Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Migrazione delle voci aws-auth ConfigMap
esistenti alle voci di accesso
Se hai aggiunto voci a aws-auth
ConfigMap
sul tuo cluster, ti consigliamo di creare voci di accesso per le voci esistenti in aws-auth
ConfigMap
. Dopo aver creato le voci di accesso, puoi rimuovere le voci da ConfigMap
. Non è possibile associare le policy di accesso alle voci presenti in aws-auth
ConfigMap
. Se desideri associare le politiche di accesso ai tuoi IAM principali, crea voci di accesso.
Importante
Non rimuovere aws-auth
ConfigMap
voci esistenti create da Amazon EKS quando hai aggiunto un gruppo di nodi gestiti o un profilo Fargate al tuo cluster. Se rimuovi le voci che Amazon EKS ha creato inConfigMap
, il cluster non funzionerà correttamente. Tuttavia, puoi rimuovere qualsiasi voce per i gruppi di nodi autogestiti dopo aver creato le voci di accesso per tali gruppi.
Prerequisiti
-
Familiarità con le voci di accesso e le policy di accesso. Per ulteriori informazioni, consulta Concedi IAM agli utenti l'accesso a Kubernetes con voci di EKS accesso e Associare le politiche di accesso alle voci di accesso.
-
Un cluster esistente con una versione della piattaforma uguale o successiva alle versioni elencate nell'argomento Prerequisiti dell'argomento Consentire ai IAM ruoli o agli utenti l'accesso agli Kubernetes oggetti sul tuo EKS cluster Amazon.
-
La versione
0.189.0
o quelle successive dello strumento a riga di comandoeksctl
deve essere installata sul dispositivo o nella AWS CloudShell. Per l'installazione o l'aggiornamento dieksctl
, consulta la sezione Installationnella documentazione di eksctl
. -
Le autorizzazioni di Kubernetes per modificare
aws-auth
ConfigMap
nello spazio dei nomikube-system
. -
Un AWS Identity and Access Management ruolo o un utente con le seguenti autorizzazioni:
CreateAccessEntry
e.ListAccessEntries
Per ulteriori informazioni, consulta Actions defined by Amazon Elastic Kubernetes Service nella Documentazione di riferimento per l'autorizzazione ai servizi.
Per migrare una voce dalla tua aws-auth ConfigMap
a una voce di accesso
-
Verifica le voci esistenti in
aws-auth ConfigMap
. Replace (Sostituisci)my-cluster
con il nome del tuo cluster.eksctl get iamidentitymapping --cluster
my-cluster
Di seguito viene riportato un output di esempio:
ARN USERNAME GROUPS ACCOUNT arn:aws:iam::
111122223333
:role/EKS-my-cluster-Admins Admins system:masters arn:aws:iam::111122223333
:role/EKS-my-cluster-my-namespace-Viewers my-namespace-Viewers Viewers arn:aws:iam::111122223333
:role/EKS-my-cluster-self-managed-ng-1 system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes arn:aws:iam::111122223333
:user/my-user my-user arn:aws:iam::111122223333
:role/EKS-my-cluster-fargateprofile1 system:node:{{SessionName}} system:bootstrappers,system:nodes,system:node-proxier arn:aws:iam::111122223333
:role/EKS-my-cluster-managed-ng system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes -
Crea voci di accesso per tutte le voci
ConfigMap
che hai creato e che sono state restituite nell'output precedente. Quando crei le voci di accesso, assicurati di specificare gli stessi valori perARN
,USERNAME
,GROUPS
eACCOUNT
restituiti nell'output. Nell'output di esempio, dovreste creare voci di accesso per tutte le voci tranne le ultime due, poiché tali voci sono state create da Amazon EKS per un profilo Fargate e un gruppo di nodi gestito. -
Elimina le voci da
ConfigMap
per tutte le voci di accesso che hai creato. Se non elimini la voce daConfigMap
, le impostazioni per la voce di accesso per il IAM principale hanno la ARN precedenza sullaConfigMap
voce. Replace (Sostituisci)111122223333
con il tuo Account AWS ID eEKS-my-cluster-my-namespace-Viewers
con il nome del ruolo nella voce del tuoConfigMap
. Se la voce che stai rimuovendo è per un IAM utente, anziché un IAM ruolo, sostituiscilarole
conuser
eEKS-my-cluster-my-namespace-Viewers
con il nome utente.eksctl delete iamidentitymapping --arn arn:aws:iam::
111122223333
:role/EKS-my-cluster-my-namespace-Viewers
--clustermy-cluster