Amazon EKS 用の ASCP をインストールする - AWS Systems Manager
前提条件ASCP をインストールして設定するインストールを検証するトラブルシューティング追加リソース

• AWS Systems Manager Change Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「AWS Systems Manager Change Manager の可用性の変更」を参照してください。

 

• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「Amazon CloudWatch ダッシュボードのドキュメント」を参照してください。

Amazon EKS 用の ASCP をインストールする

このセクションでは、Amazon EKS 用の AWS Secrets and Configuration Provider をインストールする方法について説明します。ASCP を使用すると、Parameter Store からのパラメータと AWS Secrets Manager からのシークレットを Amazon EKS ポッドのファイルとしてマウントできます。

前提条件

  • Amazon EKS クラスター

    • Pod Identity 用にバージョン 1.24 以降

    • IRSA 用にバージョン 1.17 以降

  • AWS CLI がインストールされ、設定されている

  • kubectl が、Amazon EKS クラスター用にインストールされ、設定されている

  • Helm (バージョン 3.0 以降)

ASCP をインストールして設定する

ASCP は secrets-store-csi-provider-aws リポジトリの GitHub で入手できます。リポジトリには、objectType 値を secretsmanager から ssmparameter に変更することで、シークレットを作成してマウントするための YAML ファイルの例も含まれています。

インストール中に、FIPS エンドポイントを使用するように ASCP を設定できます。Systems Manager のエンドポイントの一覧については、「Amazon Web Services 全般のリファレンス」の「Systems Manager のサービスエンドポイント」を参照してください。

Helm を使用して ASCP をインストールするには

  1. リポジトリが最新のチャートを指していることを確認するには、helm repo update. を使用します。

  2. Secrets Store CSI ドライバーチャートを追加します。

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts

  3. グラフをインストールします。スロットリングを設定するには、--set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}' のフラグを追加します。

    helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver

  4. ASCP チャートを追加します。

    helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws

  5. グラフをインストールします。FIPS エンドポイントを使用するには、--set useFipsEndpoint=true のフラグを追加します。

    helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
リポジトリ内の YAML を使用してインストールするには

  • 次のコマンドを使用します。

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml

インストールを検証する

EKS クラスター、Secrets Store CSI ドライバー、ASCP プラグインのインストールを検証するには、次の手順に従います。

  1. EKS クラスターを検証します。

    eksctl get cluster --name clusterName

    このコマンドは、クラスターに関する情報を返します。

  2. Secrets Store CSI ドライバーのインストールを検証します。

    kubectl get pods -n kube-system -l app=secrets-store-csi-driver

    csi-secrets-store-secrets-store-csi-driver-xxx のような名前の実行されているポッドが表示されます。

  3. ASCP プラグインのインストールを検証します。

    YAML installation
    $ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws

    出力例:

    NAME                                     READY   STATUS    RESTARTS   AGE
csi-secrets-store-provider-aws-12345      1/1     Running   0          2m
    Helm installation
    $  kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws

    出力例:

    NAME                                              READY   STATUS    RESTARTS   AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890       1/1     Running   0          2m

    Running 状態のポッドが表示されます。

これらのコマンドを実行した後に、すべてが正しく設定されている場合は、すべてのコンポーネントがエラーなく実行されます。問題が発生した場合は、問題が発生している特定のポッドのログを確認してトラブルシューティングする必要がある場合があります。

トラブルシューティング

  1. ASCP プロバイダーのログを確認するには、以下を実行します。

    kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws

  2. kube-system 名前空間内のすべてのポッドのステータスを確認します。

    default placeholder text を独自のポッド ID に置き換えます。

    kubectl -n kube-system get pods
    kubectl -n kube-system logs pod/pod-id

    CSI ドライバーと ASCP に関連するすべてのポッドが「Running」状態である必要があります。

  3. CSI ドライバーのバージョンを確認します。

    kubectl get csidriver secrets-store.csi.k8s.io -o yaml

    このコマンドは、インストールされている CSI ドライバーに関する情報を返します。

追加リソース

Amazon EKS での ASCP の使用に関する詳細については、次のリソースを参照してください。