• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 在 Amazon Elastic Kubernetes Service 中使用 Parameter Store 参数
要将 Parameter Store(AWS Systems Manager 的工具)中的参数显示为挂载在 Amazon EKS 容器组(pod)中的文件,您可以使用 Kubernetes Secrets Store CSI 驱动程序的 AWS Secrets and Configuration Provider。ASCP 与运行 Amazon EC2 节点组的 Amazon Elastic Kubernetes Service 1.17\$1 结合使用。不支持 AWS Fargate 节点组。
借助 ASCP,您可以在 Parameter Store 中存储并管理参数,然后通过在 Amazon EKS 上运行的工作负载检索参数。如果参数包含多个 JSON 格式的键/值对,您可以选择要挂载到 Amazon EKS 中的键/值对。ASCP 可使用 JMESPath 语法来查询密钥中的键/值对。ASCP 也适用于 AWS Secrets Manager 密钥。
ASCP 提供两种通过 Amazon EKS 进行身份验证的方法。第一种方法是使用服务账户的 IAM 角色(IRSA),第二种方法是使用容器组身份。每种方法都有其优势和用例。
## 基于服务账户的 IAM 角色(IRSA)的 ASCP
基于服务账户的 IAM 角色(IRSA)的 ASCP 允许您将 Parameter Store 中的参数作为文件挂载到 Amazon EKS 容器组(pod)中。这种方法适用于以下情况:
+ 需要将参数作为文件挂载到容器组(pod)中时。
+ 将 Amazon EKS 版本 1.17 或更高版本与 Amazon EC2 节点组结合使用时。
+ 希望从 JSON 格式的参数中检索特定的键/值对时。
有关更多信息,请参阅 [将 AWS Secrets and Configuration Provider CSI 与服务账户的 IAM 角色(IRSA)结合使用](integrating_ascp_irsa.md)。
## 基于容器组身份的 ASCP
基于容器组身份的 ASCP 方法增强了安全性,简化了访问 Parameter Store 中参数的配置。这种方法在以下情况下非常有用:
+ 需要在容器组(pod)级别进行更精细的权限管理时。
+ 使用的是 Amazon EKS 版本 1.24 或更高版本时。
+ 需要提高性能和可扩展性时。
有关更多信息,请参阅 [将 AWS Secrets and Configuration Provider CSI 与适用于 Amazon EKS 的容器组身份结合使用](ascp-pod-identity-integration.md)。
## 选择正确的方法
在基于 IRSA 的 ASCP 和基于容器组身份的 ASCP 之间做选择时,需考虑以下因素:
+ Amazon EKS 版本:容器组身份适用于 Amazon EKS 1.24 或更高版本,CSI 驱动程序则适用于 Amazon EKS 1.17 或更高版本。
+ 安全要求:容器组身份可在容器组(pod)级别提供更精细的控制。
+ 性能:容器组身份通常会在大规模环境中展现更出色的性能。
+ 复杂性:容器组身份无需单独的服务账户,可以简化设置。
选择最符合您的具体要求和 Amazon EKS 环境的方法。
# 安装适用于 Amazon EKS 的 ASCP
本节介绍了如何安装适用于 Amazon EKS 的 AWS Secrets and Configuration Provider。借助 ASCP,您可以将 Parameter Store 的参数和 AWS Secrets Manager 的密钥作为文件挂载到 Amazon EKS 容器组(pod)中。
## 先决条件
+ Amazon EKS 集群
+ 容器组身份版本 1.24 或更高版本
+ IRSA 版本 1.17 或更高版本
+ 已安装并配置 AWS CLI
+ 已为 Amazon EKS 集群安装并配置 kubectl
+ Helm(版本 3.0 或更高版本)
## 安装和配置 ASCP
ASCP 在 [secrets-store-csi-provider-aws](https://github.com/aws/secrets-store-csi-driver-provider-aws) 存储库中的 GitHub 可用。此存储库还包含 YAML 文件示例,该文件可通过将 `objectType` 值从 `secretsmanager` 更改为 `ssmparameter` 来创建和挂载密钥。
安装过程中,您可以将 ASCP 配置为使用 FIPS 端点。有关 Systems Manager 端点列表,请参阅《Amazon Web Services 一般参考》** 中的 [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)。
**使用 Helm 安装 ASCP**
1. 为确保存储库指向最新图表,请使用 `helm repo update.`
1. 添加 Secrets Store CSI Driver 图表。
```
helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
```
