Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 11. Tutoriel: Utiliser AWS Secrets Manager CSI sur ROSA avec STS

AWS Secrets and Configuration Provider (ASCP) offre un moyen d’exposer AWS Secrets en tant que volumes de stockage Kubernetes. Avec l’ASCP, vous pouvez stocker et gérer vos secrets dans Secrets Manager, puis les récupérer via vos charges de travail fonctionnant sur Red Hat OpenShift Service sur AWS (ROSA).

11.1. Conditions préalables
Copier lien

Assurez-vous que vous disposez des ressources et des outils suivants avant de commencer ce processus:

  • Cluster ROSA déployé avec STS
  • Barre 3
  • AWS CLI
  • CLI d’OCC
  • JQ CLI

Exigences supplémentaires en matière d’environnement

  1. Connectez-vous à votre cluster ROSA en exécutant la commande suivante: 

    $ oc login --token=<your-token> --server=<your-server-url>
    Copy to Clipboard Toggle word wrap

    Il est possible de trouver votre jeton de connexion en accédant à votre cluster en pull secret depuis Red Hat OpenShift Cluster Manager.

  2. Validez que votre cluster a STS en exécutant la commande suivante: 

    $ oc get authentication.config.openshift.io cluster -o json \
  | jq .spec.serviceAccountIssuer
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

    "https://xxxxx.cloudfront.net/xxxxx"
    Copy to Clipboard Toggle word wrap

    Lorsque votre sortie est différente, ne procédez pas. Consultez la documentation Red Hat sur la création d’un cluster STS avant de poursuivre ce processus.

  3. Définissez l’autorisation SecurityContextConstraints pour permettre au pilote CSI d’exécuter la commande suivante: 

    $ oc new-project csi-secrets-store
$ oc adm policy add-scc-to-user privileged \
    system:serviceaccount:csi-secrets-store:secrets-store-csi-driver
$ oc adm policy add-scc-to-user privileged \
    system:serviceaccount:csi-secrets-store:csi-secrets-store-provider-aws
    Copy to Clipboard Toggle word wrap

  4. Créez des variables d’environnement à utiliser plus tard dans ce processus en exécutant la commande suivante: 

    $ export REGION=$(oc get infrastructure cluster -o=jsonpath="{.status.platformStatus.aws.region}")
$ export OIDC_ENDPOINT=$(oc get authentication.config.openshift.io cluster \
   -o jsonpath='{.spec.serviceAccountIssuer}' | sed  's|^https://||')
$ export AWS_ACCOUNT_ID=`aws sts get-caller-identity --query Account --output text`
$ export AWS_PAGER=""
    Copy to Clipboard Toggle word wrap
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat