Aidez à améliorer cette page
Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Migration des entrées aws-auth ConfigMap
existantes pour accéder aux entrées
Si vous avez ajouté des entrées de ConfigMap
aws-auth
à votre cluster, nous vous recommandons de créer des entrées d'accès pour les entrées existantes dans votre cluster ConfigMap
aws-auth
. Après avoir créé les entrées d'accès, vous pouvez les supprimer de votre ConfigMap
. Vous ne pouvez pas associer de stratégies d'accès aux entrées dans la ConfigMap
aws-auth
. Si vous souhaitez associer des stratégies d'accès à vos principaux IAM, créez des entrées d'accès.
Important
Ne supprimez pas les entrées existantes de ConfigMap
aws-auth
créées par Amazon EKS lorsque vous avez ajouté un groupe de nœuds gérés ou un profil Fargate à votre cluster. Si vous supprimez les entrées créées par Amazon EKS dans la ConfigMap
, votre cluster ne fonctionnera pas correctement. Vous pouvez toutefois supprimer toutes les entrées des groupes de nœuds autogérés après avoir créé des entrées d'accès pour ceux-ci.
Prérequis
-
Avoir des connaissances sur les entrées d'accès et les stratégies d'accès. Pour plus d’informations, consultez Accorder l'accès aux IAM utilisateurs à l'Kubernetesaide des entrées d'accès EKS et Associer les stratégies d'accès aux entrées d'accès et les dissocier des entrées d'accès.
-
Un cluster existant dont la version de plateforme correspond ou est ultérieure aux versions répertoriées dans les prérequis de la rubrique Autoriser les rôles IAM ou les utilisateurs IAM à accéder aux objets Kubernetes de votre cluster Amazon EKS.
-
Version
0.184.0
ou ultérieure de l'outil de ligne de commandeeksctl
installée sur votre appareil ou AWS CloudShell. Pour installer ou mettre à joureksctl
, veuillez consulter Installationdans la documentation de eksctl
. -
Autorisations Kubernetes permettant de modifier la
ConfigMap
aws-auth
dans l'espace de nomskube-system
. -
Un AWS Identity and Access Management rôle ou un utilisateur disposant des autorisations suivantes :
CreateAccessEntry
etListAccessEntries
. Pour plus d'informations, consultez la rubrique Actions définies par Amazon Elastic Kubernetes Service dans la Référence des autorisations de service.
Pour migrer une entrée de votre aws-auth ConfigMap
vers une entrée d'accès
-
Consultez les entrées existantes dans votre
aws-auth ConfigMap
. Remplacezmy-cluster
par le nom de votre cluster.eksctl get iamidentitymapping --cluster
my-cluster
L'exemple qui suit illustre un résultat.
ARN USERNAME GROUPS ACCOUNT arn:aws:iam::
111122223333
:role/EKS-my-cluster-Admins Admins system:masters arn:aws:iam::111122223333
:role/EKS-my-cluster-my-namespace-Viewers my-namespace-Viewers Viewers arn:aws:iam::111122223333
:role/EKS-my-cluster-self-managed-ng-1 system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes arn:aws:iam::111122223333
:user/my-user my-user arn:aws:iam::111122223333
:role/EKS-my-cluster-fargateprofile1 system:node:{{SessionName}} system:bootstrappers,system:nodes,system:node-proxier arn:aws:iam::111122223333
:role/EKS-my-cluster-managed-ng system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes -
Créez des entrées d'accès pour toutes les entrées
ConfigMap
que vous avez créées et renvoyées dans le résultat précédent. Lorsque vous créez les entrées d'accès, assurez-vous de spécifier les mêmes valeurs pourARN
,USERNAME
,GROUPS
etACCOUNT
et de les renvoyer dans votre résultat. Dans l'exemple de résultat, vous devez créer des entrées d'accès pour toutes les entrées sauf les deux dernières, étant donné que ces entrées ont été créées par Amazon EKS pour un profil Fargate et un groupe de nœuds géré. -
Supprimez les entrées de la
ConfigMap
pour toutes les entrées d'accès que vous avez créées. Si vous ne supprimez pas l'entrée de laConfigMap
, les paramètres de l'entrée d'accès pour l'ARN principal IAM remplaceront l'entréeConfigMap
. Remplacez111122223333
par votre Compte AWS identifiant etEKS- my-cluster-my-namespace -Viewers
par le nom du rôle dans l'entrée de votre.ConfigMap
Si l'entrée que vous supprimez concerne un utilisateur IAM plutôt qu'un rôle IAM,role
remplacez-la paruser
etEKS- my-cluster-my-namespace -Viewers
par le nom d'utilisateur.eksctl delete iamidentitymapping --arn arn:aws:iam::
111122223333
:role/EKS-my-cluster-my-namespace-Viewers
--clustermy-cluster