• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Usar o CSI do AWS Secrets and Configuration Provider com a Identidade de Pods para Amazon EKS
<a name="ascp-pod-identity-integration"></a>

A integração do AWS Secrets and Configuration Provider com o agente da Identidade de Pods para Amazon Elastic Kubernetes Service fornece segurança aprimorada, configuração simplificada e performance aprimorada para aplicações executadas no Amazon EKS. A Identidade de Pods simplifica a autenticação do AWS Identity and Access Management (IAM) para Amazon EKS ao recuperar parâmetros do Parameter Store do AWS Systems Manager ou segredos do Secrets Manager.

A Identidade de Pods do Amazon EKS simplifica o processo de configuração de permissões do IAM para aplicações do Kubernetes, possibilitando que as permissões sejam configuradas diretamente por meio das interfaces do Amazon EKS, reduzindo o número de etapas e eliminando a necessidade de alternar entre os serviços do Amazon EKS e do IAM. A Identidade de Pods permite o uso de um único perfil do IAM em vários clusters sem atualizar as políticas de confiança, e oferece suporte a [tags de sessão de perfis](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-abac.html#pod-id-abac-tags) para um controle de acesso mais granular. Essa abordagem não apenas simplifica o gerenciamento de políticas, permitindo a reutilização de políticas de permissão em todos os perfis, mas também aumenta a segurança ao permitir o acesso a recursos da AWS com base nas tags correspondentes.

## Como funciona
<a name="how-it-works"></a>

1. A Identidade de Pods atribui um perfil do IAM ao pod.

1. O ASCP usa esse perfil para se autenticar com os Serviços da AWS.

1. Se autorizado, o ASCP recupera os parâmetros solicitados e os disponibiliza para o pod.

Para obter mais informações, consulte [Como a Identidade de Pods do Amazon EKS funciona](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-how-it-works.html) no *Guia do usuário do Amazon EKS*.

## Pré-requisitos
<a name="prerequisites"></a>

**Importante**  
A Identidade de Pods é compatível somente com o Amazon EKS na nuvem. Ela não é compatível com o [Amazon EKS Anywhere](https://aws.amazon.com/eks/eks-anywhere/), o [Serviço Red Hat OpenShift na AWS](https://aws.amazon.com/rosa/) ou com clusters autogerenciados do Kubernetes em instâncias do Amazon EC2.
+ Cluster do Amazon EKS (versão 1.24 ou posterior)
+ Acesso à AWS CLI e ao cluster do Amazon EKS por meio do `kubectl`
+ (Opcional) Acesso a duas Contas da AWS para acesso entre contas

## Instalar o agente da Identidade de Pods do Amazon EKS
<a name="install-pod-identity-agent"></a>

Para usar a Identidade de Pods com o cluster, é necessário instalar o complemento do agente da Identidade de Pods do Amazon EKS.

**Para instalar o complemento agente da Identidade de Pods**
+ Instale o complemento do agente da Identidade de Pods no cluster.

  Substitua o *texto do espaço reservado padrão* pelos seus próprios valores:

  ```
  eksctl create addon \
    --name eks-pod-identity-agent \
    --cluster clusterName \
    --region region
  ```

## Configurar o ASCP com a Identidade de Pods
<a name="pod-identity-setup"></a>

1. Crie uma política de permissões que conceda as permissões `ssm:GetParameters` e `ssm:DescribeParameters` aos parâmetros que o pod precisa acessar. 

1. Crie um perfil do IAM que possa ser assumido pela entidade principal do serviço do Amazon EKS para a Identidade de Pods:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
         {
           "Effect": "Allow",
           "Principal": {
             "Service": "pods.eks.amazonaws.com"
           },
           "Action": [
             "sts:AssumeRole",
             "sts:TagSession"
           ]
         }
       ]
     }
   ```

------

   Anexe a política do IAM à função.

   Substitua o *texto do espaço reservado padrão* pelos seus próprios valores:

   ```
   aws iam attach-role-policy \
     --role-name MY_ROLE \
     --policy-arn POLICY_ARN
   ```

1. Crie uma associação de Identidade de Pods. Para obter um exemplo, consulte [Criar uma associação de Identidade de Pods](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-association.html#pod-id-association-create) no *Guia do usuário do Amazon EKS*

1. Crie o `SecretProviderClass` que especifica quais parâmetros ou segredos devem ser montados no pod:

   ```
   kubectl apply -f kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleSecretProviderClass-PodIdentity.yaml
   ```

   A principal diferença no `SecretProviderClass` entre o IRSA e a Identidade de Pods é o parâmetro opcional `usePodIdentity`. É um campo opcional que determina a abordagem de autenticação. Quando não especificado, o padrão é usar os perfis do IAM para contas de serviço (IRSA).
   + Para usar a Identidade de Pods do EKS, use qualquer um destes valores: `"true", "True", "TRUE", "t", "T"`.
   + Para usar explicitamente o IRSA, defina para qualquer um destes valores: `"false", "False", "FALSE", "f", or "F"`.

1. Implante o pod que monta os parâmetros ou segredos em `/mnt/secrets-store`:

   ```
   kubectl apply -f kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleDeployment-PodIdentity.yaml
   ```

1. Se você usar um cluster privado do Amazon EKS, certifique-se de que a VPC na qual o cluster se encontra tenha um endpoint do AWS STS. Para obter informações sobre a criação de um endpoint, consulte [Endpoints da VPC da interface](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_interface_vpc_endpoints.html) no *Guia do usuário do AWS Identity and Access Management*.

### Verificar a montagem do segredo
<a name="verify-secret-mount"></a>

Para verificar se o parâmetro ou o segredo foi montado corretamente, execute o comando a seguir.

Substitua o *texto do espaço reservado padrão* pelos seus próprios valores:

```
kubectl exec -it $(kubectl get pods | awk '/pod-identity-deployment/{print $1}' | head -1) -- cat /mnt/secrets-store/MyParameter
```

**Para configurar a Identidade de Pods do Amazon EKS para acessar os parâmetros no Parameter Store**

1. Crie uma política de permissões que conceda as permissões `ssm:GetParameters` e `ssm:DescribeParameters` aos parâmetros que o pod precisa acessar. 

1. Crie um parâmetro no Parameter Store, caso ainda não tenha um. Para mais informações, consulte [Criar parâmetros do Parameter Store no Systems Manager](sysman-paramstore-su-create.md).

## Solução de problemas
<a name="integrating_aspc_pod_trouble"></a>

É possível visualizar a maioria dos erros ao descrever a implantação do pod.

**Para ver mensagens de erro para o contêiner**

1. Obtenha uma lista de nomes de pods com o comando a seguir. Se você não estiver usando o namespace padrão, use `-n namespace`.

   ```
   kubectl get pods
   ```

1. Para descrever o pod, no comando a seguir, em *pod-id*, use o ID dos pods encontrados na etapa anterior. Se você não estiver usando o namespace padrão, use `-n NAMESPACE`.

   ```
   kubectl describe pod/pod-id
   ```

**Para ver erros para o ASCP**
+ Para encontrar mais informações nos logs do provedor, no comando a seguir, em *PODID*, use a ID do pod *csi-secrets-store-provedor-aws*.

  ```
  kubectl -n kube-system get pods
  kubectl -n kube-system logs pod/pod-id
  ```