Kelola entri akses - Amazon EKS
Mengubah mode otentikasiMembuat entri aksesMemperbarui entri aksesMenghapus entri akses

Bantu tingkatkan halaman ini

Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola entri akses

Prasyarat

  • Keakraban dengan opsi akses klaster untuk klaster Amazon EKS Anda. Untuk informasi selengkapnya, lihat Berikan akses ke Kubernetes API .

  • Sebuah klaster Amazon EKS yang sudah ada. Untuk menyebarkan satu, lihatMemulai dengan Amazon EKS. Untuk menggunakan entri akses dan mengubah mode otentikasi cluster, cluster harus memiliki versi platform yang sama atau lebih lambat dari versi yang tercantum dalam tabel berikut, atau Kubernetes versi yang lebih lambat dari versi yang tercantum dalam tabel.

    Versi Kubernetes Versi platform
    1.30 eks.2
    1.29 eks.1
    1.28 eks.6
    1.27 eks.10
    1.26 eks.11
    1.25 eks.12
    1.24 eks.15
    1.23 eks.17

    Anda dapat memeriksa versi Anda saat ini Kubernetes dan platform dengan mengganti my-cluster di perintah berikut dengan nama cluster Anda dan kemudian menjalankan perintah yang dimodifikasi:. aws eks describe-cluster --name my-cluster --query 'cluster.{"Kubernetes Version": version, "Platform Version": platformVersion}'

    penting

    Setelah Amazon EKS memperbarui klaster Anda ke versi platform yang tercantum dalam tabel, Amazon EKS membuat entri akses dengan izin administrator ke klaster untuk prinsipal IAM yang awalnya membuat cluster. Jika Anda tidak ingin prinsipal IAM tersebut memiliki izin administrator ke cluster, hapus entri akses yang dibuat Amazon EKS.

    Untuk cluster dengan versi platform yang lebih awal dari yang tercantum di tabel sebelumnya, pembuat klaster selalu merupakan administrator cluster. Tidak mungkin menghapus izin administrator cluster dari pengguna IAM atau peran yang membuat cluster.

  • Prinsipal IAM dengan izin berikut untuk klaster Anda:CreateAccessEntry,,, ListAccessEntries DescribeAccessEntryDeleteAccessEntry, dan. UpdateAccessEntry Untuk informasi selengkapnya tentang izin Amazon EKS, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan.

  • Prinsipal IAM yang ada untuk membuat entri akses untuk, atau entri akses yang ada untuk memperbarui atau menghapus.

Menyiapkan entri akses

Untuk mulai menggunakan entri akses, Anda harus mengubah mode otentikasi cluster ke mode API_AND_CONFIG_MAP atauAPI. Ini menambahkan API untuk entri akses.

AWS Management Console
Untuk membuat entri akses

  1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/home#/clusters.

  2. Pilih nama cluster tempat Anda ingin membuat entri akses.

  3. Pilih tab Access.

  4. Mode otentikasi menunjukkan mode otentikasi cluster saat ini. Jika mode mengatakanEKS API, Anda sudah dapat menambahkan entri akses dan Anda dapat melewati langkah-langkah yang tersisa.

  5. Pilih Kelola akses.

  6. Untuk modus otentikasi Cluster, pilih mode dengan. EKS API Perhatikan bahwa Anda tidak dapat mengubah mode autentikasi kembali ke mode yang menghapus entri EKS API dan akses.

  7. Pilih Simpan perubahan. Amazon EKS mulai memperbarui cluster, status klaster berubah menjadiUpdating, dan perubahan dicatat di tab Riwayat Perbarui.

  8. Tunggu status cluster kembali keActive. Saat clusterActive, Anda dapat mengikuti langkah-langkah Membuat entri akses untuk menambahkan akses ke cluster untuk prinsipal IAM.

AWS CLI
Prasyarat

Versi terbaru dari AWS CLI v1 diinstal dan dikonfigurasi pada perangkat Anda atau AWS CloudShell. AWS CLI v2 tidak mendukung fitur baru selama beberapa hari. Anda dapat memeriksa versi saat ini dengan aws --version | cut -d / -f2 | cut -d ' ' -f1. Package manager seperti yumapt-get,, atau Homebrew untuk macOS sering beberapa versi di belakang versi terbaru dari file AWS CLI. Untuk menginstal versi terbaru, lihat Menginstal, memperbarui, dan menghapus konfigurasi AWS CLI dan Cepat dengan aws configure di Panduan AWS Command Line Interface Pengguna. AWS CLI Versi yang diinstal di AWS CloudShell mungkin juga beberapa versi di belakang versi terbaru. Untuk memperbaruinya, lihat Menginstal AWS CLI ke direktori home Anda di Panduan AWS CloudShell Pengguna.

