Migration des entrées `aws-auth ConfigMap` existantes pour accéder aux entrées

Si vous avez ajouté des entrées de ConfigMap aws-auth à votre cluster, nous vous recommandons de créer des entrées d’accès pour les entrées existantes dans votre cluster ConfigMap aws-auth. Après avoir créé les entrées d'accès, vous pouvez les supprimer de votre ConfigMap. Vous ne pouvez pas associer de stratégies d’accès aux entrées dans la ConfigMap aws-auth. Si vous souhaitez associer des stratégies d'accès à vos principaux IAM, créez des entrées d'accès.

Important

Lorsqu’un cluster est en mode d’authentification API_AND_CONFIGMAP et qu’il existe un mappage pour le même rôle IAM dans les aws-auth ConfigMap et dans les entrées d’accès, le rôle utilisera le mappage de l’entrée d’accès pour l’authentification. Les entrées d’accès ont priorité sur les entrées ConfigMap pour le même principal IAM.
Avant de supprimer les entrées aws-auth ConfigMap existantes créées par Amazon EKS pour le groupe de nœuds gérés ou un profil Fargate vers votre cluster, vérifiez que les entrées d’accès correctes pour ces ressources spécifiques existent dans votre cluster Amazon EKS. Si vous supprimez les entrées créées par Amazon EKS dans le ConfigMap sans disposer des entrées d’accès équivalentes, votre cluster ne fonctionnera pas correctement.

Prérequis

Avoir des connaissances sur les entrées d'accès et les stratégies d'accès. Pour plus d’informations, consultez Attribution de l’accès Kubernetes aux utilisateurs IAM avec les entrées d’accès EKS et Association des stratégies d’accès aux entrées d’accès.
Un cluster existant avec une version de plateforme égale ou supérieure aux versions répertoriées dans les conditions préalables de la rubrique Attribution de l’accès Kubernetes aux utilisateurs IAM avec les entrées d’accès EKS.
Version 0.214.0 ou ultérieure de l’outil de ligne de commande eksctl installée sur votre appareil ou AWS CloudShell. Pour installer ou mettre à jour eksctl, veuillez consulter Installation dans la documentation de eksctl.
Autorisations Kubernetes permettant de modifier le aws-auth ConfigMap dans l’espace de noms kube-system.
Un rôle ou un utilisateur de gestion des identités et des accès AWS disposant des autorisations suivantes : CreateAccessEntry et ListAccessEntries. Pour plus d'informations, consultez la rubrique Actions définies par Amazon Elastic Kubernetes Service dans la Référence des autorisations de service.

`eksctl`

Consultez les entrées existantes dans votre aws-auth ConfigMap. Remplacez my-cluster par le nom de votre cluster.


eksctl get iamidentitymapping --cluster my-cluster

L'exemple qui suit illustre un résultat.

ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
arn:aws:iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
arn:aws:iam::111122223333:user/my-user                                                          my-user
arn:aws:iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
arn:aws:iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes

Créer des entrées d’accès pour toutes les entrées ConfigMap que vous avez créées et qui apparaissent dans la sortie précédente. Lorsque vous créez les entrées d'accès, assurez-vous de spécifier les mêmes valeurs pour ARN, USERNAME, GROUPS et ACCOUNT et de les renvoyer dans votre résultat. Dans l'exemple de résultat, vous devez créer des entrées d'accès pour toutes les entrées sauf les deux dernières, étant donné que ces entrées ont été créées par Amazon EKS pour un profil Fargate et un groupe de nœuds géré.
Supprimez les entrées de la ConfigMap pour toutes les entrées d'accès que vous avez créées. Si vous ne supprimez pas l’entrée de la ConfigMap, les paramètres de l’entrée d’accès pour l’ARN principal IAM remplaceront l’entrée ConfigMap. Remplacez 111122223333 par votre identifiant compte AWS et EKS-my-cluster-my-namespace-Viewers par le nom du rôle figurant dans l’entrée de votre ConfigMap. Si l’entrée que vous supprimez concerne un utilisateur IAM plutôt qu’un rôle IAM, remplacez role par user et EKS-my-cluster-my-namespace-viewers par le nom d’utilisateur.
```
eksctl delete iamidentitymapping --arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Association des stratégies d’accès

Vérification des stratégies d’accès

Migration des entrées aws-auth ConfigMap existantes pour accéder aux entrées

Important

Prérequis

eksctl

Migration des entrées `aws-auth ConfigMap` existantes pour accéder aux entrées

`eksctl`