Hilf mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Migrieren vorhandener `aws-auth ConfigMap`-Einträge zu Zugriffseinträgen

Wenn Sie Einträge zu aws-auth ConfigMap für Ihren Cluster hinzugefügt haben, empfiehlt es sich, Zugriffseinträge für die vorhandenen Einträge in aws-auth ConfigMap zu erstellen. Nach der Erstellung der Zugriffseinträge können Sie die Einträge aus ConfigMap entfernen. Einträgen in aws-auth ConfigMap können keine Zugriffsrichtlinien zugeordnet werden. Wenn Sie Ihren IAM Prinzipalen Zugriffsrichtlinien zuordnen möchten, erstellen Sie Zugriffseinträge.

Wichtig

Entfernen Sie keine vorhandenen aws-auth ConfigMap Einträge, die von Amazon erstellt wurden, EKS als Sie Ihrem Cluster eine verwaltete Knotengruppe oder ein Fargate-Profil hinzugefügt haben. Wenn Sie Einträge entfernen, die Amazon im EKS erstellt hatConfigMap, funktioniert Ihr Cluster nicht ordnungsgemäß. Sie können allerdings alle Einträge für selbstverwaltete Knotengruppen entfernen, nachdem Sie Zugriffseinträge für sie erstellt haben.

Voraussetzungen

Vertrautheit mit Zugriffseinträgen und Zugriffsrichtlinien. Weitere Informationen erhalten Sie unter Gewähren Sie IAM Benutzern Zugriff auf Kubernetes mit EKS Zugriffseinträgen und Zugriffsrichtlinien mit Zugriffseinträgen verknüpfen.
Ein vorhandener Cluster mit einer Plattformversion, die den in den Voraussetzungen für den Zugriff von IAM Rollen oder Benutzern aufgeführten Versionen entspricht oder höher ist Kubernetes Objekte zu Ihrem EKS Amazon-Cluster-Thema.
Version 0.191.0 oder höher des eksctl-Befehlszeilen-Tools, das auf Ihrem Computer oder in der AWS CloudShell installiert ist. Informationen zum Installieren und Aktualisieren von eksctl finden Sie in der Dokumentation zu eksctl unter Installation.
Kubernetes Berechtigungen zum Ändern der aws-auth ConfigMap im kube-system Namespace.
Eine AWS Identity and Access Management Rolle oder ein Benutzer mit den folgenden Berechtigungen: CreateAccessEntry undListAccessEntries. Weitere Informationen finden Sie in der Service-Authorization-Referenz unter Von Amazon Elastic Kubernetes Service definierte Aktionen.

So migrieren Sie einen Eintrag von `aws-auth ConfigMap` zu einem Zugriffseintrag

Sehen Sie sich die vorhandenen Einträge in aws-auth ConfigMap an. Ersetzen my-cluster mit dem Namen Ihres Clusters.


eksctl get iamidentitymapping --cluster my-cluster

Eine Beispielausgabe sieht wie folgt aus.


ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
arn:aws:iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
arn:aws:iam::111122223333:user/my-user                                                          my-user
arn:aws:iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
arn:aws:iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes

Erstellen Sie Zugriffseinträge für alle von Ihnen erstellten ConfigMap-Einträge aus der vorherigen Ausgabe. Achten Sie beim Erstellen der Zugriffseinträge darauf, für ARN, USERNAME, GROUPS und ACCOUNT die gleichen Werte anzugeben, die in der Ausgabe zurückgegeben wurden. In der Beispielausgabe würden Sie Zugriffseinträge für alle Einträge außer den letzten beiden Einträgen erstellen, da diese Einträge von Amazon EKS für ein Fargate-Profil und eine verwaltete Knotengruppe erstellt wurden.
Löschen Sie die Einträge aus ConfigMap für alle von Ihnen erstellten Zugriffseinträge. Wenn Sie den Eintrag nicht aus dem löschenConfigMap, ARN überschreiben die Einstellungen für den Zugriffseintrag für den IAM Principal den ConfigMap Eintrag. Ersetzen 111122223333 mit Ihrer AWS-Konto ID und EKS-my-cluster-my-namespace-Viewers mit dem Namen der Rolle im Eintrag in IhremConfigMap. Wenn der Eintrag, den Sie entfernen, für einen IAM Benutzer und nicht für eine IAM Rolle bestimmt ist, role ersetzen Sie ihn durch user und EKS-my-cluster-my-namespace-Viewers mit dem Benutzernamen.
```
eksctl delete iamidentitymapping --arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ordnen Sie Zugriffsrichtlinien zu

Aktualisieren: aws-auth ConfigMap

Migrieren vorhandener aws-auth ConfigMap-Einträge zu Zugriffseinträgen

Wichtig

Voraussetzungen

So migrieren Sie einen Eintrag von aws-auth ConfigMap zu einem Zugriffseintrag

Migrieren vorhandener `aws-auth ConfigMap`-Einträge zu Zugriffseinträgen

So migrieren Sie einen Eintrag von `aws-auth ConfigMap` zu einem Zugriffseintrag