1. 安装图表。要配置节流,请添加以下标志:`--set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}'`
```
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
```
1. 添加 ASCP 图表。
```
helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws
```
1. 安装图表。要使用 FIPS 端点,请添加以下标志:`--set useFipsEndpoint=true`
```
helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
```
**在存储库中使用 YAML 进行安装**
+ 使用以下命令。
```
helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml
```
## 验证安装情况
要验证 EKS 集群、Secrets Store CSI 驱动程序和 ASCP 插件的安装情况,请按照以下步骤操作:
1. 验证 EKS 集群的安装情况:
```
eksctl get cluster --name clusterName
```
该命令应返回有关集群的信息。
1. 验证 Secrets Store CSI 驱动程序的安装情况:
```
kubectl get pods -n kube-system -l app=secrets-store-csi-driver
```
您应该看到正在运行的容器组(pod),其名称如下:`csi-secrets-store-secrets-store-csi-driver-xxx`。
1. 验证 ASCP 插件的安装情况:
------
#### [ YAML installation ]
```
$ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws
```
输出示例:
```
NAME READY STATUS RESTARTS AGE
csi-secrets-store-provider-aws-12345 1/1 Running 0 2m
```
------
#### [ Helm installation ]
```
$ kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws
```
输出示例:
```
NAME READY STATUS RESTARTS AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890 1/1 Running 0 2m
```
------
您应该看到处于 `Running` 状态的容器组(pod)。
运行这些命令后,如果一切设置正确,您应该会看到所有组件都在运行,且没有任何错误。如果遇到任何问题,可能需要通过查看出现问题的特定容器组(pod)的日志来进行故障排除。
## 问题排查
1. 要查看 ASCP 提供者的日志,请运行:
```
kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws
```
1. 检查 `kube-system` 命名空间中所有容器组(pod)的状态。
将*默认占位符文本*替换为自己的容器组(pod)ID:
```
kubectl -n kube-system get pods
```
```
kubectl -n kube-system logs pod/pod-id
```
所有与 CSI 驱动程序和 ASCP 相关的容器组(pod)都应处于“正在运行”状态。
1. 检查 CSI 驱动程序版本:
```
kubectl get csidriver secrets-store.csi.k8s.io -o yaml
```
该命令应返回有关已安装的 CSI 驱动程序的信息。
## 其他资源
有关将 ASCP 与 Amazon EKS 结合使用的更多信息,请参阅以下资源:
+ [将容器组身份与 Amazon EKS 结合使用](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html)
+ [GitHub 上的 AWS Secrets Store CSI 驱动程序](https://github.com/aws/secrets-store-csi-driver-provider-aws)
# 将 AWS Secrets and Configuration Provider CSI 与适用于 Amazon EKS 的容器组身份结合使用
AWS Secrets and Configuration Provider 与适用于 Amazon Elastic Kubernetes Service 的容器组身份代理集成,为在 Amazon EKS 上运行的应用程序提供了增强的安全性、简化的配置以及更高的性能。容器组身份简化了从 AWS Systems Manager Parameter Store 检索参数或从 Secrets Manager 检索密钥时的适用于 Amazon EKS 的 AWS Identity and Access Management(IAM)身份验证流程。
