Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Migrieren vorhandener aws-auth ConfigMap
-Einträge zu Zugriffseinträgen
Wenn Sie Einträge zu dem aws-auth
ConfigMap
auf Ihrem Cluster hinzugefügt haben, empfehlen wir Ihnen, Zugriffseinträge für die vorhandenen Einträge in Ihrem zu erstellen aws-auth
ConfigMap
. Nach der Erstellung der Zugriffseinträge können Sie die Einträge aus ConfigMap
entfernen. Sie können keine Zugriffsrichtlinien mit Zugriffseinträgen verknüpfen Zugriffsrichtlinien Einträgen in der zuordnen aws-auth
ConfigMap
. Wenn Sie Ihren IAM Hauptbenutzern Zugriffsrichtlinien zuordnen möchten, erstellen Sie Zugriffseinträge.
Wichtig
Entfernen Sie keine vorhandenen aws-auth
ConfigMap
Einträge, die von Amazon erstellt wurden, EKS als Sie Ihrem Cluster eine Vereinfachen Sie den Knotenlebenszyklus mit verwalteten Knotengruppen verwaltete Knotengruppe oder ein Definieren Sie welche Pods verwende AWS Fargate beim Start Fargate-Profil hinzugefügt haben. Wenn Sie Einträge entfernen, die Amazon im EKS erstellt hatConfigMap
, funktioniert Ihr Cluster nicht ordnungsgemäß. Sie können jedoch alle Einträge für Verwalten Sie Knoten selbst mit selbstverwalteten Knoten selbstverwaltete Knotengruppen entfernen, nachdem Sie Zugriffseinträge für sie erstellt haben.
-
Vertrautheit mit Zugriffseinträgen und Zugriffsrichtlinien. Weitere Informationen erhalten Sie unter Gewährung IAM Benutzerzugriff auf Kubernetes mit EKS Zugangseinträgen und Zugriffsrichtlinien mit Zugriffseinträgen verknüpfen.
-
Ein vorhandener Cluster mit einer Plattformversion, die den unter Voraussetzungen des Themas Gewährung IAM Benutzerzugriff auf Kubernetes mit EKS Zugangseinträgen Zulassen des Zugriffs von IAM Rollen oder Benutzern auf Kubernetes-Objekte auf Ihrem EKS Amazon-Cluster aufgeführten Versionen entspricht oder höher ist.
-
Version
0.194.0
oder höher des auf Ihrem Gerät installierteneksctl
Befehlszeilentools oder. AWS CloudShell Informationen zum Installieren und Aktualisieren voneksctl
finden Sie in der Dokumentation zueksctl
unter Installation. -
Kubernetes Berechtigungen zum Ändern von
aws-auth
ConfigMap
imkube-system
Namespace. -
Eine AWS Identity and Access Management Zugriffsverwaltungsrolle oder ein Benutzer mit den folgenden Berechtigungen:
CreateAccessEntry
undListAccessEntries
. Weitere Informationen finden Sie in der Service-Authorization-Referenz unter Von Amazon Elastic Kubernetes Service definierte Aktionen.-
Sehen Sie sich die vorhandenen Einträge in
aws-auth ConfigMap
an. Ersetzenmy-cluster
mit dem Namen Ihres Clusters.eksctl get iamidentitymapping --cluster my-cluster
Eine Beispielausgabe sieht wie folgt aus.
ARN USERNAME GROUPS ACCOUNT arn:aws: iam::111122223333:role/EKS-my-cluster-Admins Admins system:masters arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers my-namespace-Viewers Viewers arn:aws: iam::111122223333:role/EKS-my-cluster-self-managed-ng-1 system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes arn:aws: iam::111122223333:user/my-user my-user arn:aws: iam::111122223333:role/EKS-my-cluster-fargateprofile1 system:node:{{SessionName}} system:bootstrappers,system:nodes,system:node-proxier arn:aws: iam::111122223333:role/EKS-my-cluster-managed-ng system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes
-
Zugangseinträge erstellenErstellen Sie Zugriffseinträge für alle
ConfigMap
Einträge, die Sie in der vorherigen Ausgabe erstellt haben. Achten Sie beim Erstellen der Zugriffseinträge darauf, fürARN
,USERNAME
,GROUPS
undACCOUNT
die gleichen Werte anzugeben, die in der Ausgabe zurückgegeben wurden. In der Beispielausgabe würden Sie Zugriffseinträge für alle Einträge außer den letzten beiden Einträgen erstellen, da diese Einträge von Amazon EKS für ein Fargate-Profil und eine verwaltete Knotengruppe erstellt wurden. -
Löschen Sie die Einträge aus
ConfigMap
für alle von Ihnen erstellten Zugriffseinträge. Wenn Sie den Eintrag nicht aus dem löschenConfigMap
, ARN überschreiben die Einstellungen für den Zugriffseintrag für den IAM Principal denConfigMap
Eintrag. Ersetzen111122223333
mit Ihrer AWS Konto-ID undEKS-my-cluster-my-namespace-Viewers
mit dem Namen der Rolle im Eintrag in IhremConfigMap
. Wenn der Eintrag, den Sie entfernen, für einen IAM Benutzer und nicht für eine IAM Rolle bestimmt ist,role
ersetzen Sie ihn durchuser
undEKS-my-cluster-my-namespace-Viewers
mit dem Benutzernamen.eksctl delete iamidentitymapping --arn arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
-