieser Befehl muss Informationen zur benutzerdefinierten Ressourcendefinition von `SecretProviderClass` zurückgeben.
+
**Stellen Sie sicher, dass das SecretProviderClass Objekt erstellt wurde.**
```
kubectl get secretproviderclass SecretProviderClassName -o yaml
```
# AWS Codebeispiele für Secrets und Configuration Provider
## Beispiele für ASCP-Authentifizierung und Zugriffskontrolle
### Beispiel: IAM-Richtlinie, die dem Service Amazon EKS Pod Identity (pods.eks.amazonaws.com) ermöglicht, die Rolle zu übernehmen und die Sitzung zu taggen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pods.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
```
------
## SecretProviderClass
Sie verwenden YAML, um zu beschreiben, welche Parameter mithilfe von ASCP in Amazon EKS gemountet werden sollen. Beispiele finden Sie unter [SecretProviderClass Verwendung](#ascp-scenarios-secretproviderclass).
### SecretProviderClass YAML-Struktur
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: name
spec:
provider: aws
parameters:
region:
failoverRegion:
pathTranslation:
usePodIdentity:
preferredAddressType:
objects:
```
Das Feld Parameter enthält die Details der Mounting-Anfrage:
**Region**
(Optional) Der Wert AWS-Region des Parameters. Wenn Sie dieses Feld nicht verwenden, sucht der ASCP die Region aus der Anmerkung auf dem Knoten. Diese Suche steigert den Overhead von Mounting-Anfragen. Daher wird empfohlen, die Region für Cluster mit einer großen Anzahl von Pods anzugeben.
Wenn Sie auch `failoverRegion` angeben, versucht ASCP, den Parameter aus beiden Regionen abzurufen. Wenn eine Region einen `4xx`-Fehler zurückgibt, z. B. aufgrund eines Authentifizierungsproblems, mountet ASCP keinen der Parameter. Wenn der Parameter erfolgreich von `region``` abgerufen wurde, mountet ASCP diesen Parameterwert. Wenn das Secret nicht erfolgreich von `region` abgerufen wurde, aber erfolgreich von `failoverRegion` abgerufen werden konnte, mountet ASCP diesen Parameter-Wert.
**`failoverRegion`**
(Optional) Wenn Sie dieses Feld angeben, versucht ASCP, das Secret aus den Regionen abzurufen, die in `region` und diesem Feld definiert sind. Wenn eine Region einen `4xx`-Fehler zurückgibt, z. B. aufgrund eines Authentifizierungsproblems, mountet ASCP keinen der Parameter. Wenn der Parameter erfolgreich von `region` abgerufen wurde, mountet ASCP diesen Parameterwert. Wenn das Secret nicht erfolgreich von `region` abgerufen wurde, aber erfolgreich von `failoverRegion` abgerufen werden konnte, mountet ASCP diesen Parameter-Wert. Ein Beispiel für die Nutzung dieses Felds finden Sie unter [Multiregionaler Parameter-Failover](#multi-region-failover).
**pathTranslation (Pfadangabe)**
(Optional) Ein einzelnes Ersetzungszeichen, das verwendet werden soll, wenn der Dateiname in Amazon EKS das Pfadtrennzeichen enthält, z. B. Schrägstrich (/) unter Linux. ASCP kann keine gemountete Datei erstellen, die ein Pfadtrennzeichen enthält. Stattdessen ersetzt ASCP das Pfadtrennzeichen durch ein anderes Zeichen. Wenn Sie dieses Feld nicht verwenden, ist das Ersatzzeichen ein Unterstrich (\$1), d. h. `My/Path/Parameter` wird als `My_Path_Parameter` gemountet.
Um die Zeichenersetzung zu verhindern, geben Sie die Zeichenfolge `False` ein.
***usePodIdentity***
(Optional) Legt den Authentifizierungsansatz fest. Wenn nicht angegeben, wird standardmäßig IAM Roles for Service Accounts (IRSA) verwendet.
+ Verwenden Sie einen der folgenden Werte, um EKS Pod Identity zu verwenden: `"true"`, `"True"`, `"TRUE"`, `"t"` oder `"T"`.
+ Wenn Sie explizit IRSA nutzen möchten, verwenden Sie einen der folgenden Werte: `"false"`, `"False"`, `"FALSE"`, `"f"` oder `"F"`.