  2. Jalankan perintah berikut. Ganti my-cluster dengan nama klaster Anda. Jika Anda ingin menonaktifkan ConfigMap metode secara permanen, ganti API_AND_CONFIG_MAP denganAPI.

    Amazon EKS mulai memperbarui cluster, status klaster berubah menjadiUPDATING, dan perubahan dicatat dalamaws eks list-updates.

    aws eks update-cluster-config --name my-cluster --access-config authenticationMode=API_AND_CONFIG_MAP

  3. Tunggu status cluster kembali keActive. Saat clusterActive, Anda dapat mengikuti langkah-langkah Membuat entri akses untuk menambahkan akses ke cluster untuk prinsipal IAM.

Membuat entri akses

Pertimbangan

Sebelum membuat entri akses, pertimbangkan hal berikut:

  • Entri akses mencakup Nama Sumber Daya Amazon (ARN) dari satu, dan hanya satu, prinsipal IAM yang ada. Prinsipal IAM tidak dapat dimasukkan dalam lebih dari satu entri akses. Pertimbangan tambahan untuk ARN yang Anda tentukan:

    • Praktik terbaik IAM merekomendasikan untuk mengakses klaster Anda menggunakan peran IAM yang memiliki kredensi jangka pendek, daripada pengguna IAM yang memiliki kredensi jangka panjang. Untuk informasi selengkapnya, lihat Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara di Panduan Pengguna IAM.

    • Jika ARN adalah untuk peran IAM, itu dapat mencakup jalur. ARN dalam aws-auth ConfigMap entri, tidak dapat menyertakan jalur. Misalnya, ARN Anda bisa arn:aws:iam::111122223333:role/development/apps/my-role atau. arn:aws:iam::111122223333:role/my-role

    • Jika jenis entri akses adalah apa pun selain STANDARD (lihat pertimbangan selanjutnya tentang jenis), ARN harus sama dengan Akun AWS cluster Anda. Jika jenisnyaSTANDARD, ARN bisa sama, atau berbeda, Akun AWS dari akun tempat cluster Anda berada.

    • Anda tidak dapat mengubah prinsipal IAM setelah entri akses dibuat.

    • Jika Anda pernah menghapus prinsipal IAM dengan ARN ini, entri akses tidak dihapus secara otomatis. Kami menyarankan Anda menghapus entri akses dengan ARN untuk prinsipal IAM yang Anda hapus. Jika Anda tidak menghapus entri akses dan membuat ulang prinsipal IAM, meskipun memiliki ARN yang sama, entri akses tidak akan berfungsi. Ini karena meskipun ARN sama untuk prinsipal IAM yang dibuat ulang, roleID atau userID (Anda dapat melihat ini dengan aws sts get-caller-identity AWS CLI perintah) berbeda untuk prinsip IAM yang dibuat ulang daripada untuk prinsipal IAM asli. Meskipun Anda tidak melihat kepala sekolah IAM roleID atau userID untuk entri akses, Amazon EKS menyimpannya dengan entri akses.

  • Setiap entri akses memiliki tipe. Anda dapat menentukan EC2 Linux (untuk peran IAM yang digunakan dengan Linux atau Bottlerocket node yang dikelola sendiri), EC2 Windows (untuk peran IAM yang digunakan dengan node yang dikelola sendiri Windows), FARGATE_LINUX (untuk peran IAM yang digunakan dengan), atau sebagai tipe. AWS Fargate (Fargate)STANDARD Jika Anda tidak menentukan jenis, Amazon EKS secara otomatis menyetel jenisnyaSTANDARD. Tidak perlu membuat entri akses untuk peran IAM yang digunakan untuk grup node terkelola atau profil Fargate, karena Amazon EKS menambahkan entri untuk peran ini ke, terlepas dari versi platform mana cluster Anda aws-auth ConfigMap berada.

    Anda tidak dapat mengubah jenis setelah entri akses dibuat.

  • Jika jenis entri aksesnyaSTANDARD, Anda dapat menentukan nama pengguna untuk entri akses. Jika Anda tidak menentukan nilai untuk nama pengguna, Amazon EKS menetapkan salah satu nilai berikut untuk Anda, tergantung pada jenis entri akses dan apakah prinsipal IAM yang Anda tentukan adalah peran IAM atau pengguna IAM. Kecuali Anda memiliki alasan khusus untuk menentukan nama pengguna Anda sendiri, sebaiknya jangan tentukan nama pengguna dan biarkan Amazon EKS membuatnya secara otomatis untuk Anda. Jika Anda menentukan nama pengguna Anda sendiri:

    • Itu tidak bisa dimulai dengansystem:,eks:,aws:,amazon:, atauiam:.

    • Jika nama pengguna untuk peran IAM, kami sarankan Anda menambahkan {{SessionName}} ke akhir nama pengguna Anda. Jika Anda {{SessionName}} menambahkan nama pengguna Anda, nama pengguna harus menyertakan titik dua sebelum {{SessionName}}. Ketika peran ini diasumsikan, nama sesi yang ditentukan saat mengasumsikan peran secara otomatis diteruskan ke cluster dan akan muncul di CloudTrail log. Misalnya, Anda tidak dapat memiliki nama penggunajohn{{SessionName}}. Nama pengguna harus :john{{SessionName}} ataujo:hn{{SessionName}}. Usus besar hanya harus sebelumnya{{SessionName}}. Nama pengguna yang dihasilkan oleh Amazon EKS dalam tabel berikut mencakup ARN. Karena ARN termasuk titik dua, ia memenuhi persyaratan ini. Titik dua tidak diperlukan jika Anda tidak menyertakan {{SessionName}} nama pengguna Anda.

    Tipe utama IAM Tipe Nilai nama pengguna yang ditetapkan secara otomatis oleh Amazon EKS
    Pengguna STANDARD

    ARN pengguna. Contoh: arn:aws:iam::111122223333:user/my-user
    Peran STANDARD

    STS ARN dari peran ketika diasumsikan. Amazon EKS {{SessionName}} menambahkan peran tersebut.

    Contoh: arn:aws:sts::111122223333:assumed-role/my-role/{{SessionName}}

    Jika ARN peran yang Anda tentukan berisi jalur, Amazon EKS menghapusnya di nama pengguna yang dihasilkan.
    Peran EC2 Linux atau EC2 Windows

    system:node:{{EC2PrivateDNSName}}
    Peran FARGATE_LINUX

    system:node:{{SessionName}}

    Anda dapat mengubah nama pengguna setelah entri akses dibuat.

  • Jika jenis entri akses adalahSTANDARD, dan Anda ingin menggunakan otorisasi Kubernetes RBAC, Anda dapat menambahkan satu atau beberapa nama grup ke entri akses. Setelah Anda membuat entri akses, Anda dapat menambahkan dan menghapus nama grup. Agar prinsipal IAM memiliki akses ke Kubernetes objek di cluster Anda, Anda harus membuat dan mengelola objek otorisasi Kubernetes berbasis peran (RBAC). Buat Kubernetes RoleBinding atau ClusterRoleBinding objek pada cluster Anda yang menentukan nama grup sebagai subject forkind: Group. Kubernetesmengotorisasi akses utama IAM ke objek cluster apa pun yang telah Anda tentukan dalam ClusterRole objek Kubernetes Role atau yang juga Anda tentukan dalam pengikatan Anda. roleRef Jika Anda menentukan nama grup, sebaiknya Anda terbiasa dengan objek otorisasi Kubernetes berbasis peran (RBAC). Untuk informasi selengkapnya, lihat Menggunakan Otorisasi RBAC dalam dokumentasi. Kubernetes

    penting

    Amazon EKS tidak mengonfirmasi bahwa objek Kubernetes RBAC apa pun yang ada di cluster Anda menyertakan nama grup apa pun yang Anda tentukan.

    Alih-alih, atau sebagai tambahan, Kubernetes mengotorisasi akses utama IAM ke Kubernetes objek di klaster Anda, Anda dapat mengaitkan kebijakan akses Amazon EKS ke entri akses. Amazon EKS memberi otorisasi kepada prinsipal IAM untuk mengakses Kubernetes objek di klaster Anda dengan izin dalam kebijakan akses. Anda dapat membuat cakupan izin kebijakan akses ke Kubernetes ruang nama yang Anda tentukan. Penggunaan kebijakan akses tidak mengharuskan Anda mengelola objek Kubernetes RBAC. Untuk informasi selengkapnya, lihat Mengaitkan dan memisahkan kebijakan akses ke dan dari entri akses.

  • Jika Anda membuat entri akses dengan tipe EC2 Linux atauEC2 Windows, prinsipal IAM yang membuat entri akses harus memiliki iam:PassRole izin. Untuk informasi selengkapnya, lihat Memberikan izin pengguna untuk meneruskan peran ke Layanan AWS dalam Panduan Pengguna IAM.

  • Mirip dengan perilaku IAM standar, pembuatan dan pembaruan entri akses pada akhirnya konsisten, dan mungkin memerlukan beberapa detik untuk menjadi efektif setelah panggilan API awal berhasil dikembalikan. Anda harus merancang aplikasi Anda untuk memperhitungkan potensi penundaan ini. Kami menyarankan agar Anda tidak menyertakan entri akses yang dibuat atau diperbarui di jalur kode ketersediaan tinggi yang penting dari aplikasi Anda. Sebaliknya, buat perubahan dalam inisialisasi terpisah atau rutinitas pengaturan yang lebih jarang Anda lakukan. Selain itu, pastikan untuk memverifikasi bahwa perubahan telah dibuat merata sebelum alur kerja produksi bergantung padanya.

  • Entri akses tidak mendukung peran terkait layanan. Anda tidak dapat membuat entri akses di mana ARN utama adalah peran terkait layanan. Anda dapat mengidentifikasi peran terkait layanan dengan ARN mereka, yang ada dalam format. arn:aws:iam::*:role/aws-service-role/*

Anda dapat membuat entri akses menggunakan AWS Management Console atau AWS CLI.

AWS Management Console
Untuk membuat entri akses

  1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/home#/clusters.

  2. Pilih nama cluster tempat Anda ingin membuat entri akses.

  3. Pilih tab Access.

  4. Pilih Buat entri akses.

  5. Untuk prinsipal IAM, pilih peran atau pengguna IAM yang ada. Praktik terbaik IAM merekomendasikan untuk mengakses klaster Anda menggunakan peran IAM yang memiliki kredensi jangka pendek, daripada pengguna IAM yang memiliki kredensi jangka panjang. Untuk informasi selengkapnya, lihat Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara di Panduan Pengguna IAM.

  6. Untuk Type, jika entri akses adalah untuk peran node yang digunakan untuk node Amazon EC2 yang dikelola sendiri, pilih EC2 Linux atau EC2 Windows. Jika tidak, terima default (Standar).

  7. Jika Jenis yang Anda pilih adalah Standar dan Anda ingin menentukan Nama Pengguna, masukkan nama pengguna.

  8. Jika Jenis yang Anda pilih adalah Standar dan Anda ingin menggunakan otorisasi Kubernetes RBAC untuk prinsipal IAM, tentukan satu atau beberapa nama untuk Grup. Jika Anda tidak menentukan nama grup apa pun dan ingin menggunakan otorisasi Amazon EKS, Anda dapat mengaitkan kebijakan akses di langkah selanjutnya, atau setelah entri akses dibuat.

  9. (Opsional) Untuk Tag, tetapkan label ke entri akses. Misalnya, untuk membuatnya lebih mudah untuk menemukan semua sumber daya dengan tag yang sama.

  10. Pilih Selanjutnya.

  11. Pada halaman Tambahkan kebijakan akses, jika jenis yang Anda pilih adalah Standar dan Anda ingin Amazon EKS mengotorisasi prinsipal IAM untuk memiliki izin ke Kubernetes objek di klaster Anda, selesaikan langkah-langkah berikut. Jika tidak, pilih Selanjutnya.

    1. Untuk nama Kebijakan, pilih kebijakan akses. Anda tidak dapat melihat izin kebijakan akses, tetapi mereka menyertakan izin serupa dengan yang ada di objek yang dihadapi Kubernetes penggunaClusterRole. Untuk informasi selengkapnya, lihat Peran yang dihadapi pengguna dalam dokumentasi. Kubernetes

    2. Pilih salah satu opsi berikut:

      • Cluster — Pilih opsi ini jika Anda ingin Amazon EKS mengotorisasi prinsipal IAM agar memiliki izin dalam kebijakan akses untuk semua Kubernetes objek di klaster Anda.

      • Kubernetesnamespace — Pilih opsi ini jika Anda ingin Amazon EKS mengotorisasi prinsipal IAM agar memiliki izin dalam kebijakan akses untuk semua Kubernetes objek di namespace tertentu Kubernetes di klaster Anda. Untuk Namespace, masukkan nama Kubernetes namespace di cluster Anda. Jika Anda ingin menambahkan ruang nama tambahan, pilih Tambahkan namespace baru dan masukkan nama namespace.

