AWS Secrets and Configuration Provider CSI をサービスアカウントの IAM ロール (IRSA) と使用する

Amazon EKS ポッドに Secrets Manager のシークレットへのアクセスを許可するには

1. ポッドがアクセスする必要があるシークレットに secretsmanager:GetSecretValue と secretsmanager:DescribeSecret のアクセス許可を付与するアクセス許可ポリシーを作成します。ポリシーの例については例: 個々のシークレットを読み、記述するアクセス許可を参照してください。

2. クラスター用に IAM OpenID Connect (OIDC) プロバイダーがない場合は作成します。詳細については、「Amazon EKS ユーザーガイド」の「クラスターに IAM OIDC プロバイダーを作成する」を参照してください。

3. サービスアカウントの IAM ロールを作成して、ポリシーをアタッチします。詳細については、「Amazon EKS ユーザーガイド」の「サービスアカウントの IAM ロールを作成する」を参照してください。

4. プライベート Amazon EKS クラスターを使用する場合は、クラスターがある VPC に、AWS STS エンドポイントが存在していることを確認してください。エンドポイントの作成の詳細については、「AWS Identity and Access Management ユーザーガイド」の「インターフェイス VPC エンドポイント」を参照してください。

Amazon EKS でシークレットをマウントするには

1. SecretProviderClass をポッドに適用します。

   kubectl apply -f ExampleSecretProviderClass.yaml

2. ポッドをデプロイします。

   kubectl apply -f ExampleDeployment.yaml

3. ASCP はファイルをマウントします。

コンテナのエラーメッセージを表示するには

1. 次のコマンドで、ポッド名のリストを取得します。デフォルトの名前空間を使用していない場合は、-n nameSpace を使用してください。

   kubectl get pods

2. ポッドを記述するには、次のコマンドで、前のステップで見つけたポッドの ポッド ID を使用します (podId の場合)。デフォルトの名前空間を使用していない場合は、-n nameSpace を使用してください。

   kubectl describe pod/podId

ASCP のエラーを表示するには

• プロバイダーログで詳細情報を検索するには、次のコマンドの podId に、csi-secrets-store-provider-aws ポッドの ID を入力します。

  kubectl -n kube-system get pods
  kubectl -n kube-system logs Pod/podId

• SecretProviderClass CRD がインストールされていることを確認します。

  kubectl get crd secretproviderclasses.secrets-store.csi.x-k8s.io

  このコマンドは、SecretProviderClass カスタムリソース定義に関する情報を返します。

• SecretProviderClass オブジェクトが作成されたことを確認します。

  kubectl get secretproviderclass SecretProviderClassName -o yaml