AWS Secrets and Configuration Provider CSI をサービスアカウントの IAM ロール (IRSA) と使用する

Amazon EKS ポッドに Parameter Store のパラメータへのアクセスを許可するには

1. ポッドがアクセスする必要があるパラメータに ssm:GetParameters と ssm:DescribeParameters のアクセス許可を付与するアクセス許可ポリシーを作成します。

2. クラスター用に IAM OpenID Connect (OIDC) プロバイダーがない場合は作成します。詳細については、「Amazon EKS ユーザーガイド」の「クラスターに IAM OIDC プロバイダーを作成する」を参照してください。

3. サービスアカウントの IAM ロールを作成して、ポリシーをアタッチします。詳細については、「Amazon EKS ユーザーガイド」の「サービスアカウントの IAM ロールを作成する」を参照してください。

4. プライベート Amazon EKS クラスターを使用する場合は、クラスターがある VPC に、AWS STS エンドポイントが存在していることを確認してください。エンドポイントの作成の詳細については、「AWS Identity and Access Management ユーザーガイド」の「インターフェイス VPC エンドポイント」を参照してください。

Amazon EKS でパラメータをマウントするには

1. SecretProviderClass をポッドに適用します。

   kubectl apply -f ExampleSecretProviderClass.yaml

2. ポッドをデプロイします。

   kubectl apply -f ExampleDeployment.yaml

3. ASCP はファイルをマウントします。

コンテナのエラーメッセージを表示するには

1. 次のコマンドで、ポッド名のリストを取得します。デフォルトの名前空間を使用していない場合は、-n name-space を使用してください。

   kubectl get pods

2. 次のコマンドでポッドを記述するには、pod-id に前のステップで見つけたポッドのポッド ID を使用します。デフォルトの名前空間を使用していない場合は、-n nameSpace を使用してください。

   kubectl describe pod/pod-id

ASCP のエラーを表示するには

• プロバイダーログで詳細情報を検索するには、次のコマンドで pod-id 用に csi-secrets-store-provider-aws ポッドの ID を使用します。

  kubectl -n kube-system get pods
  kubectl -n kube-system logs Pod/pod-id

• SecretProviderClass CRD がインストールされていることを確認します。

  kubectl get crd secretproviderclasses.secrets-store.csi.x-k8s.io

  このコマンドは、SecretProviderClass カスタムリソース定義に関する情報を返します。

• SecretProviderClass オブジェクトが作成されたことを確認します。

  kubectl get secretproviderclass SecretProviderClassName -o yaml