Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

2.4. 配置 SSCSI 驱动程序从 AWS Secrets Manager 挂载 secret

要安全地存储和管理您的 secret,请使用 GitOps 工作流并配置 Secret Store Container Storage Interface (SSCSI) Driver Operator,将 secret 从 AWS Secrets Manager 挂载到 OpenShift Container Platform 中的 CSI 卷。例如,请考虑您要将 secret 挂载到 dev 命名空间下的部署 pod,该命名空间位于 /environments/dev/ 目录中。

先决条件

  • 您有存储在 GitOps 存储库中的 AWS Secrets Manager 资源。

流程

  1. 运行以下命令,授予 csi-secrets-store-provider-aws 服务帐户的特权访问权限: 

    $ oc adm policy add-scc-to-user privileged -z csi-secrets-store-provider-aws -n openshift-cluster-csi-drivers
    Copy to Clipboard Toggle word wrap

    输出示例

    clusterrole.rbac.authorization.k8s.io/system:openshift:scc:privileged added: "csi-secrets-store-provider-aws"
    Copy to Clipboard Toggle word wrap

  2. 授予服务帐户读取 AWS secret 对象的权限:

    1. 在 GitOps 仓库的命名空间范围的目录中创建一个 credentialsrequest-dir-aws 文件夹,因为凭证请求是命名空间范围。例如,运行以下命令,在 dev 命名空间中创建一个 credentialsrequest-dir-aws 文件夹,该文件夹位于 /environments/dev/ 目录中: 

      $ mkdir credentialsrequest-dir-aws
      Copy to Clipboard Toggle word wrap

    2. /environments/dev/credentialsrequest-dir-aws/ 路径中为凭证请求创建一个 YAML 文件,以将 secret 挂载到 dev 命名空间中的部署 pod:

      credentialsrequest.yaml 文件示例

      apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: aws-provider-test
  namespace: openshift-cloud-credential-operator
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - action:
      - "secretsmanager:GetSecretValue"
      - "secretsmanager:DescribeSecret"
      effect: Allow
      resource: "<aws_secret_arn>"
      1 
      
secretRef:
  name: aws-creds
  namespace: dev
      2 
      
serviceAccountNames:
  - default
      Copy to Clipboard Toggle word wrap

      2
      secret 引用的命名空间。根据您的项目部署设置,更新此 namespace 字段的值。
      1
      集群所在区域中的 secret 的 ARN。& lt;aws_ secret_arn> 的 <aws_ region> 必须与集群区域匹配。如果不匹配,请在集群所在的区域中创建 secret 的复制。
      提示

      要查找集群区域,请运行以下命令: 

      $ oc get infrastructure cluster -o jsonpath='{.status.platformStatus.aws.region}'
      Copy to Clipboard Toggle word wrap

      输出示例

      us-west-2
      Copy to Clipboard Toggle word wrap

    3. 运行以下命令来检索 OIDC 供应商: 

      $ oc get --raw=/.well-known/openid-configuration | jq -r '.issuer'
      Copy to Clipboard Toggle word wrap

      输出示例

      https://<oidc_provider_name>
      Copy to Clipboard Toggle word wrap

      从输出中复制 OIDC 供应商名称 <oidc_provider_name>,在下一步中使用。

    4. 运行以下命令,使用 ccoctl 工具处理凭证请求: 

      $ ccoctl aws create-iam-roles \
    --name my-role --region=<aws_region> \
    --credentials-requests-dir=credentialsrequest-dir-aws \
    --identity-provider-arn arn:aws:iam::<aws_account>:oidc-provider/<oidc_provider_name> --output-dir=credrequests-ccoctl-output
      Copy to Clipboard Toggle word wrap

      输出示例

      2023/05/15 18:10:34 Role arn:aws:iam::<aws_account_id>:role/my-role-my-namespace-aws-creds created
2023/05/15 18:10:34 Saved credentials configuration to: credrequests-ccoctl-output/manifests/my-namespace-aws-creds-credentials.yaml
2023/05/15 18:10:35 Updated Role policy for Role my-role-my-namespace-aws-creds
      Copy to Clipboard Toggle word wrap

      从输出中复制 <aws_role_arn> 以在下一步中使用。例如,arn:aws:iam::<aws_account_id>:role/my-role-my-namespace-aws-creds

    5. 检查 AWS 上的角色策略,以确认角色策略中的 <aws_region > "Resource" 与集群区域匹配:

      角色策略示例

      {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"secretsmanager:GetSecretValue",
				"secretsmanager:DescribeSecret"
			],
			"Resource": "arn:aws:secretsmanager:<aws_region>:<aws_account_id>:secret:my-secret-xxxxxx"
		}
	]
}
      Copy to Clipboard Toggle word wrap

    6. 运行以下命令,使用角色 ARN 绑定服务帐户: 

      $ oc annotate -n <namespace> sa/<app_service_account> eks.amazonaws.com/role-arn="<aws_role_arn>"
      Copy to Clipboard Toggle word wrap

      示例命令

      $ oc annotate -n dev sa/default eks.amazonaws.com/role-arn="<aws_role_arn>"
      Copy to Clipboard Toggle word wrap

      输出示例

      serviceaccount/default annotated
      Copy to Clipboard Toggle word wrap

  3. 创建一个命名空间范围的 SecretProviderClass 资源来定义您的 secret 存储供应商。例如,您可以在 GitOps 存储库的 /environments/dev/apps/app-taxi/services/taxi/base/config 目录中创建一个 SecretProviderClass 资源。

    1. 在目标部署所在的同一目录中创建一个 secret-provider-class-aws.yaml 文件:

      secret-provider-class-aws.yaml示例

      apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
  name: my-aws-provider
      1 
      
  namespace: dev
      2 
      
spec:
  provider: aws
      3 
      
  parameters:
      4 
      
    objects: |
      - objectName: "testSecret"
      5 
      
        objectType: "secretsmanager"
      Copy to Clipboard Toggle word wrap

      1
      secret 供应商类的名称。
      2
      secret 供应商类的命名空间。命名空间必须与将使用 secret 的资源的命名空间匹配。
      3
      secret 存储供应商的名称。
      4
      指定特定于供应商的配置参数。
      5
      您在 AWS 中创建的 secret 名称。

    2. 在将此 YAML 文件推送到 GitOps 存储库后,命名空间范围内的 SecretProviderClass 资源会在 Argo CD UI 的目标应用程序页面中填充。

      注意

      如果应用程序的 Sync Policy 没有设置为 Auto,您可以通过点 Argo CD UI 中的 Sync 来手动同步 SecretProviderClass 资源。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat