Migration des entrées `aws-auth ConfigMap` existantes pour accéder aux entrées

Si vous avez ajouté des entrées de ConfigMap aws-auth à votre cluster, nous vous recommandons de créer des entrées d'accès pour les entrées existantes dans votre cluster ConfigMap aws-auth. Après avoir créé les entrées d'accès, vous pouvez les supprimer de votre ConfigMap. Vous ne pouvez pas associer de stratégies d'accès aux entrées dans la ConfigMap aws-auth. Si vous souhaitez associer des stratégies d'accès à vos principaux IAM, créez des entrées d'accès.

Important

Ne supprimez pas les entrées existantes de ConfigMap aws-auth créées par Amazon EKS lorsque vous avez ajouté un groupe de nœuds gérés ou un profil Fargate à votre cluster. Si vous supprimez les entrées créées par Amazon EKS dans la ConfigMap, votre cluster ne fonctionnera pas correctement. Vous pouvez toutefois supprimer toutes les entrées des groupes de nœuds autogérés après avoir créé des entrées d'accès pour ceux-ci.

Prérequis

Avoir des connaissances sur les entrées d'accès et les stratégies d'accès. Pour plus d’informations, consultez Accorder l'accès aux IAM utilisateurs à l'Kubernetesaide des entrées d'accès EKS et Associer les stratégies d'accès aux entrées d'accès et les dissocier des entrées d'accès.
Un cluster existant dont la version de plateforme correspond ou est ultérieure aux versions répertoriées dans les prérequis de la rubrique Autoriser les rôles IAM ou les utilisateurs IAM à accéder aux objets Kubernetes de votre cluster Amazon EKS.
Version 0.184.0 ou ultérieure de l'outil de ligne de commande eksctl installée sur votre appareil ou AWS CloudShell. Pour installer ou mettre à jour eksctl, veuillez consulter Installation dans la documentation de eksctl.
Autorisations Kubernetes permettant de modifier la ConfigMap aws-auth dans l'espace de noms kube-system.
Un AWS Identity and Access Management rôle ou un utilisateur disposant des autorisations suivantes : CreateAccessEntry etListAccessEntries. Pour plus d'informations, consultez la rubrique Actions définies par Amazon Elastic Kubernetes Service dans la Référence des autorisations de service.

Pour migrer une entrée de votre `aws-auth ConfigMap` vers une entrée d'accès

Consultez les entrées existantes dans votre aws-auth ConfigMap. Remplacez my-cluster par le nom de votre cluster.


eksctl get iamidentitymapping --cluster my-cluster

L'exemple qui suit illustre un résultat.


ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
arn:aws:iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
arn:aws:iam::111122223333:user/my-user                                                          my-user
arn:aws:iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
arn:aws:iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes

Créez des entrées d'accès pour toutes les entrées ConfigMap que vous avez créées et renvoyées dans le résultat précédent. Lorsque vous créez les entrées d'accès, assurez-vous de spécifier les mêmes valeurs pour ARN, USERNAME, GROUPS et ACCOUNT et de les renvoyer dans votre résultat. Dans l'exemple de résultat, vous devez créer des entrées d'accès pour toutes les entrées sauf les deux dernières, étant donné que ces entrées ont été créées par Amazon EKS pour un profil Fargate et un groupe de nœuds géré.
Supprimez les entrées de la ConfigMap pour toutes les entrées d'accès que vous avez créées. Si vous ne supprimez pas l'entrée de la ConfigMap, les paramètres de l'entrée d'accès pour l'ARN principal IAM remplaceront l'entrée ConfigMap. Remplacez 111122223333 par votre Compte AWS identifiant et EKS- my-cluster-my-namespace -Viewers par le nom du rôle dans l'entrée de votre. ConfigMap Si l'entrée que vous supprimez concerne un utilisateur IAM plutôt qu'un rôle IAM, role remplacez-la par user et EKS- my-cluster-my-namespace -Viewers par le nom d'utilisateur.
```
eksctl delete iamidentitymapping --arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques d'accès associées

Mettre à jour aws-auth ConfigMap

Migration des entrées aws-auth ConfigMap existantes pour accéder aux entrées

Important

Prérequis

Pour migrer une entrée de votre aws-auth ConfigMap vers une entrée d'accès

Migration des entrées `aws-auth ConfigMap` existantes pour accéder aux entrées

Pour migrer une entrée de votre `aws-auth ConfigMap` vers une entrée d'accès