IRSA(서비스 계정에 대한 IAM 역할)에서 AWS Secrets and Configuration Provider CSI 사용

Parameter Store의 파라미터에 대한 Amazon EKS 포드의 액세스 권한 부여

1. 포드가 액세스해야 하는 파라미터에 ssm:GetParameters 및 ssm:DescribeParameters 권한을 부여하는 권한 정책을 생성합니다.

2. 아직 없는 경우 클러스터에 대한 IAM OpenID Connect(OIDC) 공급자를 생성합니다. 자세한 내용은 Amazon EKS 사용 설명서의 Create an IAM OIDC provider for your cluster 단원을 참조하세요.

3. 서비스 계정용 IAM 역할을 생성하고 정책을 연결합니다. 자세한 내용은 Amazon EKS 사용 설명서의 Create an IAM role for a service account 단원을 참조하세요.

4. 프라이빗 Amazon EKS 클러스터를 사용하는 경우 클러스터가 있는 VPC에 AWS STS 엔드포인트가 있어야 합니다. 엔드포인트 생성에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 인터페이스 VPC 엔드포인트 단원을 참조하세요.

Amazon EKS에 파라미터 탑재

1. 포드에 SecretProviderClass 적용:

   kubectl apply -f ExampleSecretProviderClass.yaml

2. 포드 배포:

   kubectl apply -f ExampleDeployment.yaml

3. ASCP가 파일을 탑재합니다.

컨테이너에 대한 오류 메시지 확인

1. 다음 명령을 사용하여 포드 이름 목록을 가져옵니다. 기본 네임스페이스를 사용하지 않는 경우에는 -n name-space를 사용합니다.

   kubectl get pods

2. 포드를 설명하기 위해 다음 명령에서 pod-id에 대해 이전 단계에서 찾은 포드의 포드 ID를 사용합니다. 기본 네임스페이스를 사용하지 않는 경우에는 -n nameSpace를 사용합니다.

   kubectl describe pod/pod-id

ASCP에 대한 오류를 확인하려면

• 공급자 로그에서 자세한 정보를 찾으려면 다음 명령에서 pod-id에 대해 csi-secrets-store-provider-aws 포드의 ID를 사용합니다.

  kubectl -n kube-system get pods
  kubectl -n kube-system logs Pod/pod-id

• SecretProviderClass CRD 설치 여부 확인:

  kubectl get crd secretproviderclasses.secrets-store.csi.x-k8s.io

  이 명령에서 SecretProviderClass 사용자 지정 리소스 정의에 관한 정보가 반환되어야 합니다.

• SecretProviderClass 객체가 생성되었는지 확인합니다.

  kubectl get secretproviderclass SecretProviderClassName -o yaml