    3. Jika Anda ingin menambahkan kebijakan tambahan, pilih Tambah kebijakan. Anda dapat membuat cakupan setiap kebijakan secara berbeda, tetapi Anda dapat menambahkan setiap kebijakan hanya sekali.

    4. Pilih Selanjutnya.

  12. Tinjau konfigurasi untuk entri akses Anda. Jika ada yang terlihat salah, pilih Sebelumnya untuk kembali melalui langkah-langkah dan memperbaiki kesalahan. Jika konfigurasi sudah benar, pilih Buat.

AWS CLI
Prasyarat

Versi terbaru dari AWS CLI v1 diinstal dan dikonfigurasi pada perangkat Anda atau AWS CloudShell. AWS CLI v2 tidak mendukung fitur baru selama beberapa hari. Anda dapat memeriksa versi saat ini dengan aws --version | cut -d / -f2 | cut -d ' ' -f1. Package manager seperti yumapt-get,, atau Homebrew untuk macOS sering beberapa versi di belakang versi terbaru dari file AWS CLI. Untuk menginstal versi terbaru, lihat Menginstal, memperbarui, dan menghapus konfigurasi AWS CLI dan Cepat dengan aws configure di Panduan AWS Command Line Interface Pengguna. AWS CLI Versi yang diinstal di AWS CloudShell mungkin juga beberapa versi di belakang versi terbaru. Untuk memperbaruinya, lihat Menginstal AWS CLI ke direktori home Anda di Panduan AWS CloudShell Pengguna.

Untuk membuat entri akses

Anda dapat menggunakan salah satu contoh berikut untuk membuat entri akses:

  • Buat entri akses untuk grup node Amazon EC2 Linux yang dikelola sendiri. Ganti my-cluster dengan nama cluster Anda, 111122223333 dengan Akun AWS ID Anda, dan EKS-My-Cluster-Self-Managed-NG-1 dengan nama peran IAM node Anda. Jika grup node Anda adalah grup node Windows, maka ganti EC2_Linux dengan. EC2_Windows

    aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1 --type EC2_Linux

    Anda tidak dapat menggunakan --kubernetes-groups opsi ketika Anda menentukan jenis selainSTANDARD. Anda tidak dapat mengaitkan kebijakan akses ke entri akses ini, karena jenisnya adalah nilai selainSTANDARD.

  • Buat entri akses yang memungkinkan peran IAM yang tidak digunakan untuk grup node yang dikelola sendiri Amazon EC2, yang Kubernetes ingin Anda otorisasi akses ke klaster. Ganti my-cluster dengan nama cluster Anda, 111122223333 dengan Akun AWS ID Anda, dan peran saya dengan nama peran IAM Anda. Ganti Viewers dengan nama grup yang telah Anda tentukan di ClusterRoleBinding objek Kubernetes RoleBinding atau di klaster Anda.

    aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role --type STANDARD --user Viewers --kubernetes-groups Viewers

  • Buat entri akses yang memungkinkan pengguna IAM untuk mengautentikasi ke cluster Anda. Contoh ini diberikan karena hal ini dimungkinkan, meskipun praktik terbaik IAM merekomendasikan untuk mengakses klaster Anda menggunakan peran IAM yang memiliki kredensi jangka pendek, daripada pengguna IAM yang memiliki kredensil jangka panjang. Untuk informasi selengkapnya, lihat Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara di Panduan Pengguna IAM.

    aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:user/my-user --type STANDARD --username my-user

    Jika Anda ingin pengguna ini memiliki lebih banyak akses ke klaster Anda daripada izin dalam peran penemuan Kubernetes API, Anda perlu mengaitkan kebijakan akses ke entri akses, karena --kubernetes-groups opsi tersebut tidak digunakan. Untuk informasi selengkapnya, lihat Mengaitkan dan memisahkan kebijakan akses ke dan dari entri akses dan peran penemuan API dalam Kubernetes dokumentasi.

Memperbarui entri akses

Anda dapat memperbarui entri akses menggunakan AWS Management Console atau AWS CLI.

AWS Management Console
Untuk memperbarui entri akses

  1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/home#/clusters.

