이 페이지 개선에 도움 주기
이 사용자 설명서에 기여하고 싶으신가요? 이 페이지 하단으로 스크롤하여 GitHub에서 이 페이지 편집을 선택하세요. 여러분의 기여는 모두를 위한 더 나은 사용자 설명서를 만드는 데 도움이 됩니다.
기존 aws-auth ConfigMap
항목을 액세스 항목으로 마이그레이션
클러스터의 aws-auth
ConfigMap
에 항목을 추가한 경우 aws-auth
ConfigMap
의 기존 항목에 대한 액세스 항목을 생성하는 것이 좋습니다. 액세스 항목을 생성한 후 해당 항목을 ConfigMap
에서 제거할 수 있습니다. aws-auth
ConfigMap
의 항목에 액세스 정책을 연결할 수 없습니다. 액세스 정책을 IAM 보안 주체에 연결하려면 액세스 항목을 생성합니다.
중요
클러스터에 관리형 노드 그룹 또는 Fargate 프로파일을 추가할 때 Amazon EKS에서 생성한 기존 aws-auth
ConfigMap
항목을 제거하지 않습니다. Amazon EKS가 ConfigMap
에서 생성한 항목을 제거하면 클러스터가 제대로 작동하지 않습니다. 하지만 자체 관리형 노드 그룹에 대한 액세스 항목을 생성한 후에는 해당 항목을 제거할 수 있습니다.
사전 조건
-
액세스 항목 및 액세스 정책에 익숙해야 합니다. 자세한 내용은 EKS 액세스 항목을 사용한 IAM 사용자에게 Kubernetes에 대한 액세스 권한 부여 및 액세스 정책을 액세스 항목과 연결 단원을 참조하세요.
-
플랫폼 버전이 Amazon EKS 클러스터의 Kubernetes 객체에 대한 IAM 역할 또는 사용자 액세스 허용 주제의 사전 조건에 나열된 버전 이상인 기존 클러스터.
-
디바이스 또는
0.189.0
에 설치된 버전 AWS CloudShell 이상의eksctl
명령줄 도구.eksctl
을 설치 또는 업그레이드하려면eksctl
설명서에서 Installation을 참조하세요. -
kube-system
네임스페이스에서aws-auth
ConfigMap
을 수정할 Kubernetes 권한. -
CreateAccessEntry
및ListAccessEntries
권한을 보유한 AWS Identity and Access Management 역할 또는 사용자. 자세한 내용은 서비스 권한 부여 참조에서 Amazon Elastic Kubernetes Service에서 정의한 작업을 참조하세요.
항목을 aws-auth ConfigMap
에서 액세스 항목으로 마이그레이션하는 방법
-
aws-auth ConfigMap
에서 기존 항목을 봅니다.my-cluster
를 해당 클러스터의 이름으로 바꿉니다.eksctl get iamidentitymapping --cluster
my-cluster
예제 출력은 다음과 같습니다.
ARN USERNAME GROUPS ACCOUNT arn:aws:iam::
111122223333
:role/EKS-my-cluster-Admins Admins system:masters arn:aws:iam::111122223333
:role/EKS-my-cluster-my-namespace-Viewers my-namespace-Viewers Viewers arn:aws:iam::111122223333
:role/EKS-my-cluster-self-managed-ng-1 system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes arn:aws:iam::111122223333
:user/my-user my-user arn:aws:iam::111122223333
:role/EKS-my-cluster-fargateprofile1 system:node:{{SessionName}} system:bootstrappers,system:nodes,system:node-proxier arn:aws:iam::111122223333
:role/EKS-my-cluster-managed-ng system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes -
생성 후 이전 출력에서 반환된 모든
ConfigMap
항목에 대해 액세스 항목을 생성합니다. 액세스 항목을 생성하는 경우 출력에서 반환된ARN
,USERNAME
,GROUPS
및ACCOUNT
에 대해 동일한 값을 지정해야 합니다. 예제 출력에서는 Amazon EKS가 Fargate 프로파일 및 관리형 노드 그룹에 대한 액세스 항목을 생성했기 때문에 마지막 두 항목을 제외한 모든 항목에 대한 액세스 항목을 생성합니다. -
생성한 모든 액세스 항목에 대한 항목을
ConfigMap
에서 삭제합니다.ConfigMap
에서 항목을 삭제하지 않으면 IAM 보안 주체 ARN의 액세스 항목 설정이ConfigMap
항목보다 우선합니다.111122223333
을 사용자 AWS 계정 ID로,EKS-my-cluster-my-namespace-Viewers
를ConfigMap
항목의 역할 이름으로 바꿉니다. IAM 역할이 아닌 IAM 사용자에 대한 항목을 제거하는 경우role
을user
로,EKS-my-cluster-my-namespace-Viewers
를 사용자 이름으로 바꿉니다.eksctl delete iamidentitymapping --arn arn:aws:iam::
111122223333
:role/EKS-my-cluster-my-namespace-Viewers
--clustermy-cluster