Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Migration des entrées `aws-auth ConfigMap` existantes pour accéder aux entrées

Si vous avez ajouté des entrées aws-auth ConfigMap à votre cluster, nous vous recommandons de créer des entrées d'accès pour les entrées existantes de votre cluster aws-authConfigMap. Après avoir créé les entrées d'accès, vous pouvez les supprimer de votre ConfigMap. Vous ne pouvez pas associer de politiques d'accès aux entrées du aws-authConfigMap. Si vous souhaitez associer des stratégies d'accès à vos principaux IAM, créez des entrées d'accès.

Important

Lorsqu'un cluster est en mode API_AND_CONFIGMAP authentification et qu'il existe un mappage pour le même rôle IAM dans les entrées d'accès aws-auth ConfigMap et dans les entrées d'accès, le rôle utilise le mappage de l'entrée d'accès pour l'authentification. Les entrées d'accès ont priorité sur ConfigMap les entrées pour le même principal IAM.
Avant de supprimer des aws-auth ConfigMap entrées existantes créées par Amazon EKS pour un groupe de nœuds gérés ou un profil Fargate dans votre cluster, vérifiez si les entrées d'accès correctes pour ces ressources spécifiques existent dans votre cluster Amazon EKS. Si vous supprimez des entrées créées par Amazon EKS dans le ConfigMap sans disposer des entrées d'accès équivalentes, votre cluster ne fonctionnera pas correctement.

Prérequis

Avoir des connaissances sur les entrées d'accès et les stratégies d'accès. Pour plus d’informations, consultez Accorder aux utilisateurs IAM l'accès à Kubernetes avec des entrées d'accès EKS et Associer les politiques d'accès aux entrées d'accès.
Un cluster existant avec une version de plate-forme égale ou ultérieure aux versions répertoriées dans les conditions préalables de la Accorder aux utilisateurs IAM l'accès à Kubernetes avec des entrées d'accès EKS rubrique.
Version 0.210.0 ou ultérieure de l'outil de ligne de commande eksctl installée sur votre appareil ou AWS CloudShell. Pour installer ou mettre à jour eksctl, veuillez consulter Installation dans la documentation de eksctl.
Autorisations Kubernetes pour modifier le aws-auth ConfigMap dans l'espace de noms. kube-system
Un rôle ou un utilisateur AWS Identity and Access Management disposant des autorisations suivantes : CreateAccessEntry etListAccessEntries. Pour plus d'informations, consultez la rubrique Actions définies par Amazon Elastic Kubernetes Service dans la Référence des autorisations de service.

`eksctl`

Consultez les entrées existantes dans votre aws-auth ConfigMap. Remplacez my-cluster par le nom de votre cluster.


eksctl get iamidentitymapping --cluster my-cluster

L'exemple qui suit illustre un résultat.

ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
arn:aws: iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
arn:aws: iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
arn:aws: iam::111122223333:user/my-user                                                          my-user
arn:aws: iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
arn:aws: iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes

Création d'entrées d'accèspour toutes les ConfigMap entrées que vous avez créées renvoyées dans la sortie précédente. Lorsque vous créez les entrées d'accès, assurez-vous de spécifier les mêmes valeurs pour ARN, USERNAME, GROUPS et ACCOUNT et de les renvoyer dans votre résultat. Dans l'exemple de résultat, vous devez créer des entrées d'accès pour toutes les entrées sauf les deux dernières, étant donné que ces entrées ont été créées par Amazon EKS pour un profil Fargate et un groupe de nœuds géré.
Supprimez les entrées de la ConfigMap pour toutes les entrées d'accès que vous avez créées. Si vous ne supprimez pas l'entrée duConfigMap, les paramètres de l'entrée d'accès pour l'ARN principal IAM remplacent l'ConfigMapentrée. 111122223333Remplacez-le par votre numéro de AWS compte et EKS-my-cluster-my-namespace-Viewers par le nom du rôle dans l'entrée de votreConfigMap. Si l'entrée que vous supprimez concerne un utilisateur IAM plutôt qu'un rôle IAM, remplacez-la par user et role EKS-my-cluster-my-namespace-Viewers par le nom d'utilisateur.
```
eksctl delete iamidentitymapping --arn arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques d'accès associées

Passez en revue les politiques d'accès

Migration des entrées aws-auth ConfigMap existantes pour accéder aux entrées

Important

Prérequis

eksctl

Migration des entrées `aws-auth ConfigMap` existantes pour accéder aux entrées

`eksctl`