Amazon EKS 用の ASCP をインストールする - AWS Secrets Manager
前提条件ASCP をインストールして設定するインストールを検証するトラブルシューティングその他のリソース

Amazon EKS 用の ASCP をインストールする

このセクションでは、Amazon EKS 用の AWS Secrets and Configuration Provider をインストールする方法について説明します。ASCP を使用すると、Secrets Manager からのシークレットと AWS Systems Manager からのパラメータを Amazon EKS ポッドのファイルとしてマウントできます。

前提条件

  • Amazon EKS クラスター

    • Pod Identity 用にバージョン 1.24 以降

    • IRSA 用にバージョン 1.17 以降

  • AWS CLI がインストールされ、設定されている

  • kubectl が、Amazon EKS クラスター用にインストールされ、設定されている

  • Helm (バージョン 3.0 以降)

ASCP をインストールして設定する

ASCP は secrets-store-csi-provider-aws リポジトリの GitHub で入手できます。リポジトリには、シークレットを作成してマウントするための YAML ファイルの例も含まれています。

インストール中に、FIPS エンドポイントを使用するように ASCP を設定できます。 エンドポイントのリストについては、「」を参照してくださいAWS Secrets Manager のエンドポイント

Helm を使用して ASCP をインストールするには

  1. リポジトリが最新のチャートを指していることを確認するには、helm repo update. を使用します。

  2. グラフをインストールします。次に helm install コマンドの例を示します。

    helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws

    1. FIPS エンドポイントを使用するには、--set useFipsEndpoint=true のフラグを追加します。

    2. スロットリングを設定するには、--set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}' のフラグを追加します。

    3. Secrets Store CSI ドライバーがクラスターに既にインストールされている場合は、--set secrets-store-csi-driver.install=false フラグを追加します。これにより、依存関係としての Secrets Store CSI ドライバーのインストールはスキップされます。

リポジトリ内の YAML を使用してインストールするには

  • 次のコマンドを使用します。

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml

インストールを検証する

EKS クラスター、Secrets Store CSI ドライバー、ASCP プラグインのインストールを検証するには、次の手順に従います。

  1. EKS クラスターを検証します。

    eksctl get cluster --name clusterName

    このコマンドは、クラスターに関する情報を返します。

  2. Secrets Store CSI ドライバーのインストールを検証します。

    kubectl get pods -n kube-system -l app=secrets-store-csi-driver

    csi-secrets-store-secrets-store-csi-driver-xxx のような名前の実行されているポッドが表示されます。

  3. ASCP プラグインのインストールを検証します。

    YAML installation
    $ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws

    出力例:

    NAME                                     READY   STATUS    RESTARTS   AGE
csi-secrets-store-provider-aws-12345      1/1     Running   0          2m
    Helm installation
    $  kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws

    出力例:

    NAME                                              READY   STATUS    RESTARTS   AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890       1/1     Running   0          2m

    Running 状態のポッドが表示されます。

これらのコマンドを実行した後に、すべてが正しく設定されている場合は、すべてのコンポーネントがエラーなく実行されます。問題が発生した場合は、問題が発生している特定のポッドのログを確認してトラブルシューティングする必要がある場合があります。

トラブルシューティング

  1. ASCP プロバイダーのログを確認するには、以下を実行します。

    kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws

  2. kube-system 名前空間内のすべてのポッドのステータスを確認します。

    kubectl -n kube-system get pods
    kubectl -n kube-system logs pod/PODID

    CSI ドライバーと ASCP に関連するすべてのポッドが「Running」状態である必要があります。

  3. CSI ドライバーのバージョンを確認します。

    kubectl get csidriver secrets-store.csi.k8s.io -o yaml

    このコマンドは、インストールされている CSI ドライバーに関する情報を返します。

その他のリソース

Amazon EKS での ASCP の使用に関する詳細については、次のリソースを参照してください。