  2. Pilih nama cluster tempat Anda ingin membuat entri akses.

  3. Pilih tab Access.

  4. Pilih entri akses yang ingin Anda perbarui.

  5. Pilih Edit.

  6. Untuk Username, Anda dapat mengubah nilai yang ada.

  7. Untuk Grup, Anda dapat menghapus nama grup yang ada atau menambahkan nama grup baru. Jika nama grup berikut ada, jangan hapus mereka: system:nodes atau system:bootstrappers. Menghapus grup ini dapat menyebabkan cluster Anda berfungsi dengan tidak benar. Jika Anda tidak menentukan nama grup apa pun dan ingin menggunakan otorisasi Amazon EKS, kaitkan kebijakan akses di langkah selanjutnya.

  8. Untuk Tag, Anda dapat menetapkan label ke entri akses. Misalnya, untuk membuatnya lebih mudah untuk menemukan semua sumber daya dengan tag yang sama. Anda juga dapat menghapus tag yang ada.

  9. Pilih Simpan perubahan.

  10. Jika Anda ingin mengaitkan kebijakan akses ke entri, lihatMengaitkan dan memisahkan kebijakan akses ke dan dari entri akses.

AWS CLI
Prasyarat

Versi 2.12.3 atau yang lebih baru atau versi 1.27.160 atau yang lebih baru dari AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi pada perangkat Anda atau AWS CloudShell. Untuk memeriksa versi Anda saat ini, gunakanaws --version | cut -d / -f2 | cut -d ' ' -f1. Package manager seperti yumapt-get,, atau Homebrew untuk macOS sering beberapa versi di belakang versi terbaru dari file AWS CLI. Untuk menginstal versi terbaru, lihat Menginstal, memperbarui, dan menghapus konfigurasi AWS CLI dan Cepat dengan aws configure di Panduan AWS Command Line Interface Pengguna. AWS CLI Versi yang diinstal AWS CloudShell mungkin juga beberapa versi di belakang versi terbaru. Untuk memperbaruinya, lihat Menginstal AWS CLI ke direktori home Anda di Panduan AWS CloudShell Pengguna.

Untuk memperbarui entri akses

Ganti my-cluster dengan nama cluster Anda, 111122223333 dengan Akun AWS ID Anda, dan EKS-My-Cluster-my-Namespace-Viewers dengan nama peran IAM.

aws eks update-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --kubernetes-groups Viewers

Anda tidak dapat menggunakan --kubernetes-groups opsi jika jenis entri akses adalah nilai selainSTANDARD. Anda juga tidak dapat mengaitkan kebijakan akses ke entri akses dengan jenis selainSTANDARD.

Menghapus entri akses

Jika Anda menemukan bahwa Anda menghapus entri akses karena kesalahan, Anda selalu dapat membuatnya kembali. Jika entri akses yang Anda hapus dikaitkan dengan kebijakan akses apa pun, asosiasi akan dihapus secara otomatis. Anda tidak perlu memisahkan kebijakan akses dari entri akses sebelum menghapus entri akses.

Anda dapat menghapus entri akses menggunakan AWS Management Console atau AWS CLI.

AWS Management Console
Untuk menghapus entri akses

  1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/home#/clusters.

  2. Pilih nama klaster tempat Anda ingin menghapus entri akses.

  3. Pilih tab Access.

  4. Dalam daftar entri Access, pilih entri akses yang ingin Anda hapus.

  5. Pilih Hapus.

  6. Di kotak dialog konfirmasi, pilih Hapus.

AWS CLI
Prasyarat

Versi 2.12.3 atau yang lebih baru atau versi 1.27.160 atau yang lebih baru dari AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi pada perangkat Anda atau AWS CloudShell. Untuk memeriksa versi Anda saat ini, gunakanaws --version | cut -d / -f2 | cut -d ' ' -f1. Package manager seperti yumapt-get,, atau Homebrew untuk macOS sering beberapa versi di belakang versi terbaru dari file AWS CLI. Untuk menginstal versi terbaru, lihat Menginstal, memperbarui, dan menghapus konfigurasi AWS CLI dan Cepat dengan aws configure di Panduan AWS Command Line Interface Pengguna. AWS CLI Versi yang diinstal AWS CloudShell mungkin juga beberapa versi di belakang versi terbaru. Untuk memperbaruinya, lihat Menginstal AWS CLI ke direktori home Anda di Panduan AWS CloudShell Pengguna.

Untuk menghapus entri akses

Ganti my-cluster dengan nama cluster Anda, 111122223333 dengan Akun AWS ID Anda, dan peran saya dengan nama peran IAM yang tidak lagi ingin Anda akses ke cluster Anda.

aws eks delete-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role