AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usa AWS Secrets and Configuration Provider con i ruoli IAM per gli account di servizio (IRSA)
Argomenti
Prerequisiti
-
Cluster Amazon EKS (versione 1.17 o successiva)
-
Accesso a AWS CLI e cluster Amazon EKS tramite
kubectl
Configurazione del controllo degli accessi
L'ASCP recupera il Pod Identity di Amazon EKS e lo scambia con il ruolo IAM. Le autorizzazioni vengono impostate in una policy IAM per quel ruolo IAM. Quando l'ASCP assume il ruolo IAM, ottiene l'accesso ai parametri autorizzati. Altri container non possono accedere ai parametri a meno che non vengano associati anche al ruolo IAM.
Concedere al pod Amazon EKS l'accesso ai parametri in Parameter Store
-
Crea una policy di autorizzazioni che conceda l'autorizzazione
ssm:GetParametersessm:DescribeParametersai parametri a cui il pod deve accedere. -
Crea un provider OpenID Connect (OIDC) IAM per il cluster se non ne è già presente uno. Per ulteriori informazioni, consulta Crea un provider IAM OIDC per il tuo cluster nella Guida per l'utente di Amazon EKS.
-
Crea un Ruolo IAM per l'account del servizio e collega la policy ad esso. Per ulteriori informazioni, consulta Crea un ruolo IAM per un account del servizio nella Guida per l'utente di Amazon EKS.
-
Se utilizzi un cluster Amazon EKS privato, assicurati che il VPC in cui si trova il cluster disponga di un endpoint AWS STS. Per informazioni sulla creazione di un endpoint, consulta Endpoint VPC di interfaccia nella Guida per l'utente AWS Identity and Access Management.
Identifica i parametri da montare
Per determinare quali parametri monta l'ASCP in Amazon EKS come file sul file system, è necessario creare un file SecretProviderClass YAML. Il SecretProviderClass elenca i parametri da montare e il nome del file con cui montarli. Il SecretProviderClass deve trovarsi nello stesso namespace del pod Amazon EKS a cui fa riferimento.
Monta i parametri come file
Le seguenti istruzioni mostrano come montare i parametri come file utilizzando i file YAML di esempio ExampleSecretProviderClass.yaml
Per montare i parametri in Amazon EKS
-
Applica il
SecretProviderClassal pod:kubectl apply -f ExampleSecretProviderClass.yaml -
Distribuisci il pod:
kubectl apply -f ExampleDeployment.yaml -
L'ASCP monta i file.
Risoluzione dei problemi
È possibile visualizzare la maggior parte degli errori descrivendo l'implementazione del pod.
Per visualizzare i messaggi di errore per il container
-
È possibile ottenere un elenco di nomi di pod con il comando seguente. Se non si sta utilizzando lo spazio dei nomi predefinito, utilizzare
-n.name-spacekubectl get pods -
Per descrivere il pod, nel comando seguente, per
pod-idutilizza l'ID pod dai pod trovati nel passaggio precedente. Se non si sta utilizzando lo spazio dei nomi predefinito, utilizzare-n.nameSpacekubectl describe pod/pod-id
Come visualizzare gli errori per l'ASCP
-
Per trovare ulteriori informazioni nei log del provider, nel comando seguente, per
pod-idutilizza l'ID del pod csi-secrets-store-provider-aws.kubectl -n kube-system get pods kubectl -n kube-system logs Pod/pod-id
-
Verifica che il
SecretProviderClasssia installato:kubectl get crd secretproviderclasses.secrets-store.csi.x-k8s.ioQuesto comando deve restituire informazioni sulla definizione delle risorse personalizzate
SecretProviderClass.
-
Verifica che l'oggetto SecretProviderClass sia stato creato.
kubectl get secretproviderclassSecretProviderClassName-o yaml
