**Ayude a mejorar esta página** 

Para contribuir a esta guía del usuario, elija el enlace **Edit this page on GitHub** que se encuentra en el panel derecho de cada página.

# Migración de las entradas existentes de `aws-auth ConfigMap` a entradas de acceso
<a name="migrating-access-entries"></a>

Si ha agregado entradas al `ConfigMap` de `aws-auth` en su clúster, le recomendamos que cree entradas de acceso para las entradas existentes en su `ConfigMap` de `aws-auth`. Después de crear las entradas de acceso, puede eliminarlas de su `ConfigMap`. No puede asociar [políticas de acceso](access-policies.md) a las entradas del `ConfigMap` de `aws-auth`. Si desea asociar políticas de acceso a sus entidades principales de IAM, cree entradas de acceso.

**importante**  
Cuando un clúster está en modo de autenticación de `API_AND_CONFIGMAP` y hay una asignación para el mismo rol de IAM tanto en `aws-auth` `ConfigMap` como en las entradas de acceso, el rol utilizará la asignación de la entrada de acceso para la autenticación. Las entradas de acceso tienen prioridad sobre las entradas de `ConfigMap` de la misma entidad principal de IAM.
Antes de eliminar las entradas `aws-auth` `ConfigMap` existentes que Amazon EKS creó para un [grupo de nodos administrado](managed-node-groups.md) o un [perfil de Fargate](fargate-profile.md) en su clúster, verifique si las entradas de acceso correctas para esos recursos específicos existen en su clúster de Amazon EKS. Si elimina las entradas que Amazon EKS creó en el `ConfigMap` sin tener las entradas de acceso equivalentes, el clúster no funcionará correctamente.

## Requisitos previos
<a name="migrating_access_entries_prereq"></a>
+ Familiaridad con las entradas de acceso y las políticas de acceso. Para obtener más información, consulte [Concesión de acceso para los usuarios de IAM a las entradas de acceso de Kubernetes con EKS](access-entries.md) y [Asociación de políticas de acceso a entradas de acceso](access-policies.md).
+ Un clúster existente con una versión de la plataforma que es igual o posterior a las versiones enumeradas en los requisitos previos del tema [Concesión de acceso para los usuarios de IAM a las entradas de acceso de Kubernetes con EKS](access-entries.md).
+ La versión `0.215.0` o posterior de la herramienta de línea de comandos de `eksctl` instalada en su dispositivo o AWS CloudShell. Para instalar o actualizar `eksctl`, consulte la sección de [Instalación](https://eksctl.io/installation) en la documentación de `eksctl`.
+ Permisos de Kubernetes para modificar el `ConfigMap` `aws-auth` en el espacio de nombres `kube-system`.
+ Un rol o usuario de AWS Identity and Access Management con los siguientes permisos: `CreateAccessEntry` y `ListAccessEntries`. Para obtener más información, consulte [Acciones definidas por Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions) en la Referencia de autorizaciones del servicio.

## `eksctl`
<a name="migrating_access_entries_eksctl"></a>

1. Visualización de las entradas existentes en su `aws-auth ConfigMap`. Reemplace *my-cluster* por el nombre de su clúster.

   ```
   eksctl get iamidentitymapping --cluster my-cluster
   ```

   Un ejemplo de salida sería el siguiente.

   ```
   ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
   arn:aws:iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
   arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
   arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
   arn:aws:iam::111122223333:user/my-user                                                          my-user
   arn:aws:iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
   arn:aws:iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
   ```

1.  [Creación de entradas de acceso](creating-access-entries.md) para cualquiera de las entradas del `ConfigMap` que haya creado y que se mostraron en el resultado anterior. Al crear las entradas de acceso, asegúrese de especificar los mismos valores para `ARN`, `USERNAME`, `GROUPS` y `ACCOUNT` que aparecen en el resultado. En el resultado de ejemplo, crearía entradas de acceso para todas las entradas, excepto las dos últimas, ya que Amazon EKS creó esas entradas para un perfil de Fargate y un grupo de nodos administrados.

1. Elimine las entradas del `ConfigMap` para cualquier entrada de acceso que haya creado. Si no elimina la entrada del `ConfigMap`, la configuración de la entrada de acceso para el ARN de entidad principal de IAM anula la entrada del `ConfigMap`. Reemplace *111122223333* por el ID de su cuenta de AWS y *EKS-my-cluster-my-namespace-Viewers* por el nombre del rol en la entrada de su `ConfigMap`. Si la entrada que va a eliminar es para un usuario de IAM y no para un rol de IAM, reemplace el `role` por el `user` y *EKS-my-cluster-my-namespace-Viewers* por el nombre de usuario.

   ```
   eksctl delete iamidentitymapping --arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
   ```