Amazon EKS 容器组身份通过直接在 Amazon EKS 接口设置权限,减少了操作步骤,且无需在 Amazon EKS 和 IAM 服务之间切换,从而简化了为 Kubernetes 应用程序配置 IAM 权限的过程。容器组身份允许在多个集群中共用一个 IAM 角色而无需更新信任策略,并支持[角色会话标签](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-abac.html#pod-id-abac-tags)以实现更精细的访问控制。这种方法不仅允许跨角色重复使用权限策略,简化了策略管理,而且还允许根据匹配的标签访问 AWS 资源,增强了安全性。
## 工作原理
1. 容器组身份会为容器组(pod)分配 IAM 角色。
1. ASCP 会使用此角色通过 AWS 服务 进行身份验证。
1. 如果获得授权,ASCP 会检索请求的参数并将其提供给容器组(pod)。
有关更多信息,请参阅《Amazon EKS 用户指南**》中的[了解 Amazon EKS 容器组身份的工作原理](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-how-it-works.html)。
## 先决条件
**重要**
仅云中的 Amazon EKS 支持容器组身份。[Amazon EKS Anywhere](https://aws.amazon.com/eks/eks-anywhere/)、[AWS 云端 Red Hat OpenShift 服务](https://aws.amazon.com/rosa/) 或 Amazon EC2 实例上自行管理的 Kubernetes 集群不支持容器组身份。
+ Amazon EKS 集群(版本 1.24 或更高版本)
+ 通过 `kubectl` 访问 AWS CLI 和 Amazon EKS 集群
+ (可选)访问两个 AWS 账户以实现跨账户访问
## 安装 Amazon EKS 容器组身份代理
要将容器组身份与集群结合使用,必须安装 Amazon EKS 容器组身份代理附加组件。
**安装容器组身份代理**
+ 在集群上安装容器组身份代理附加组件。
将*默认占位符文本*替换为自己的值:
```
eksctl create addon \
--name eks-pod-identity-agent \
--cluster clusterName \
--region region
```
## 通过容器组身份设置 ASCP
1. 创建权限策略,授予对容器组(pod)需要访问的参数的 `ssm:GetParameters` 和 `ssm:DescribeParameters` 权限。
1. 创建可由容器组身份的 Amazon EKS 服务主体担任的 IAM 角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pods.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
```
------
向角色附加 IAM 策略。
将*默认占位符文本*替换为自己的值:
```
aws iam attach-role-policy \
--role-name MY_ROLE \
--policy-arn POLICY_ARN
```
1. 创建容器组身份关联。有关示例,请参阅《Amazon EKS 用户指南**》中的[创建容器组身份关联](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-association.html#pod-id-association-create)
1. 创建 `SecretProviderClass`,用于指定要挂载到容器组(pod)中的参数或密钥:
```
kubectl apply -f kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleSecretProviderClass-PodIdentity.yaml
```
IRSA 和容器组身份在 `SecretProviderClass` 中的关键区别在于可选参数 `usePodIdentity`。这是一个可选字段,用于确定身份验证方法。如果未指定,则默认对服务账户(IRSA)使用 IAM 角色。
+ 要使用 EKS 容器组身份,请使用以下任意值:`"true", "True", "TRUE", "t", "T"`。
+ 要明确使用 IRSA,请将其设置为以下任意值:`"false", "False", "FALSE", "f", or "F"`。
1. 部署挂载 `/mnt/secrets-store` 下的参数或密钥的容器组(pod):
```
kubectl apply -f kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleDeployment-PodIdentity.yaml
```
1. 如果使用私有 Amazon EKS 集群,请确保该集群所在的 VPC 具有 AWS STS 端点。有关创建端点的信息,请参阅《*AWS Identity and Access Management 用户指南*》中的[接口 VPC 端点](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_interface_vpc_endpoints.html)。
### 验证密钥的挂载情况
要验证参数或密钥是否正确挂载,请运行以下命令。
将*默认占位符文本*替换为自己的值:
```