***preferredAddressType***
(Optional) Gibt den bevorzugten IP-Adresstyp für die Pod-Identity-Agent-Endpunktkommunikation an. Das Feld ist nur bei Verwendung der EKS-Pod-Identity-Funktion relevant und wird ignoriert, wenn IAM-Roles for Service Accounts verwendet wird. Bei den Werten wird zwischen Groß- und Kleinschreibung unterschieden. Folgende sind gültige Werte:
+ `"ipv4"`, `"IPv4"` „, oder `"IPV4"` — Erzwingt die Verwendung des Pod Identity IPv4 Agent-Endpunkts
+ `"ipv6"`,`"IPv6"`, oder `"IPV6"` — Erzwingen Sie die Verwendung des Pod Identity IPv6 Agent-Endpunkts
+ nicht spezifiziert — auto Endpunktauswahl verwenden, zuerst den IPv4 Endpunkt ausprobieren und bei einem Fehler auf den IPv6 Endpunkt IPv4 zurückgreifen
**objects (Objekte)**
Eine Zeichenfolge, die eine YAML-Deklaration der bereitzustellenden Secrets enthält. Wir empfehlen, eine mehrzeilige YAML-Zeichenfolge oder ein Pipe-Zeichen (\$1) zu verwenden.
**objectName (Objektname)**
Erforderlich Gibt den Namen des Parameters oder Secrets an, das abgerufen werden soll. Für Parameter Store ist dies der [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html#API_GetParameter_RequestParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html#API_GetParameter_RequestParameters) des Parameters und kann entweder der Name oder der vollständige ARN sein. Für Secrets Manager ist dies der Parameter [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html#API_GetSecretValue_RequestParameters](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html#API_GetSecretValue_RequestParameters) und kann entweder der Anzeigename oder der vollständige ARN des Secrets sein.
**objectType**
Erforderlich, wenn Sie keinen Secrets Manager ARN für `objectName` verwenden. Geben Sie als Parameter Store `ssmparameter`ein. Verwenden Sie für Secrets Manager `secretsmanager`.
**objectAlias**
(Optional) Der Dateiname des Secrets im Amazon-EKS-Pod. Wenn Sie dieses Feld nicht angeben, wird `objectName` als Dateiname angezeigt.
**objectVersion (Objektversion)**
(Optional) Die Versions-ID des Parameters. Nicht empfohlen, da Sie jedes Mal, wenn Sie den Parameter aktualisieren, die Versions-ID aktualisieren müssen. Standardmäßig wird die neueste Version verwendet. Wenn Sie eine `failoverRegion` angeben, stellt dieses Feld den primären `objectVersion` dar.
**objectVersionLabel**
(Optional) Der Alias für die Version. Die Standardversion ist die neueste Version`AWSCURRENT`. Wenn Sie eine `failoverRegion` angeben, stellt dieses Feld den primären `objectVersionLabel` dar.
**jmesPath**
(Optional) Eine Zuordnung der Schlüssel im Parameter zu den Dateien, die in Amazon EKS gemountet werden sollen. Um dieses Feld zu verwenden, muss Ihr Parameterwert im JSON-Format vorliegen.
Das folgende Beispiel zeigt, wie ein JSON-kodierter Parameter aussieht.
```
{
"username" : "myusername",
"password" : "mypassword"
}
```
Die Schlüssel sind `username` und `password`. Der Wert, der mit `username` verbunden ist, ist `myusername`, und der Wert, der mit `password` verbunden ist, ist `mypassword`.
Wenn Sie dieses Feld verwenden, müssen Sie die Unterfelder `path` und `objectAlias` angeben.
**Pfad**
Ein Schlüssel aus einem Schlüssel-Wert-Paar im JSON des Parameterwerts. Wenn das Feld einen Bindestrich enthält, verwenden Sie einfache Anführungszeichen als Escape-Zeichen. Beispiel: `path: '"hyphenated-path"'`
**objectAlias**
Der Dateiname, der im Amazon-EKS-Pod gemountet werden soll. Wenn das Feld einen Bindestrich enthält, verwenden Sie einfache Anführungszeichen als Escape-Zeichen. Beispiel: `objectAlias: '"hyphenated-alias"'`
**`failoverObject`**
(Optional) Wenn Sie dieses Feld angeben, versucht ASCP, den im primären `objectName` angegebenen Parameter und den im `failoverObject`-`objectName`-Unterfeld angegebenen Parameter abzurufen. Wenn einer der Parameter einen `4xx`-Fehler zurückgibt, z. B. aufgrund eines Authentifizierungsproblems, mountet ASCP keinen der Parameter. Wenn der Parameter erfolgreich vom primären `objectName` abgerufen wurde, mountet ASCP diesen Parameterwert. Wenn der Parameter nicht erfolgreich vom primären `objectName` abgerufen wurde, aber erfolgreich vom Failover-`objectName` abgerufen werden konnte, mountet ASCP diesen Parameterwert. Wenn Sie dieses Feld angeben, müssen Sie auch das Feld `objectAlias` angeben. Ein Beispiel für die Nutzung dieses Felds finden Sie unter [Failover auf einen anderen Parameter](#failover-parameter).
