External Secrets Operator 集成 IBM Secrets Manager 时 Trusted Profile 认证问题解析

2025-06-10 01:02:21作者：裘晴惠Vivianne

External Secrets Operator reads information from a third-party service like AWS Secrets Manager and automatically injects the values as Kubernetes Secrets.

项目地址：https://gitcode.com/GitHub_Trending/ex/external-secrets

问题背景

在使用 External Secrets Operator (ESO) 与 IBM Cloud Secrets Manager 集成时，许多开发者会遇到 Trusted Profile 认证失败的问题。具体表现为配置完成后，ESO 无法通过 Trusted Profile 获取有效的 IAM 令牌，导致无法从 Secrets Manager 检索机密信息。

错误现象

系统日志中会出现类似以下错误信息：

IAM 'get token' error, status code 400 received from 'https://iam.cloud.ibm.com/identity/token': Selected trusted profile not eligible

根本原因分析

经过深入调查，发现该问题通常由以下两个主要原因导致：

配置参数错误：在 SecretStore 配置中错误地使用了 Profile ID 而非 Profile Name。IBM IAM 服务在验证 Trusted Profile 时对这两个标识符有严格区分。
服务账户绑定不当：当在 OpenShift 环境中部署时，Trusted Profile 需要绑定到正确的服务账户和命名空间组合上。

解决方案

正确配置 SecretStore

确保在 SecretStore 资源配置中使用 Profile Name 而非 Profile ID：

apiVersion: external-secrets.io/v1beta1
kind: SecretStore
metadata:
  name: ibm-secret-store
spec:
  provider:
    ibm:
      serviceUrl: "https://<instance-id>.secrets-manager.appdomain.cloud"
      auth:
        secretRef:
          secretAPIKey:
            name: ibm-cloud-credentials
            key: api-key
        # 使用 Profile Name 而非 Profile ID
        trustedProfileName: "my-trusted-profile"

OpenShift 环境特殊配置

在 OpenShift 环境中，需要特别注意：

确保 Trusted Profile 绑定到正确的服务账户：
- 命名空间：external-secrets-operator
- 服务账户：cluster-external-secrets
如果通过 Operator 安装 ESO，应该使用 OperatorConfig 而非 Helm values.yaml 进行配置。

验证步骤

手动验证 Trusted Profile：在 ESO Pod 中执行以下命令验证认证是否正常：

curl -s -X POST \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -H "Accept: application/json" \
    -d grant_type=urn:ibm:params:oauth:grant-type:cr-token \
    -d cr_token=$(cat /var/run/secrets/tokens/sa-token) \
    -d profile_name=my-trusted-profile \
    https://iam.cloud.ibm.com/identity/token

检查权限分配：确保 Trusted Profile 拥有以下最小权限：
- Secrets Manager 的 SecretsReader 权限
- IAM 的 iam-token.create 权限

最佳实践建议

命名规范：为 Trusted Profile 使用清晰、有意义的名称，便于在多个环境中管理。
权限最小化：遵循最小权限原则，仅授予必要的权限。
环境隔离：为不同环境（开发、测试、生产）创建独立的 Trusted Profile。
日志监控：配置 IAM 日志记录，监控认证失败事件。

总结

通过正确配置 Profile Name 而非 Profile ID，并确保服务账户绑定正确，可以解决大多数 Trusted Profile 认证问题。在 OpenShift 环境中需要特别注意命名空间和服务账户的特殊要求。遵循这些最佳实践可以确保 ESO 与 IBM Secrets Manager 的集成稳定可靠。

external-secrets

External Secrets Operator reads information from a third-party service like AWS Secrets Manager and automatically injects the values as Kubernetes Secrets.

项目地址：https://gitcode.com/GitHub_Trending/ex/external-secrets

登录后查看全文