Bantu tingkatkan halaman ini
Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Migrasi entri yang ada untuk aws-auth ConfigMap mengakses entri
Jika Anda telah menambahkan entri ke klaster Anda, kami sarankan Anda membuat entri akses untuk entri yang ada di Anda. aws-auth ConfigMap aws-auth ConfigMap Setelah membuat entri akses, Anda dapat menghapus entri dari entri Anda. ConfigMap Anda tidak dapat mengaitkan kebijakan akses ke entri di. aws-auth ConfigMap Jika Anda ingin mengaitkan kebijakan akses ke prinsipal IAM Anda, buat entri akses.
penting
Jangan hapus aws-auth ConfigMap entri yang ada yang dibuat oleh Amazon EKS saat Anda menambahkan grup node terkelola atau profil Fargate ke klaster Anda. Jika Anda menghapus entri yang dibuat Amazon EKSConfigMap, klaster Anda tidak akan berfungsi dengan baik. Namun, Anda dapat menghapus entri apa pun untuk grup node yang dikelola sendiri setelah Anda membuat entri akses untuk mereka.
Prasyarat
-
Keakraban dengan entri akses dan kebijakan akses. Untuk informasi selengkapnya, lihat Kelola entri akses dan Mengaitkan dan memisahkan kebijakan akses ke dan dari entri akses.
-
Cluster yang ada dengan versi platform yang pada atau lebih lambat dari versi yang tercantum dalam Prasyarat Memungkinkan peran IAM atau pengguna mengakses objek Kubernetes pada topik klaster Amazon EKS Anda.
-
Versi
0.183.0atau yang lebih baru dari alat bariseksctlperintah yang diinstal pada perangkat Anda atau AWS CloudShell. Untuk menginstal atau memperbaruieksctl, lihat Instalasidalam eksctldokumentasi. -
Kubernetesizin untuk memodifikasi
aws-authConfigMapdikube-systemnamespace. -
AWS Identity and Access Management Peran atau pengguna dengan izin berikut:
CreateAccessEntrydanListAccessEntries. Untuk informasi selengkapnya, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan.
Untuk memigrasikan entri dari Anda aws-auth ConfigMap ke entri akses
-
Lihat entri yang ada di Anda
aws-auth ConfigMap. Gantimy-clusterdengan nama klaster Anda.eksctl get iamidentitymapping --clustermy-clusterContoh output adalah sebagai berikut.
ARN USERNAME GROUPS ACCOUNT arn:aws:iam::111122223333:role/EKS-my-cluster-Admins Admins system:masters arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers my-namespace-Viewers Viewers arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1 system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes arn:aws:iam::111122223333:user/my-user my-user arn:aws:iam::111122223333:role/EKS-my-cluster-fargateprofile1 system:node:{{SessionName}} system:bootstrappers,system:nodes,system:node-proxier arn:aws:iam::111122223333:role/EKS-my-cluster-managed-ng system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes -
Buat entri akses untuk setiap
ConfigMapentri yang Anda buat kembali di output sebelumnya. Saat membuat entri akses, pastikan untuk menentukan nilai yang sama untukARN,,USERNAMEGROUPS, danACCOUNTdikembalikan dalam output Anda. Dalam contoh keluaran, Anda akan membuat entri akses untuk semua entri kecuali dua entri terakhir, karena entri tersebut dibuat oleh Amazon EKS untuk profil Fargate dan grup node terkelola. -
Hapus entri dari entri akses apa pun yang Anda
ConfigMapbuat. Jika Anda tidak menghapus entri dariConfigMap, pengaturan untuk entri akses untuk ARN utama IAM akan menggantikanConfigMapentri. Ganti111122223333dengan Akun AWS ID Anda danEKS-My-Cluster-my-Namespace-Viewersdengan nama peran dalam entri di Anda.ConfigMapJika entri yang Anda hapus adalah untuk pengguna IAM, bukan peran IAM, gantiroledenganuserdanEKS-My-Cluster-my-Namespace-Viewersdengan nama pengguna.eksctl delete iamidentitymapping --arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers--clustermy-cluster