kubectl exec -it $(kubectl get pods | awk '/pod-identity-deployment/{print $1}' | head -1) -- cat /mnt/secrets-store/MyParameter
```
**设置 Amazon EKS 容器组身份以访问 Parameter Store 中的参数**
1. 创建权限策略,授予对容器组(pod)需要访问的参数的 `ssm:GetParameters` 和 `ssm:DescribeParameters` 权限。
1. 如果您还没有参数,请在 Parameter Store 中创建一个。有关信息,请参阅[在 Systems Manager 中创建 Parameter Store 参数](sysman-paramstore-su-create.md)。
## 故障排除
您可以通过描述容器组(pod)部署来查看大多数错误。
**查看容器的错误消息**
1. 使用以下命令获取容器组(pod)名称列表。如果您没有使用默认命名空间,请使用 `-n namespace`。
```
kubectl get pods
```
1. 要描述容器组(pod),请在以下命令中为 *pod-id* 使用在上一步中找到的容器组(pod)的容器组(pod)ID。如果没有使用默认命名空间,请使用 `-n NAMESPACE`。
```
kubectl describe pod/pod-id
```
**查看 ASCP 的错误**
+ 要在提供者日志中查找更多信息,请在以下命令中为 *PODID* 使用 *csi-secrets-store-provider-aws* 容器组(pod)的 ID。
```
kubectl -n kube-system get pods
kubectl -n kube-system logs pod/pod-id
```
# 将 AWS Secrets and Configuration Provider CSI 与服务账户的 IAM 角色(IRSA)结合使用
**Topics**
+ [
## 先决条件
](#prerequisites)
+ [
## 设置访问控制
](#integrating_ascp_irsa_access)
+ [
## 确定要挂载的参数
](#integrating_ascp_irsa_mount)
+ [
## 故障排除
](#integrating_ascp_irsa_trouble)
## 先决条件
+ Amazon EKS 集群(版本 1.17 或更高版本)
+ 通过 `kubectl` 访问 AWS CLI 和 Amazon EKS 集群
## 设置访问控制
ASCP 会检索 Amazon EKS 容器组身份并将其交换为 IAM 角色。您可以在 IAM 策略中为该 IAM 角色设置权限。当 ASCP 担任 IAM 角色时,它可以访问您授权的参数。除非将这些参数与 IAM 角色关联,否则其他容器无法访问它们。
**授予 Amazon EKS 容器组(Pod)对 Parameter Store 中参数的访问权限**
1. 创建权限策略,授予对容器组(pod)需要访问的参数的 `ssm:GetParameters` 和 `ssm:DescribeParameters` 权限。
1. 为集群创建 IAM OpenID Connect (OIDC) 提供商(如果还没有)。有关更多信息,请参阅《*Amazon EKS 用户指南*》中的[为集群创建 IAM OIDC 提供商](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)。
1. [为服务账户创建一个 IAM 角色](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html)并将策略附加到该角色。有关更多信息,请参阅《*Amazon EKS 用户指南*》中的[为服务账户创建 IAM 角色](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html)。
1. 如果使用私有 Amazon EKS 集群,请确保该集群所在的 VPC 具有 AWS STS 端点。有关创建端点的信息,请参阅《*AWS Identity and Access Management 用户指南*》中的[接口 VPC 端点](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_interface_vpc_endpoints.html)。
## 确定要挂载的参数
要确定 ASCP 将哪些参数作为文件系统上的文件挂载到 Amazon EKS,需要创建 [SecretProviderClass](ascp-examples.md#ascp-examples-secretproviderclass) YAML 文件。`SecretProviderClass` 列出了要挂载的参数以及要挂载这些参数的文件名。`SecretProviderClass` 必须与该文件引用的 Amazon EKS 容器组(pod)位于同一命名空间。
### 将参数作为文件进行挂载
以下说明展示了如何使用示例 YAML 文件 [ExampleSecretProviderClass.yaml](https://github.com/aws/secrets-store-csi-driver-provider-aws/blob/main/examples/ExampleSecretProviderClass-IRSA.yaml) 和 [ExampleDeployment.yaml](https://github.com/aws/secrets-store-csi-driver-provider-aws/blob/main/examples/ExampleDeployment-IRSA.yaml) 将参数作为文件进行挂载。
