Instalación del ASCP para Amazon EKS - AWS Systems Manager
Requisitos previosInstalación y configuración del ASCPVerificación de las instalacionesSolución de problemasRecursos adicionales

• Change Manager de AWS Systems Manager ya no está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte Cambio en la disponibilidad de Change Manager de AWS Systems Manager.

 

• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la documentación del panel de Amazon CloudWatch.

Instalación del ASCP para Amazon EKS

En esta sección, se explica cómo instalar el Proveedor de secretos y configuración (ASCP) de AWS para Amazon EKS. Con el ASCP, puede montar parámetros de Parameter Store y secretos de AWS Secrets Manager como archivos en los pods de Amazon EKS.

Requisitos previos

  • Un clúster de Amazon EKS

    • Versión 1.24 o posterior de Pod Identity

    • Versión 1.17 o posterior de IRSA

  • La AWS CLI debe estar instalada y configurada

  • Kubectl debe estar instalado y configurado para su clúster de Amazon EKS

  • Helm (versión 3.0 o posterior)

Instalación y configuración del ASCP

El ASCP está disponible en GitHub en el repositorio secres-store-csi-proveedor-aws. El repositorio también contiene archivos YAML de ejemplo para crear y montar un secreto cambiando el valor objectType de secretsmanager a ssmparameter.

Durante la instalación, puede configurar el ASCP para que utilice un punto de conexión FIPS. Para obtener una lista de los puntos de conexión de Systems Manager, consulte Puntos de conexión de servicios de Systems Manager en la Referencia general de Amazon Web Services.

Instalar el ASCP mediante Helm

  1. Para asegurarse de que el repositorio apunte al gráfico más reciente, utilice helm repo update..

  2. Agregue el gráfico de controladores CSI de Secrets Store. 

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts

  3. Instale el gráfico. Para configurar la limitación, agregue el siguiente indicador: --set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}'.

    helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver

  4. Agregue el gráfico del ASCP.

    helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws

  5. Instale el gráfico. Para utilizar un punto de conexión FIPS, agregue el siguiente indicador: --set useFipsEndpoint=true.

    helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
Instalarlo mediante el YAML del repositorio

  • Use los siguientes comandos.

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml

Verificación de las instalaciones

Para verificar las instalaciones del clúster de EKS, el controlador CSI de Secrets Store y el complemento ASCP, siga estos pasos:

  1. Verifique el clúster de EKS:

    eksctl get cluster --name clusterName

    Este comando debería devolver información sobre el clúster.

  2. Verifique la instalación del controlador CSI de Secrets Store:

    kubectl get pods -n kube-system -l app=secrets-store-csi-driver

    Debería ver los pods en ejecución con nombres como csi-secrets-store-secrets-store-csi-driver-xxx.

  3. Verifique la instalación del complemento ASCP:

    YAML installation
    $ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws

    Ejemplo de salida:

    NAME                                     READY   STATUS    RESTARTS   AGE
csi-secrets-store-provider-aws-12345      1/1     Running   0          2m
    Helm installation
    $  kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws

    Ejemplo de salida:

    NAME                                              READY   STATUS    RESTARTS   AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890       1/1     Running   0          2m

    Debería ver los pods con el estado Running.

Después de ejecutar estos comandos, si todo está configurado correctamente, debería ver que todos los componentes se están ejecutando sin errores. Si encuentra algún problema, es posible que deba consultar los registros de los pods que contienen dicho problema para solucionarlo.

Solución de problemas

  1. Para verificar los registros del proveedor del ASCP, ejecute:

    kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws

  2. Verifique el estado de todos los pods en el espacio de nombres kube-system.

    Sustituya el texto del marcador de posición predeterminado por el ID del pod:

    kubectl -n kube-system get pods
    kubectl -n kube-system logs pod/pod-id

    Todos los pods relacionados con el controlador CSI y el ASCP deben tener el estado “En ejecución”.

  3. Verifique la versión del controlador CSI:

    kubectl get csidriver secrets-store.csi.k8s.io -o yaml

    Este comando debería devolver información sobre el controlador CSI instalado.

Recursos adicionales

Para obtener más información sobre el uso del ASCP con Amazon EKS, consulte los siguientes recursos: