Installer l’ASCP pour Amazon EKS - AWS Systems Manager
PrérequisInstallation et configuration de l’ASCPVérifier les installationsRésolution des problèmesRessources supplémentaires

• n' AWS Systems ManagerChange Managerest plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

 

• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la documentation Amazon CloudWatch Dashboard.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Installer l’ASCP pour Amazon EKS

Cette section explique comment installer le fournisseur de secrets et de configuration AWS pour Amazon EKS. Avec l’ASCP, vous pouvez monter des paramètres depuis Parameter Store et des secrets depuis AWS Secrets Manager en tant que fichiers dans des pods Amazon EKS.

Prérequis

  • Un cluster Amazon EKS

    • Version 1.24 ou ultérieure pour l’identité du pod

    • Version 1.17 ou ultérieure pour IRSA

  • Installé et configuré l’AWS CLI

  • kubectl installé et configuré pour votre cluster Amazon EKS

  • Helm (version 3.0 ou ultérieure)

Installation et configuration de l’ASCP

ASCP est disponible sur GitHub dans le référentiel secrets-store-csi-provider-aws. Le référentiel contient également des exemples de fichiers YAML pour créer et monter un secret en modifiant la valeur objectType de secretsmanager à ssmparameter.

Pendant l’installation, vous pouvez configurer l’ASCP pour utiliser un point de terminaison FIPS. Pour obtenir la liste des points de terminaison Systems Manager, reportez-vous à la section Points de terminaison de service Systems Manager dans le Référence générale d'Amazon Web Services.

Installer l’ASCP à l’aide de Helm

  1. Pour vous assurer que le référentiel pointe vers les derniers graphiques, utilisez helm repo update..

  2. Ajoutez le graphique du pilote Secrets Store CSI. 

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts

  3. Installez le chart. Pour configurer la limitation, ajoutez l’indicateur suivant : --set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}'

    helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver

  4. Ajoutez le graphique ASCP.

    helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws

  5. Installez le chart. Pour utiliser un point de terminaison FIPS, ajoutez l’indicateur suivant : --set useFipsEndpoint=true

    helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
Installer en utilisant le code YAML dans le référentiel

  • Utilisez les commandes suivantes.

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml

Vérifier les installations

Pour vérifier les installations de votre cluster EKS, du pilote Secrets Store CSI et du plug-in ASCP, procédez comme suit :

  1. Vérifiez le cluster EKS :

    eksctl get cluster --name clusterName

    Cette commande doit renvoyer des informations sur votre cluster.

  2. Vérifiez l’installation du pilote Secrets Store CSI :

    kubectl get pods -n kube-system -l app=secrets-store-csi-driver

    Vous devriez voir des pods s’exécuter avec des noms comme csi-secrets-store-secrets-store-csi-driver-xxx.

  3. Vérifier l’installation du plug-in ASCP :

    YAML installation
    $ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws

    Exemple de sortie :

    NAME                                     READY   STATUS    RESTARTS   AGE
csi-secrets-store-provider-aws-12345      1/1     Running   0          2m
    Helm installation
    $  kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws

    Exemple de sortie :

    NAME                                              READY   STATUS    RESTARTS   AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890       1/1     Running   0          2m

    Vous devriez voir des pods dans l’état Running.

Après exécution de ces commandes, si tout est correctement configuré, vous devriez voir tous les composants fonctionner sans aucune erreur. Si vous rencontrez des problèmes, vous devrez peut-être les résoudre en vérifiant les journaux des pods spécifiques qui rencontrent des problèmes.

Résolution des problèmes

  1. Pour vérifier les journaux du fournisseur ASCP, exécutez :

    kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws

  2. Vérifiez le statut de tous les pods de l’espace de noms kube-system.

    Remplacez le texte de l’espace réservé par défaut par votre propre ID de pod :

    kubectl -n kube-system get pods
    kubectl -n kube-system logs pod/pod-id

    Tous les pods liés au pilote CSI et à l’ASCP doivent être dans l’état « En cours d’exécution ».

  3. Vérifiez la version du pilote CSI :

    kubectl get csidriver secrets-store.csi.k8s.io -o yaml

    Cette commande doit renvoyer des informations sur le pilote CSI installé.

Ressources supplémentaires

Pour plus d’informations sur l’utilisation d’ASCP avec Amazon EKS, consultez les ressources suivantes :