Usa AWS Secrets and Configuration Provider CSI con IAM Roles for Service Accounts (IRSA) - AWS Systems Manager
PrerequisitiConfigurazione del controllo degli accessiIdentifica i parametri da montareRisoluzione dei problemi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa AWS Secrets and Configuration Provider CSI con IAM Roles for Service Accounts (IRSA)

Prerequisiti

  • Cluster Amazon EKS (versione 1.17 o successiva)

  • Accesso AWS CLI e cluster Amazon EKS tramite kubectl

Configurazione del controllo degli accessi

L'ASCP recupera l'identità del pod Amazon EKS e la scambia con un ruolo IAM. Hai impostato le autorizzazioni in una policy IAM per quel ruolo IAM. Quando l'ASCP assume il ruolo IAM, ottiene l'accesso ai parametri che hai autorizzato. Altri container non possono accedere ai parametri a meno che non vengano associati anche al ruolo IAM.

Per concedere al tuo Amazon EKS Pod l'accesso ai parametri in Parameter Store

  1. Crea una politica di autorizzazioni che conceda ssm:GetParameters e ssm:DescribeParameters autorizzi i parametri a cui il Pod deve accedere.

  2. Crea un provider OpenID Connect (OIDC) IAM per il cluster se non ne è già presente uno. Per ulteriori informazioni, consulta Creare un provider IAM OIDC per il tuo cluster nella Amazon EKS User Guide.

  3. Crea un ruolo IAM per l'account di servizio e allega la policy ad esso. Per ulteriori informazioni, consulta Creare un ruolo IAM per un account di servizio nella Amazon EKS User Guide.

  4. Se utilizzi un cluster Amazon EKS privato, assicurati che il VPC in cui si trova il cluster abbia un AWS STS endpoint. Per informazioni sulla creazione di un endpoint, consulta Interface VPC endpoints nella AWS Identity and Access Management Guida per l'utente.

Identifica i parametri da montare

Per determinare quali parametri l'ASCP monta in Amazon EKS come file sul filesystem, crei un file YAML. SecretProviderClass SecretProviderClassElenca i parametri da montare e il nome del file con cui montarli. SecretProviderClassDeve trovarsi nello stesso spazio dei nomi del pod Amazon EKS a cui fa riferimento.

Monta i parametri come file

Le seguenti istruzioni mostrano come montare i parametri come file utilizzando i file YAML di esempio .yaml e ExampleSecretProviderClass.yaml. ExampleDeployment

Per montare i parametri in Amazon EKS

  1. Applica il SecretProviderClass al Pod:

    kubectl apply -f ExampleSecretProviderClass.yaml

  2. Implementa il tuo Pod:

    kubectl apply -f ExampleDeployment.yaml

  3. L'ASCP monta i file.

Risoluzione dei problemi

È possibile visualizzare la maggior parte degli errori descrivendo la distribuzione del Pod.

Per visualizzare i messaggi di errore per il container

  1. Ottieni un elenco di nomi di Pod con il seguente comando. Se non si sta utilizzando lo spazio dei nomi predefinito, utilizzare -n name-space.

    kubectl get pods

  2. Per descrivere il Pod, nel comando seguente, pod-id usa l'ID Pod dei Pod che hai trovato nel passaggio precedente. Se non si sta utilizzando lo spazio dei nomi predefinito, utilizzare -n nameSpace.

    kubectl describe pod/pod-id
Come visualizzare gli errori per l'ASCP

  • Per trovare maggiori informazioni nei log del provider, nel comando seguente, pod-id usa l'ID del Pod csi-secrets-store-provider-aws.

    kubectl -n kube-system get pods
kubectl -n kube-system logs Pod/pod-id
  • Verifica che il SecretProviderClass CRD sia installato:
    kubectl get crd secretproviderclasses.secrets-store.csi.x-k8s.io

    Questo comando dovrebbe restituire informazioni sulla definizione SecretProviderClass personalizzata della risorsa.

  • Verificate che l' SecretProviderClass oggetto sia stato creato.
    kubectl get secretproviderclass SecretProviderClassName -o yaml