**Aidez à améliorer cette page**
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Migration des entrées `aws-auth ConfigMap` existantes pour accéder aux entrées
Si vous avez ajouté des entrées de `ConfigMap` `aws-auth` à votre cluster, nous vous recommandons de créer des entrées d’accès pour les entrées existantes dans votre cluster `ConfigMap` `aws-auth`. Après avoir créé les entrées d'accès, vous pouvez les supprimer de votre `ConfigMap`. Vous ne pouvez pas associer de [stratégies d’accès](access-policies.md) aux entrées dans la `ConfigMap` `aws-auth`. Si vous souhaitez associer des stratégies d'accès à vos principaux IAM, créez des entrées d'accès.
**Important**
Lorsqu’un cluster est en mode d’authentification `API_AND_CONFIGMAP` et qu’il existe un mappage pour le même rôle IAM dans les `aws-auth` `ConfigMap` et dans les entrées d’accès, le rôle utilisera le mappage de l’entrée d’accès pour l’authentification. Les entrées d’accès ont priorité sur les entrées `ConfigMap` pour le même principal IAM.
Avant de supprimer les entrées `aws-auth` `ConfigMap` existantes créées par Amazon EKS pour le [groupe de nœuds](managed-node-groups.md) gérés ou un [profil Fargate](fargate-profile.md) vers votre cluster, vérifiez que les entrées d’accès correctes pour ces ressources spécifiques existent dans votre cluster Amazon EKS. Si vous supprimez les entrées créées par Amazon EKS dans le `ConfigMap` sans disposer des entrées d’accès équivalentes, votre cluster ne fonctionnera pas correctement.
## Conditions préalables
+ Avoir des connaissances sur les entrées d'accès et les stratégies d'accès. Pour plus d’informations, consultez [Attribution de l’accès Kubernetes aux utilisateurs IAM avec les entrées d’accès EKS](access-entries.md) et [Association des stratégies d’accès aux entrées d’accès](access-policies.md).
+ Un cluster existant avec une version de plateforme égale ou supérieure aux versions répertoriées dans les conditions préalables de la rubrique [Attribution de l’accès Kubernetes aux utilisateurs IAM avec les entrées d’accès EKS](access-entries.md).
+ Version `0.215.0` ou ultérieure de l'outil de ligne de commande `eksctl` installée sur votre appareil ou AWS CloudShell. Pour installer ou mettre à jour `eksctl`, veuillez consulter [Installation](https://eksctl.io/installation) dans la documentation de `eksctl`.
+ Autorisations Kubernetes permettant de modifier le `aws-auth` `ConfigMap` dans l’espace de noms `kube-system`.
+ Un rôle ou un utilisateur AWS Identity and Access Management disposant des autorisations suivantes : `CreateAccessEntry` et`ListAccessEntries`. Pour plus d'informations, consultez la rubrique [Actions définies par Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions) dans la Référence des autorisations de service.
## `eksctl`
1. Consultez les entrées existantes dans votre `aws-auth ConfigMap`. Remplacez {{my-cluster}} par le nom de votre cluster.
```
eksctl get iamidentitymapping --cluster my-cluster
```
L'exemple qui suit illustre un résultat.
```
ARN USERNAME GROUPS ACCOUNT
arn:aws: iam::111122223333:role/EKS-my-cluster-Admins Admins system:masters
arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers my-namespace-Viewers Viewers
arn:aws: iam::111122223333:role/EKS-my-cluster-self-managed-ng-1 system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes
arn:aws: iam::111122223333:user/my-user my-user
arn:aws: iam::111122223333:role/EKS-my-cluster-fargateprofile1 system:node:{{SessionName}} system:bootstrappers,system:nodes,system:node-proxier
arn:aws: iam::111122223333:role/EKS-my-cluster-managed-ng system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes
```
1. [Création d'entrées d'accès](creating-access-entries.md) pour toutes les entrées `ConfigMap` que vous avez créées et qui apparaissent dans la sortie précédente. Lorsque vous créez les entrées d'accès, assurez-vous de spécifier les mêmes valeurs pour `ARN`, `USERNAME`, `GROUPS` et `ACCOUNT` et de les renvoyer dans votre résultat. Dans l'exemple de résultat, vous devez créer des entrées d'accès pour toutes les entrées sauf les deux dernières, étant donné que ces entrées ont été créées par Amazon EKS pour un profil Fargate et un groupe de nœuds géré.
1. Supprimez les entrées de la `ConfigMap` pour toutes les entrées d'accès que vous avez créées. Si vous ne supprimez pas l’entrée de la `ConfigMap`, les paramètres de l’entrée d’accès pour l’ARN principal IAM remplaceront l’entrée `ConfigMap`. {{111122223333}}Remplacez-le par votre numéro de AWS compte et {{EKS-my-cluster-my-namespace-Viewers}} par le nom du rôle dans l'entrée de votre`ConfigMap`. Si l'entrée que vous supprimez concerne un utilisateur IAM plutôt qu'un rôle IAM, remplacez-la par `user` et `role` {{EKS-my-cluster-my-namespace-Viewers}} par le nom d'utilisateur.
```
eksctl delete iamidentitymapping --arn arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
```