**将参数挂载到 Amazon EKS 中**
1. 将 `SecretProviderClass` 应用于容器组(pod):
```
kubectl apply -f ExampleSecretProviderClass.yaml
```
1. 部署容器组(pod):
```
kubectl apply -f ExampleDeployment.yaml
```
1. ASCP 会挂载文件。
## 故障排除
您可以通过描述容器组(pod)部署来查看大多数错误。
**查看容器的错误消息**
1. 使用以下命令获取容器组(pod)名称列表。如果您没有使用默认命名空间,请使用 `-n name-space`。
```
kubectl get pods
```
1. 要描述容器组(pod),请在以下命令中为 *pod-id* 使用在上一步中找到的容器组(pod)的容器组(pod)ID。如果没有使用默认命名空间,请使用 `-n nameSpace`。
```
kubectl describe pod/pod-id
```
**查看 ASCP 的错误**
+ 要在提供者日志中查找更多信息,请在以下命令中为 *pod-id* 使用 *csi-secrets-store-provider-aws* 容器组(pod)的 ID。
```
kubectl -n kube-system get pods
kubectl -n kube-system logs Pod/pod-id
```
+
**验证是否已安装 `SecretProviderClass` CRD:**
```
kubectl get crd secretproviderclasses.secrets-store.csi.x-k8s.io
```
该命令应返回有关 `SecretProviderClass` 自定义资源定义的信息。
+
**验证是否已创建 SecretProviderClass 对象。**
```
kubectl get secretproviderclass SecretProviderClassName -o yaml
```
# AWS Secrets and Configuration Provider 代码示例
## ASCP 身份验证和访问控制示例
### 示例:允许 Amazon EKS 容器组身份服务(pods.eks.amazonaws.com)担任角色并标记会话的 IAM 策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pods.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
```
------
## SecretProviderClass
您可以使用 YAML 描述要通过 ASCP 挂载到 Amazon EKS 中的参数。有关示例,请参阅 [SecretProviderClass 用法](#ascp-scenarios-secretproviderclass)。
### SecretProviderClass YAML 结构
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: name
spec:
provider: aws
parameters:
region:
failoverRegion:
pathTranslation:
usePodIdentity:
preferredAddressType:
objects:
```
参数字段包含挂载请求的详细信息:
**region**
(可选)参数的 AWS 区域。如果不使用此字段,ASCP 将从节点上的注释中查找 “区域”。查找会增加挂载请求的开销,因此我们建议为使用大量容器组(pod)的集群提供区域。
如果您还指定了 `failoverRegion`,ASCP 会尝试从两个区域中检索参数。如果任一区域返回 `4xx` 错误(例如身份验证问题),ASCP 将不会挂载任何一个参数。如果成功从 `region``` 中检索到参数,则 ASCP 会挂载该参数值。如果未成功从 `region` 中检索到参数,但成功从 `failoverRegion` 中检索到参数,则 ASCP 会挂载该参数值。
**`failoverRegion`**
(可选)如果包含此字段,则 ASCP 会尝试从 `region` 中定义的区域和此字段中检索参数。如果任一区域返回 `4xx` 错误(例如身份验证问题),ASCP 将不会挂载任何一个参数。如果成功从 `region` 中检索到参数,则 ASCP 会挂载该参数值。如果未成功从 `region` 中检索到参数,但成功从 `failoverRegion` 中检索到参数,则 ASCP 会挂载该参数值。有关如何使用此字段的示例,请参阅 [多区域参数失效转移](#multi-region-failover)。
**pathTranslation**
(可选)如果 Amazon EKS 中的文件名包含路径分隔符则要使用的单个替换字符,例如 Linux 上的斜杠 (/)。ASCP 无法创建包含路径分隔符的挂载文件。相反,ASCP 使用不同的字符替换路径分隔符。如果不使用此字段,替换字符为下划线 (\$1),因此,例如 `My/Path/Parameter` 挂载为 `My_Path_Parameter`。
