Migrando entradas existentes aws-auth ConfigMap para entradas de acesso - Amazon EKS
Pré-requisitoseksctl

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Migrando entradas existentes aws-auth ConfigMap para entradas de acesso

Se você adicionou entradas ao ConfigMap aws-auth no seu cluster, recomendamos que você crie entradas de acesso para as entradas existentes no seu ConfigMap aws-auth. Depois de criar as entradas de acesso, você pode remover as entradas do seu ConfigMap. Você não pode associar políticas de acesso às entradas no ConfigMap aws-auth. Se você quiser associar políticas de acesso às entidades principais do IAM, crie entradas de acesso.

Importante

  • Quando um cluster está no modo de autenticação API_AND_CONFIGMAP e há um mapeamento para o mesmo perfil do IAM tanto no ConfigMap aws-auth como nas entradas de acesso, o perfil usará o mapeamento da entrada de acesso para autenticação. As entradas de acesso têm precedência sobre as entradas do ConfigMap do mesmo principal do IAM.

  • Antes de remover as entradas do ConfigMap aws-auth existentes que foram criadas pelo Amazon EKS para um grupo de nós gerenciados ou um perfil do Fargate no cluster, verifique se as entradas de acesso corretas para esses recursos específicos existem no cluster do Amazon EKS. Se você remover as entradas que o Amazon EKS criou no ConfigMap sem ter as entradas de acesso equivalentes, seu cluster não funcionará corretamente.

Pré-requisitos

eksctl

  1. Veja as entradas existentes em seu aws-auth ConfigMap. Substitua my-cluster pelo nome do cluster.

    eksctl get iamidentitymapping --cluster my-cluster

    Veja um exemplo de saída abaixo.

    ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
arn:aws:iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
arn:aws:iam::111122223333:user/my-user                                                          my-user
arn:aws:iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
arn:aws:iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes

  2. Criar entradas de acesso para qualquer uma das entradas do ConfigMap que você criou retornadas na saída anterior. Ao criar as entradas de acesso, verifique se você especificou os mesmos valores paraARN, USERNAME, GROUPS e ACCOUNT retornados em sua saída. No exemplo de saída, você criaria entradas de acesso para todas as entradas, exceto as duas últimas, já que essas entradas foram criadas pelo Amazon EKS para um perfil do Fargate e um grupo de nós gerenciados.

  3. Exclua as entradas do ConfigMap para todas as entradas de acesso que você criou. Se você não excluir a entrada do ConfigMap, as configurações da entrada de acesso do ARN principal do IAM substituirão a entrada do ConfigMap. Substitua 111122223333 pelo seu ID de conta AWS e EKS-my-cluster-my-namespace-Viewers pelo nome do perfil na entrada em seu ConfigMap. Se a entrada que você está removendo for para um usuário do IAM, em vez de um perfil do IAM, substitua role por user e EKS-my-cluster-my-namespace-Viewers pelo nome do usuário.

    eksctl delete iamidentitymapping --arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster