

 **Ajudar a melhorar esta página** 

Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.

# Migrando entradas existentes `aws-auth ConfigMap` para entradas de acesso
<a name="migrating-access-entries"></a>

Se você adicionou entradas ao `ConfigMap` `aws-auth` no seu cluster, recomendamos que você crie entradas de acesso para as entradas existentes no seu `ConfigMap` `aws-auth`. Depois de criar as entradas de acesso, você pode remover as entradas do seu `ConfigMap`. Você não pode associar [políticas de acesso](access-policies.md) às entradas no `ConfigMap` `aws-auth`. Se você quiser associar políticas de acesso às entidades principais do IAM, crie entradas de acesso.

**Importante**  
Quando um cluster está no modo de autenticação `API_AND_CONFIGMAP` e há um mapeamento para o mesmo perfil do IAM tanto no `ConfigMap` `aws-auth` como nas entradas de acesso, o perfil usará o mapeamento da entrada de acesso para autenticação. As entradas de acesso têm precedência sobre as entradas do `ConfigMap` do mesmo principal do IAM.
Antes de remover as entradas do `ConfigMap` `aws-auth` existentes que foram criadas pelo Amazon EKS para um [grupo de nós gerenciados](managed-node-groups.md) ou um [perfil do Fargate](fargate-profile.md) no cluster, verifique se as entradas de acesso corretas para esses recursos específicos existem no cluster do Amazon EKS. Se você remover as entradas que o Amazon EKS criou no `ConfigMap` sem ter as entradas de acesso equivalentes, seu cluster não funcionará corretamente.

## Pré-requisitos
<a name="migrating_access_entries_prereq"></a>
+ Familiaridade com entradas de acesso e políticas de acesso. Para obter mais informações, consulte [Conceder aos usuários do IAM acesso ao Kubernetes com entradas de acesso ao EKS](access-entries.md) e [Associar políticas de acesso a entradas de acesso](access-policies.md).
+ Um cluster existente com uma versão da plataforma igual ou posterior às versões listadas nos pré-requisitos do tópico [Conceder aos usuários do IAM acesso ao Kubernetes com entradas de acesso ao EKS](access-entries.md).
+ Versão `0.215.0` ou posterior da ferramenta de linha de comando da `eksctl` instalada no seu dispositivo ou AWS CloudShell. Para instalar ou atualizar o `eksctl`, consulte [Instalação](https://eksctl.io/installation) na documentação do `eksctl`.
+ Permissões do Kubernetes para modificar o `ConfigMap` `aws-auth` no namespace do `kube-system`.
+ Um perfil ou usuário do AWS Identity and Access Management com as seguintes permissões: `CreateAccessEntry` e `ListAccessEntries`. Para obter mais informações, consulte [Ações definidas pelo Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions) na Referência de autorização do serviço.

## `eksctl`
<a name="migrating_access_entries_eksctl"></a>

1. Veja as entradas existentes em seu `aws-auth ConfigMap`. Substitua {{my-cluster}} pelo nome do cluster.

   ```
   eksctl get iamidentitymapping --cluster my-cluster
   ```

   Veja abaixo um exemplo de saída.

   ```
   ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
   arn:aws:iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
   arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
   arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
   arn:aws:iam::111122223333:user/my-user                                                          my-user
   arn:aws:iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
   arn:aws:iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
   ```

1.  [Criar entradas de acesso](creating-access-entries.md) para qualquer uma das entradas do `ConfigMap` que você criou retornadas na saída anterior. Ao criar as entradas de acesso, verifique se você especificou os mesmos valores para`ARN`, `USERNAME`, `GROUPS` e `ACCOUNT` retornados em sua saída. No exemplo de saída, você criaria entradas de acesso para todas as entradas, exceto as duas últimas, já que essas entradas foram criadas pelo Amazon EKS para um perfil do Fargate e um grupo de nós gerenciados.

1. Exclua as entradas do `ConfigMap` para todas as entradas de acesso que você criou. Se você não excluir a entrada do `ConfigMap`, as configurações da entrada de acesso do ARN principal do IAM substituirão a entrada do `ConfigMap`. Substitua {{111122223333}} pelo seu ID de conta AWS e {{EKS-my-cluster-my-namespace-Viewers}} pelo nome do perfil na entrada em seu `ConfigMap`. Se a entrada que você está removendo for para um usuário do IAM, em vez de um perfil do IAM, substitua `role` por `user` e {{EKS-my-cluster-my-namespace-Viewers}} pelo nome do usuário.

   ```
   eksctl delete iamidentitymapping --arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
   ```