Migrasi entri yang ada untuk `aws-auth ConfigMap` mengakses entri

Jika Anda telah menambahkan entri ke aws-auth ConfigMap pada klaster Anda, kami sarankan Anda membuat entri akses untuk entri yang ada di Anda. aws-auth ConfigMap Setelah membuat entri akses, Anda dapat menghapus entri dari entri Anda. ConfigMap Anda tidak dapat mengaitkan kebijakan akses ke entri di. aws-auth ConfigMap Jika Anda ingin mengaitkan kebijakan akses ke prinsipal IAM Anda, buat entri akses.

penting

Saat cluster berada dalam mode API_AND_CONFIGMAP otentikasi dan ada pemetaan untuk peran IAM yang sama di entri akses aws-auth ConfigMap dan dalam entri akses, peran tersebut akan menggunakan pemetaan entri akses untuk otentikasi. Entri akses lebih diutamakan daripada ConfigMap entri untuk prinsipal IAM yang sama.
Sebelum menghapus aws-auth ConfigMap entri yang ada yang dibuat oleh Amazon EKS untuk grup node terkelola atau profil Fargate ke klaster Anda, periksa kembali apakah entri akses yang benar untuk sumber daya spesifik tersebut ada di klaster Amazon EKS Anda. Jika Anda menghapus entri yang dibuat Amazon EKS ConfigMap tanpa memiliki entri akses yang setara, klaster Anda tidak akan berfungsi dengan baik.

Prasyarat

Keakraban dengan entri akses dan kebijakan akses. Untuk informasi selengkapnya, lihat Berikan akses kepada pengguna IAM ke Kubernetes dengan entri akses EKS dan Mengaitkan kebijakan akses dengan entri akses.
Cluster yang ada dengan versi platform yang pada atau lebih lambat dari versi yang tercantum dalam Prasyarat topik. Berikan akses kepada pengguna IAM ke Kubernetes dengan entri akses EKS
Versi 0.210.0 atau yang lebih baru dari alat baris eksctl perintah yang diinstal pada perangkat Anda atau AWS CloudShell. Untuk menginstal atau memperbaruieksctl, lihat Instalasi dalam eksctl dokumentasi.
Izin Kubernetes untuk memodifikasi di aws-auth ConfigMap namespace. kube-system
Peran AWS Identity and Access Management atau pengguna dengan izin berikut: CreateAccessEntry danListAccessEntries. Untuk informasi selengkapnya, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan.

`eksctl`

Lihat entri yang ada di Andaaws-auth ConfigMap. Ganti my-cluster dengan nama klaster Anda.


eksctl get iamidentitymapping --cluster my-cluster

Contoh output adalah sebagai berikut.

ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
arn:aws: iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
arn:aws: iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
arn:aws: iam::111122223333:user/my-user                                                          my-user
arn:aws: iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
arn:aws: iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes

Buat entri aksesuntuk salah satu ConfigMap entri yang Anda buat kembali di output sebelumnya. Saat membuat entri akses, pastikan untuk menentukan nilai yang sama untukARN,, USERNAMEGROUPS, dan ACCOUNT dikembalikan dalam output Anda. Dalam contoh keluaran, Anda akan membuat entri akses untuk semua entri kecuali dua entri terakhir, karena entri tersebut dibuat oleh Amazon EKS untuk profil Fargate dan grup node terkelola.
Hapus entri dari entri akses apa pun yang Anda ConfigMap buat. Jika Anda tidak menghapus entri dariConfigMap, pengaturan untuk entri akses untuk ARN utama IAM akan menggantikan ConfigMap entri. Ganti 111122223333 dengan ID AWS akun Anda dan EKS-my-cluster-my-namespace-Viewers dengan nama peran dalam entri di akun AndaConfigMap. Jika entri yang Anda hapus adalah untuk pengguna IAM, bukan peran IAM, ganti role dengan user dan EKS-my-cluster-my-namespace-Viewers dengan nama pengguna.
```
eksctl delete iamidentitymapping --arn arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
```

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kebijakan akses asosiasi

Tinjau kebijakan akses

Migrasi entri yang ada untuk aws-auth ConfigMap mengakses entri

penting

Prasyarat

eksctl

Migrasi entri yang ada untuk `aws-auth ConfigMap` mengakses entri

`eksctl`