Instalar o ASCP para Amazon EKS - AWS Systems Manager
Pré-requisitosInstalar e configurar o ASCPVerificar as instalaçõesSolução de problemasRecursos adicionais

• O AWS Systems Manager Change Manager não está mais aberto para novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte mudança de disponibilidade do AWS Systems Manager Change Manager.

 

• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a documentação do Amazon CloudWatch.

Instalar o ASCP para Amazon EKS

Esta seção explica como instalar o AWS Secrets and Configuration Provider para Amazon EKS. Com o ASCP, você pode montar parâmetros do Parameter Store e segredos do AWS Secrets Manager como arquivos nos pods do Amazon EKS.

Pré-requisitos

  • Um cluster do Amazon EKS

    • Versão 1.24 ou posterior da Identidade de Pods

    • Versão 1.17 ou posterior do IRSA

  • A AWS CLI está instalada e configurada

  • kubectl instalado e configurado para o cluster do Amazon EKS

  • Helm (versão 3.0 ou superior)

Instalar e configurar o ASCP

O ASCP está disponível no GitHub no repositório secrets-store-csi-driver-provider-aws. O repositório também contém arquivos YAML de exemplo para criar e montar um segredo alterando o valor de objectType de secretsmanager para ssmparameter.

Durante a instalação, é possível configurar o ASCP para usar um endpoint do FIPS. Para obter uma lista de endpoints do Systems Manager, consulte os endpoints do serviço do Systems Manager no Referência geral da Amazon Web Services.

Para instalar o ASCP usando o Helm

  1. Para garantir que o repositório esteja apontando para os gráficos mais recentes, use helm repo update.

  2. Adicione o gráfico de driver CSI do armazenamento de segredos. 

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts

  3. Instale o chart. Para configurar o controle de utilização, adicione o sinalizador a seguir: --set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}'

    helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver

  4. Adicione o gráfico ASCP.

    helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws

  5. Instale o chart. Para usar um endpoint do FIPS, adicione o sinalizador a seguir: --set useFipsEndpoint=true

    helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
Para instalar usando o YAML no repositório

  • Use os seguintes comandos.

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml

Verificar as instalações

Para verificar as instalações do cluster do EKS, do driver CSI do Secrets Store e do plug-in do ASCP, siga estas etapas:

  1. Verifique o cluster do EKS:

    eksctl get cluster --name clusterName

    Este comando deve retornar informações sobre o cluster.

  2. Verifique a instalação do driver CSI do Secrets Store:

    kubectl get pods -n kube-system -l app=secrets-store-csi-driver

    Você deve ver pods em execução com nomes como csi-secrets-store-secrets-store-csi-driver-xxx.

  3. Verifique a instalação do plug-in do ASCP:

    YAML installation
    $ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws

    Resultado do exemplo:

    NAME                                     READY   STATUS    RESTARTS   AGE
csi-secrets-store-provider-aws-12345      1/1     Running   0          2m
    Helm installation
    $  kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws

    Resultado do exemplo:

    NAME                                              READY   STATUS    RESTARTS   AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890       1/1     Running   0          2m

    Você deve ver pods no estado Running.

Depois de executar esses comandos, se tudo estiver configurado corretamente, você deverá ver todos os componentes funcionando sem erros. Se você encontrar algum problema, talvez seja necessário solucionar verificando os logs dos pods específicos que estão com problemas.

Solução de problemas

  1. Para verificar os logs do provedor do ASCP, execute:

    kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws

  2. Verifique o status de todos os pods no namespace kube-system.

    Substitua o texto do espaço reservado padrão pelo seu próprio ID do pod:

    kubectl -n kube-system get pods
    kubectl -n kube-system logs pod/pod-id

    Todos os pods relacionados ao driver CSI e ao ASCP devem estar no estado “Running”.

  3. Verifique a versão do driver CSI:

    kubectl get csidriver secrets-store.csi.k8s.io -o yaml

    Este comando deve retornar informações sobre o driver CSI instalado.

Recursos adicionais

Para obter mais informações sobre o uso do ASCP com o Amazon EKS, consulte os seguintes recursos: