Migrazione delle voci aws-auth ConfigMap esistenti alle voci di accesso - Amazon EKS

Aiutaci a migliorare questa pagina

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Migrazione delle voci aws-auth ConfigMap esistenti alle voci di accesso

Se hai aggiunto voci a aws-auth ConfigMap sul tuo cluster, ti consigliamo di creare voci di accesso per le voci esistenti in aws-auth ConfigMap. Dopo aver creato le voci di accesso, puoi rimuovere le voci da ConfigMap. Non è possibile associare le policy di accesso alle voci presenti in aws-auth ConfigMap. Se desideri associare le politiche di accesso ai tuoi IAM principali, crea voci di accesso.

Importante

Non rimuovere aws-auth ConfigMap voci esistenti create da Amazon EKS quando hai aggiunto un gruppo di nodi gestiti o un profilo Fargate al tuo cluster. Se rimuovi le voci che Amazon EKS ha creato inConfigMap, il cluster non funzionerà correttamente. Tuttavia, puoi rimuovere qualsiasi voce per i gruppi di nodi autogestiti dopo aver creato le voci di accesso per tali gruppi.

Prerequisiti
Per migrare una voce dalla tua aws-auth ConfigMap a una voce di accesso

  1. Verifica le voci esistenti in aws-auth ConfigMap. Replace (Sostituisci) my-cluster con il nome del tuo cluster.

    eksctl get iamidentitymapping --cluster my-cluster

    Di seguito viene riportato un output di esempio:

    ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
arn:aws:iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
arn:aws:iam::111122223333:user/my-user                                                          my-user
arn:aws:iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
arn:aws:iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes

  2. Crea voci di accesso per tutte le voci ConfigMap che hai creato e che sono state restituite nell'output precedente. Quando crei le voci di accesso, assicurati di specificare gli stessi valori per ARN, USERNAME, GROUPS e ACCOUNT restituiti nell'output. Nell'output di esempio, dovreste creare voci di accesso per tutte le voci tranne le ultime due, poiché tali voci sono state create da Amazon EKS per un profilo Fargate e un gruppo di nodi gestito.

  3. Elimina le voci da ConfigMap per tutte le voci di accesso che hai creato. Se non elimini la voce daConfigMap, le impostazioni per la voce di accesso per il IAM principale hanno la ARN precedenza sulla ConfigMap voce. Replace (Sostituisci) 111122223333 con il tuo Account AWS ID e EKS-my-cluster-my-namespace-Viewers con il nome del ruolo nella voce del tuoConfigMap. Se la voce che stai rimuovendo è per un IAM utente, anziché un IAM ruolo, sostituiscila role con user e EKS-my-cluster-my-namespace-Viewers con il nome utente.

    eksctl delete iamidentitymapping --arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster