**Contribuisci a migliorare questa pagina** 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Migrazione delle voci `aws-auth ConfigMap` esistenti alle voci di accesso
<a name="migrating-access-entries"></a>

Se hai aggiunto voci a `aws-auth` `ConfigMap` sul tuo cluster, ti consigliamo di creare voci di accesso per quelle esistenti in `aws-auth` `ConfigMap`. Dopo aver creato le voci di accesso, puoi rimuovere le voci da `ConfigMap`. Non puoi associare le [policy di accesso](access-policies.md) alle voci presenti in `aws-auth` `ConfigMap`. Se desideri associare policy di accesso ai tuoi principali IAM, crea voci di accesso.

**Importante**  
Quando un cluster è in modalità di autenticazione `API_AND_CONFIGMAP` ed è presente una mappatura per lo stesso ruolo IAM sia in `aws-auth` `ConfigMap` che nelle voci di accesso, il ruolo utilizzerà la mappatura della voce di accesso per l’autenticazione. Le voci di accesso hanno la precedenza sulle voci `ConfigMap` dello stesso principale IAM.
Prima di rimuovere le voci `aws-auth` `ConfigMap` esistenti create da Amazon EKS per un [gruppo di nodi gestiti](managed-node-groups.md) o un [profilo Fargate](fargate-profile.md) nel tuo cluster, ricontrolla se nel tuo cluster Amazon EKS esistono le voci di accesso corrette per quelle risorse specifiche. Se rimuovi le voci che Amazon EKS ha creato in `ConfigMap` senza avere le voci di accesso equivalenti, il cluster non funzionerà correttamente.

## Prerequisiti
<a name="migrating_access_entries_prereq"></a>
+ Familiarità con le voci di accesso e le policy di accesso. Per ulteriori informazioni, consulta [Concedere agli utenti IAM l’accesso a Kubernetes con le voci di accesso EKS](access-entries.md) e [Associare le policy di accesso alle voci di accesso](access-policies.md).
+ Un cluster esistente con una versione della piattaforma corrispondente o successiva alle versioni elencate nei Prerequisiti dell’argomento [Concedere agli utenti IAM l’accesso a Kubernetes con le voci di accesso EKS](access-entries.md).
+ La versione `0.215.0` o quelle successive dello strumento a riga di comando `eksctl` deve essere installata sul dispositivo o nella AWS CloudShell. Per l’installazione o l’aggiornamento di `eksctl`, consulta la sezione [Installation](https://eksctl.io/installation) nella documentazione di `eksctl`.
+ Le autorizzazioni di Kubernetes per modificare `aws-auth` `ConfigMap` nel namespace `kube-system`.
+ Un ruolo o un utente di AWS Identity and Access Management con le seguenti autorizzazioni: `CreateAccessEntry` e`ListAccessEntries`. Per ulteriori informazioni, consulta [Actions defined by Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions) nella Documentazione di riferimento per l’autorizzazione ai servizi.

## `eksctl`
<a name="migrating_access_entries_eksctl"></a>

1. Verifica le voci esistenti in `aws-auth ConfigMap`. Sostituisci *my-cluster* con il nome del cluster.

   ```
   eksctl get iamidentitymapping --cluster my-cluster
   ```

   Di seguito viene riportato un output di esempio.

   ```
   ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
   arn:aws: iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
   arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
   arn:aws: iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
   arn:aws: iam::111122223333:user/my-user                                                          my-user
   arn:aws: iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
   arn:aws: iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
   ```

1.  [Creare voci di accesso](creating-access-entries.md) per tutte le voci `ConfigMap` che hai creato e che sono state restituite nell’output precedente. Quando crei le voci di accesso, assicurati di specificare gli stessi valori per `ARN`, `USERNAME`, `GROUPS` e `ACCOUNT` restituiti nell’output. Nell’output di esempio, dovresti creare voci di accesso per tutte le voci tranne le ultime due, poiché tali voci sono state create da Amazon EKS per un profilo Fargate e un gruppo di nodi gestito.

1. Elimina le voci da `ConfigMap` per tutte le voci di accesso che hai creato. Se non elimini la voce da `ConfigMap`, le impostazioni per la voce di accesso per l’ARN principale IAM hanno la precedenza sulla voce `ConfigMap`. Sostituiscilo *111122223333* con l'ID del tuo AWS account e *EKS-my-cluster-my-namespace-Viewers* con il nome del ruolo nella voce del tuo`ConfigMap`. Se la voce che stai rimuovendo riguarda un utente IAM, anziché un ruolo IAM, `role` sostituiscila con `user` e *EKS-my-cluster-my-namespace-Viewers* con il nome utente.

   ```
   eksctl delete iamidentitymapping --arn arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
   ```