기존 aws-auth ConfigMap 항목을 액세스 항목으로 마이그레이션 - Amazon EKS

이 페이지 개선에 도움 주기

이 사용자 설명서에 기여하고 싶으신가요? 이 페이지 하단으로 스크롤하여 GitHub에서 이 페이지 편집을 선택하세요. 여러분의 기여는 모두를 위한 더 나은 사용자 설명서를 만드는 데 도움이 됩니다.

기존 aws-auth ConfigMap 항목을 액세스 항목으로 마이그레이션

클러스터의 aws-auth ConfigMap에 항목을 추가한 경우 aws-auth ConfigMap의 기존 항목에 대한 액세스 항목을 생성하는 것이 좋습니다. 액세스 항목을 생성한 후 해당 항목을 ConfigMap에서 제거할 수 있습니다. aws-auth ConfigMap의 항목에 액세스 정책을 연결할 수 없습니다. 액세스 정책을 IAM 보안 주체에 연결하려면 액세스 항목을 생성합니다.

중요

클러스터에 관리형 노드 그룹 또는 Fargate 프로파일을 추가할 때 Amazon EKS에서 생성한 기존 aws-auth ConfigMap 항목을 제거하지 않습니다. Amazon EKS가 ConfigMap에서 생성한 항목을 제거하면 클러스터가 제대로 작동하지 않습니다. 하지만 자체 관리형 노드 그룹에 대한 액세스 항목을 생성한 후에는 해당 항목을 제거할 수 있습니다.

사전 조건
항목을 aws-auth ConfigMap에서 액세스 항목으로 마이그레이션하는 방법

  1. aws-auth ConfigMap에서 기존 항목을 봅니다. my-cluster를 해당 클러스터의 이름으로 바꿉니다.

    eksctl get iamidentitymapping --cluster my-cluster

    예제 출력은 다음과 같습니다.

    ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
arn:aws:iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
arn:aws:iam::111122223333:user/my-user                                                          my-user
arn:aws:iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
arn:aws:iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes

  2. 생성 후 이전 출력에서 반환된 모든 ConfigMap 항목에 대해 액세스 항목을 생성합니다. 액세스 항목을 생성하는 경우 출력에서 반환된 ARN, USERNAME, GROUPSACCOUNT에 대해 동일한 값을 지정해야 합니다. 예제 출력에서는 Amazon EKS가 Fargate 프로파일 및 관리형 노드 그룹에 대한 액세스 항목을 생성했기 때문에 마지막 두 항목을 제외한 모든 항목에 대한 액세스 항목을 생성합니다.

  3. 생성한 모든 액세스 항목에 대한 항목을 ConfigMap에서 삭제합니다. ConfigMap에서 항목을 삭제하지 않으면 IAM 보안 주체 ARN의 액세스 항목 설정이 ConfigMap 항목보다 우선합니다. 111122223333을 사용자 AWS 계정 ID로, EKS-my-cluster-my-namespace-ViewersConfigMap 항목의 역할 이름으로 바꿉니다. IAM 역할이 아닌 IAM 사용자에 대한 항목을 제거하는 경우 roleuser로, EKS-my-cluster-my-namespace-Viewers를 사용자 이름으로 바꿉니다.

    eksctl delete iamidentitymapping --arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster