Verwenden Sie AWS Secrets and Configuration Provider CSI mit Pod Identity für Amazon EKS - AWS Systems Manager
FunktionsweiseVoraussetzungenInstallieren des Pod-Identity-AgentsPod-Identity-SetupFehlerbehebung

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie AWS Secrets and Configuration Provider CSI mit Pod Identity für Amazon EKS

Die AWS Secrets and Configuration Provider-Integration mit dem Pod Identity Agent für Amazon Elastic Kubernetes Service bietet verbesserte Sicherheit, vereinfachte Konfiguration und verbesserte Leistung für Anwendungen, die auf Amazon EKS ausgeführt werden. Pod Identity vereinfacht die AWS Identity and Access Management (IAM) -Authentifizierung für Amazon EKS beim Abrufen von Parametern AWS Systems Manager Parameter Store oder Geheimnissen aus Secrets Manager.

Amazon EKS Pod Identity optimiert die Konfiguration von IAM-Berechtigungen für Kubernetes-Anwendungen, da Berechtigungen direkt über Amazon-EKS-Schnittstellen eingerichtet werden können. Das reduziert die Anzahl der Schritte und der Wechsel zwischen Amazon EKS und IAM-Services entfällt. Pod Identity ermöglicht die Verwendung einer einzigen IAM-Rolle in mehreren Clustern, ohne dass die Vertrauensrichtlinien aktualisiert werden müssen, und unterstützt Rollensitzungs-Tags für eine detailliertere Zugriffskontrolle. Dieser Ansatz vereinfacht nicht nur die Richtlinienverwaltung, indem er die rollenübergreifende Wiederverwendung von Berechtigungsrichtlinien ermöglicht, sondern erhöht auch die Sicherheit, indem der Zugriff auf AWS Ressourcen auf der Grundlage übereinstimmender Tags ermöglicht wird.

Funktionsweise

  1. Pod Identity weist dem Pod eine IAM-Rolle zu.

  2. ASCP verwendet diese Rolle zur Authentifizierung bei. AWS-Services

  3. Wenn ASCP entsprechend autorisiert ist, ruft es die angeforderten Parameter ab und stellt sie dem Pod zur Verfügung.

Weitere Informationen finden Sie im Benutzerhandbuch für Amazon EKS unter Funktionsweise von Amazon EKS Pod Identity.

Voraussetzungen

Wichtig

Pod Identity wird nur für Amazon EKS in der Cloud unterstützt. Es wird nicht für Amazon EKS Anywhere oder selbstverwaltete Kubernetes-Cluster auf Amazon-Instances unterstützt. Red Hat OpenShift Service in AWS EC2

  • Amazon-EKS-Cluster (Version 1.24 oder höher)

  • Zugriff auf AWS CLI einen Amazon EKS-Cluster über kubectl

  • (Optional) Zugriff auf zwei AWS-Konten für kontoübergreifenden Zugriff

Installieren des Pod-Identity-Agents für Amazon EKS

Um Pod Identity in Ihrem Cluster zu verwenden, müssen Sie das Add-on „Amazon EKS Pod Identity Agent“ installieren.

Installieren des Pod-Identity-Agents

  • Installieren Sie das Add-on „Pod-Identity-Agent“ in Ihrem Cluster.

    Ersetzen Sie die default placeholder text durch Ihre eigenen Werte:

    eksctl create addon \
  --name eks-pod-identity-agent \
  --cluster clusterName \
  --region region

Einrichten von ASCP mit Pod Identity

  1. Erstellen Sie eine Berechtigungsrichtlinie, die den Parametern, auf die der Pod zugreifen muss, die Berechtigungen ssm:GetParameters und ssm:DescribeParameters gewährt.

  2. Erstellen Sie eine IAM-Rolle, die vom Amazon-EKS-Service-Prinzipalen für Pod Identity übernommen werden kann:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "pods.eks.amazonaws.com"
        },
        "Action": [
          "sts:AssumeRole",
          "sts:TagSession"
        ]
      }
    ]
  }

    Fügen Sie die IAM-Richtlinie an die Rolle an.