要防止字符替换,请输入字符串 `False`。
***usePodIdentity***
(可选)确定身份验证方法。如果未指定,则默认为服务账户(IRSA)的 IAM 角色。
+ 要使用 EKS 容器组身份,请使用以下任意值:`"true"`、`"True"`、`"TRUE"`、`"t"` 或 `"T"`。
+ 要明确使用 IRSA,请设置为以下任意值:`"false"`、`"False"`、`"FALSE"`、`"f"` 或 `"F"`。
***preferredAddressType***
(可选)指定容器组身份代理端点通信的首选 IP 地址类型。该字段仅在使用 EKS 容器组身份功能时适用,使用服务账户的 IAM 角色时将忽略。值不区分大小写。有效值为:
+ `"ipv4"`、`"IPv4"` 或 `"IPV4"`:强制使用容器组身份代理 IPv4 端点
+ `"ipv6"`、`"IPv6"` 或 `"IPV6"`:强制使用容器组身份代理 IPv6 端点
+ 未指定:使用自动端点选择,首先尝试 IPv4 端点,如果 IPv4 失败则回退到 IPv6 端点
**对象**
包含要挂载密钥的 YAML 声明字符串。我们建议使用 YAML 多行字符串或竖线 (\$1) 字符。
**objectName**
必需。指定要获取的参数或密钥的名称。对于 Parameter Store,这是参数的 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html#API_GetParameter_RequestParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html#API_GetParameter_RequestParameters),可以是参数名称,也可以是完整 ARN。对于 Secrets Manager,这是 [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html#API_GetSecretValue_RequestParameters](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html#API_GetSecretValue_RequestParameters) 参数,可以是密钥的友好名称,也可以是完整 ARN。
**objectType**
如果不将 Secrets Manager ARN 用于 `objectName`,需要这个操作 对于 Parameter Store,请使用 `ssmparameter`。对于 Secrets Manager,请使用 `secretsmanager`。
**objectAlias**
(可选)Amazon EKS 容器组(pod)中密钥的文件名。如果不指定此字段,则 `objectName` 作为文件名显示。
**ObjectVersion**
(可选)参数的版本 ID。不推荐,因为每次更新参数时都必须更新版本 ID。默认情况下,使用最新版本。如果包括 `failoverRegion`,则此字段表示主 `objectVersion`。
**objectVersionLabel**
(可选)版本的别名。默认为最新版本 `AWSCURRENT`。如果包括 `failoverRegion`,则此字段表示主 `objectVersionLabel`。
**JMESPath**
(可选)参数中的键映射到要挂载到 Amazon EKS 中的文件。要使用此字段,参数值必须采用 JSON 格式。
以下示例展示了 JSON 编码的参数。
```
{
"username" : "myusername",
"password" : "mypassword"
}
```
键是 `username` 和 `password`。与 `username` 关联的值是 `myusername`,与 `password` 关联的值是 `mypassword`。
如果使用此字段,必须包含子字段 `path` 和 `objectAlias`。
**path**
参数值 JSON 中的键/值对中的键。如果该字段包含连字符,请使用单引号对其进行转义,例如:`path: '"hyphenated-path"'`
**objectAlias**
要挂载到 Amazon EKS 容器组(pod)中的文件名。如果该字段包含连字符,请使用单引号对其进行转义,例如:`objectAlias: '"hyphenated-alias"'`
**`failoverObject`**
(可选)如果您指定此字段,ASCP 会尝试检索主 `objectName` 中指定的参数和 `failoverObject` `objectName` 子字段中指定的参数。如果任何一个参数返回 `4xx` 错误(例如身份验证问题),ASCP 将不会挂载任何一个参数。如果成功从主 `objectName` 中检索到参数,则 ASCP 会挂载该参数值。如果未成功从主 `objectName` 中检索到参数,但已成功从失效转移 `objectName` 中检索到参数,则 ASCP 会挂载该参数值。如果包含此字段,责必须包含字段 `objectAlias`。有关如何使用此字段的示例,请参阅 [失效转移到其他参数](#failover-parameter)。