In der Regel verwenden Sie dieses Feld, wenn es sich bei dem Failover-Parameter nicht um ein Replikat handelt. Ein Beispiel dazu, wie Sie ein Replikat angeben, finden Sie unter [Multiregionaler Parameter-Failover](#multi-region-failover).
**objectName (Objektname)**
Der Name oder vollständige ARN des Failover-Parameters. Wenn Sie einen ARN verwenden, muss die Region im ARN mit dem Feld `failoverRegion` übereinstimmen.
**objectVersion (Objektversion)**
(Optional) Die Versions-ID des Parameters. Muss mit der primären `objectVersion` übereinstimmen. Nicht empfohlen, da Sie jedes Mal, wenn Sie den Parameter aktualisieren, die Versions-ID aktualisieren müssen. Standardmäßig wird die neueste Version verwendet.
**objectVersionLabel**
(Optional) Der Alias für die Version. Die Standardversion ist die neueste Version`AWSCURRENT`.
### Erstellen Sie eine SecretProviderClass Basiskonfiguration, um Parameter in Ihren Amazon EKS-Pods zu mounten.
------
#### [ Pod Identity ]
SecretProviderClass um einen Parameter im selben Amazon EKS-Cluster zu verwenden:
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameter-store
spec:
provider: aws
parameters:
objects: |
- objectName: "MyParameter"
objectType: "ssmparameter"
usePodIdentity: "true"
```
------
#### [ IRSA ]
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: deployment-aws-parameter
spec:
provider: aws
parameters:
objects: |
- objectName: "MyParameter"
objectType: "ssmparameter"
```
------
### SecretProviderClass Verwendung
Verwenden Sie diese Beispiele, um `SecretProviderClass`-Konfigurationen für verschiedene Szenarien zu erstellen.
#### Beispiel: Parameter nach Namen oder ARN mounten
Dieses Beispiel zeigt, wie drei verschiedene Parametertypen gemountet werden:
+ Ein Parameter, der anhand des vollständigen ARN angegeben wird
+ Ein Parameter, der anhand des Namens angegeben wird
+ Eine Parameterversion eines Secrets
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
objects: |
- objectName: "arn:aws:ssm:us-east-2:777788889999:parameter:MyParameter2-d4e5f6"
- objectName: "MyParameter3"
objectType: "ssmparameter"
- objectName: "MyParameter4"
objectType: "ssmparameter"
objectVersionLabel: "AWSCURRENT"
```
#### Beispiel: Schlüssel-Wert-Paare aus einem Parameter mounten
Dieses Beispiel zeigt, wie bestimmte Schlüssel-Wert-Paare aus einem Parameter im JSON-Format gemountet werden:
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
objects: |
- objectName: "arn:aws:ssm:us-east-2:777788889999:parameter:MyParameter-a1b2c3"
jmesPath:
- path: username
objectAlias: dbusername
- path: password
objectAlias: dbpassword
```
#### Beispiel: verschiedene Failover-Konfigurationen
Diese Beispiele veranschaulichen, wie Failover für Parameter konfiguriert wird.
##### Multiregionaler Parameter-Failover
Dieses Beispiel zeigt, wie Sie einen automatischen Failover für einen Parameter konfigurieren, der über mehrere Regionen repliziert wird:
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
region: us-east-1
failoverRegion: us-east-2
objects: |
- objectName: "MyParameter"
```
##### Failover auf einen anderen Parameter
Dieses Beispiel zeigt, wie Sie einen Failover auf einen anderen Parameter (kein Replikat) konfigurieren:
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
region: us-east-1
failoverRegion: us-east-2
objects: |
- objectName: "arn:aws:ssm:us-east-1:777788889999:parameter:MyParameter-a1b2c3"
objectAlias: "MyMountedParameter"
failoverObject:
- objectName: "arn:aws:ssm:us-east-2:777788889999:parameter:MyFailoverParameter-d4e5f6"
```
## Weitere Ressourcen
Weitere Informationen zur Verwendung von ASCP mit Amazon EKS finden Sie in den folgenden Ressourcen:
+ [Verwenden von Pod Identity mit Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html)
+ [AWS Secrets Store CSI-Treiber aktiviert GitHub](https://github.com/aws/secrets-store-csi-driver-provider-aws)