    Ersetze die default placeholder text durch deine eigenen Werte:

    aws iam attach-role-policy \
  --role-name MY_ROLE \
  --policy-arn POLICY_ARN

  3. Erstellen Sie eine Pod-Identity-Zuordnung. Ein Beispiel finden Sie unter Erstellen einer Pod-Identity-Zuordnung im Benutzerhandbuch für Amazon EKS

  4. Erstellen Sie die SecretProviderClass, die angibt, welche Parameter oder Secrets im Pod gemountet werden sollen:

    kubectl apply -f kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleSecretProviderClass-PodIdentity.yaml

    Der Hauptunterschied in SecretProviderClass zwischen IRSA und Pod Identity ist der optionale Parameter usePodIdentity. Es ist ein optionales Feld, das den Authentifizierungsansatz bestimmt. Wenn nicht angegeben, wird standardmäßig IAM Roles for Service Accounts (IRSA) verwendet.

    • Verwenden Sie einen der folgenden Werte, um EKS Pod Identity zu verwenden: "true", "True", "TRUE", "t", "T".

    • Wenn Sie explizit IRSA nutzen möchten, verwenden Sie einen der folgenden Werte: "false", "False", "FALSE", "f", or "F".

  5. Stellen Sie den Pod, der die Parameter oder Secrets mountet, unter /mnt/secrets-store bereit:

    kubectl apply -f kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleDeployment-PodIdentity.yaml

  6. Wenn Sie einen privaten Amazon EKS-Cluster verwenden, stellen Sie sicher, dass die VPC, in der sich der Cluster befindet, über einen AWS STS Endpunkt verfügt. Weitere Informationen zum Erstellen eines Endpunktes finden Sie unter Schnittstellen-VPC-Endpunkte im Benutzerhandbuch für AWS Identity and Access Management .

Überprüfen des Secret-Mountings

Führen Sie den folgenden Befehl aus, um zu überprüfen, dass der Parameter oder das Secret korrekt gemountet wurde.

Ersetzen Sie die default placeholder text durch Ihre eigenen Werte:

kubectl exec -it $(kubectl get pods | awk '/pod-identity-deployment/{print $1}' | head -1) -- cat /mnt/secrets-store/MyParameter
Richten Sie Amazon EKS Pod Identity für den Zugriff auf Parameter in Parameter Store wie folgt ein:

  1. Erstellen Sie eine Berechtigungsrichtlinie, die den Parametern, auf die der Pod zugreifen muss, die Berechtigungen ssm:GetParameters und ssm:DescribeParameters gewährt.

  2. Erstellen Sie einen Parameter in Parameter Store, sofern noch nicht geschehen. Weitere Informationen finden Sie unter Parameter Store-Parameter im Systems Manager erstellen.

Fehlerbehebung

Sie können die meisten Fehler anzeigen, indem Sie die Pod-Bereitstellung beschreiben.

Fehlermeldungen für Ihren Container anzeigen

  1. Rufen Sie mit dem folgenden Befehl eine Liste der Pod-Namen ab. Wenn Sie nicht den Standard-Namespace verwenden, verwenden Sie -n namespace.

    kubectl get pods

  2. pod-idVerwenden Sie zur Beschreibung des Pods im folgenden Befehl die Pod-ID der Pods, die Sie im vorherigen Schritt gefunden haben. Wenn Sie nicht den Standard-Namespace verwenden, verwenden Sie -n NAMESPACE.

    kubectl describe pod/pod-id
Fehler für den ASCP anzeigen

  • Um weitere Informationen in den Anbieterprotokollen zu finden, PODID verwenden Sie im folgenden Befehl die ID des Pods csi-secrets-store-provider-aws.

    kubectl -n kube-system get pods
kubectl -n kube-system logs pod/pod-id