当失效转移参数不是副本时,通常会使用此字段。有关如何指定副本的示例,请参阅 [多区域参数失效转移](#multi-region-failover)。
**objectName**
失效转移参数的名称或完整 ARN。如果使用 ARN,则 ARN 中的区域必须与字段 `failoverRegion` 匹配。
**ObjectVersion**
(可选)参数的版本 ID。必须与主 `objectVersion` 匹配。不推荐,因为每次更新参数时都必须更新版本 ID。默认情况下,使用最新版本。
**objectVersionLabel**
(可选)版本的别名。默认为最新版本 `AWSCURRENT`。
### 创建基本的 SecretProviderClass 配置,以将参数挂载到 Amazon EKS 容器组(pod)中。
------
#### [ Pod Identity ]
SecretProviderClass 在同一 Amazon EKS 集群中使用的参数:
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameter-store
spec:
provider: aws
parameters:
objects: |
- objectName: "MyParameter"
objectType: "ssmparameter"
usePodIdentity: "true"
```
------
#### [ IRSA ]
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: deployment-aws-parameter
spec:
provider: aws
parameters:
objects: |
- objectName: "MyParameter"
objectType: "ssmparameter"
```
------
### SecretProviderClass 用法
借助这些示例为不同场景创建 `SecretProviderClass` 配置。
#### 示例:按名称或 ARN 挂载参数
此示例说明了如何挂载三种不同类型的参数:
+ 由完整 ARN 指定的参数
+ 由名称指定的参数
+ 密钥的参数版本
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
objects: |
- objectName: "arn:aws:ssm:us-east-2:777788889999:parameter:MyParameter2-d4e5f6"
- objectName: "MyParameter3"
objectType: "ssmparameter"
- objectName: "MyParameter4"
objectType: "ssmparameter"
objectVersionLabel: "AWSCURRENT"
```
#### 示例:从参数挂载键/值对
此示例说明了如何从 JSON 格式的参数挂载特定的键/值对:
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
objects: |
- objectName: "arn:aws:ssm:us-east-2:777788889999:parameter:MyParameter-a1b2c3"
jmesPath:
- path: username
objectAlias: dbusername
- path: password
objectAlias: dbpassword
```
#### 示例:失效转移配置示例
此示例说明了如何为参数配置失效转移。
##### 多区域参数失效转移
此示例说明了如何为跨多个区域复制的参数配置自动失效转移:
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
region: us-east-1
failoverRegion: us-east-2
objects: |
- objectName: "MyParameter"
```
##### 失效转移到其他参数
此示例说明了如何将失效转移配置为其他参数(并非副本):
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
region: us-east-1
failoverRegion: us-east-2
objects: |
- objectName: "arn:aws:ssm:us-east-1:777788889999:parameter:MyParameter-a1b2c3"
objectAlias: "MyMountedParameter"
failoverObject:
- objectName: "arn:aws:ssm:us-east-2:777788889999:parameter:MyFailoverParameter-d4e5f6"
```
## 其他资源
有关将 ASCP 与 Amazon EKS 结合使用的更多信息,请参阅以下资源:
+ [将容器组身份与 Amazon EKS 结合使用](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html)
+ [GitHub 上的 AWS Secrets Store CSI 驱动程序](https://github.com/aws/secrets-store-csi-driver-provider-aws)