Helfen Sie mit, diese Seite zu verbessern
Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Migrieren vorhandener aws-auth ConfigMap
-Einträge zu Zugriffseinträgen
Wenn Sie Einträge zu aws-auth
ConfigMap
für Ihren Cluster hinzugefügt haben, empfiehlt es sich, Zugriffseinträge für die vorhandenen Einträge in aws-auth
ConfigMap
zu erstellen. Nach der Erstellung der Zugriffseinträge können Sie die Einträge aus ConfigMap
entfernen. Einträgen in aws-auth
ConfigMap
können keine Zugriffsrichtlinien zugeordnet werden. Wenn Sie Ihren IAM-Prinzipalen Zugriffsrichtlinien zuordnen möchten, müssen Sie Zugriffseinträge erstellen.
Wichtig
Entfernen Sie keine aws-auth
ConfigMap
-Einträge, die von Amazon EKS erstellt wurden, als Sie Ihrem Cluster eine verwaltete Knotengruppe oder ein Fargate-Profil hinzugefügt haben. Wenn Sie Einträge entfernen, die von Amazon EKS in ConfigMap
erstellt wurden, funktioniert Ihr Cluster nicht ordnungsgemäß. Sie können allerdings alle Einträge für selbstverwaltete Knotengruppen entfernen, nachdem Sie Zugriffseinträge für sie erstellt haben.
Voraussetzungen
-
Vertrautheit mit Zugriffseinträgen und Zugriffsrichtlinien. Weitere Informationen finden Sie unter Gewähren Sie IAM Benutzern Zugriff auf Kubernetes mit EKS-Zugangseinträgen und Zuordnen von Zugriffsrichtlinien zu Zugriffseinträgen und Aufheben dieser Zuordnung.
-
Ein Cluster mit einer Plattformversion, die mindestens den Versionen entspricht, die in den Voraussetzungen des Themas Zulassen des Zugriffs auf Kubernetes-Objekte in Ihrem Amazon EKS-Cluster durch IAM-Rollen oder -Benutzer aufgeführt sind.
-
Version
0.184.0
oder höher deseksctl
-Befehlszeilen-Tools, das auf Ihrem Computer oder in der AWS CloudShell installiert ist. Informationen zum Installieren und Aktualisieren voneksctl
finden Sie in der Dokumentation zueksctl
unter Installation. -
Kubernetes-Berechtigungen zum Ändern von
aws-auth
ConfigMap
imkube-system
-Namespace. -
Eine AWS Identity and Access Management Rolle oder ein Benutzer mit den folgenden Berechtigungen:
CreateAccessEntry
undListAccessEntries
. Weitere Informationen finden Sie in der Service-Authorization-Referenz unter Von Amazon Elastic Kubernetes Service definierte Aktionen.
So migrieren Sie einen Eintrag von aws-auth ConfigMap
zu einem Zugriffseintrag
-
Sehen Sie sich die vorhandenen Einträge in
aws-auth ConfigMap
an. Ersetzen Siemy-cluster
durch den Namen Ihres Clusters.eksctl get iamidentitymapping --cluster
my-cluster
Eine Beispielausgabe sieht wie folgt aus.
ARN USERNAME GROUPS ACCOUNT arn:aws:iam::
111122223333
:role/EKS-my-cluster-Admins Admins system:masters arn:aws:iam::111122223333
:role/EKS-my-cluster-my-namespace-Viewers my-namespace-Viewers Viewers arn:aws:iam::111122223333
:role/EKS-my-cluster-self-managed-ng-1 system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes arn:aws:iam::111122223333
:user/my-user my-user arn:aws:iam::111122223333
:role/EKS-my-cluster-fargateprofile1 system:node:{{SessionName}} system:bootstrappers,system:nodes,system:node-proxier arn:aws:iam::111122223333
:role/EKS-my-cluster-managed-ng system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes -
Erstellen Sie Zugriffseinträge für alle von Ihnen erstellten
ConfigMap
-Einträge aus der vorherigen Ausgabe. Achten Sie beim Erstellen der Zugriffseinträge darauf, fürARN
,USERNAME
,GROUPS
undACCOUNT
die gleichen Werte anzugeben, die in der Ausgabe zurückgegeben wurden. Im Falle der Beispielausgabe würden Sie Zugriffseinträge für alle Einträge außer den letzten beiden Einträgen erstellen, da diese von Amazon EKS für ein Fargate-Profil bzw. für eine verwaltete Knotengruppe erstellt wurden. -
Löschen Sie die Einträge aus
ConfigMap
für alle von Ihnen erstellten Zugriffseinträge. Wenn Sie den Eintrag nicht ausConfigMap
löschen, wird derConfigMap
-Eintrag durch die Einstellungen für den Zugriffseintrag für den IAM-Prinzipal-ARN außer Kraft gesetzt. Ersetzen Sie111122223333
durch Ihre AWS-Konto ID undEKS- my-cluster-my-namespace -Viewers
durch den Namen der Rolle im Eintrag in Ihrem.ConfigMap
Wenn der Eintrag, den Sie entfernen möchten, für einen IAM-Benutzer und nicht für eine IAM-Rolle ist, ersetzen Sie ihn durchuser
undEKS
- -Viewersrole
durch den Benutzernamen. my-cluster-my-namespaceeksctl delete iamidentitymapping --arn arn:aws:iam::
111122223333
:role/EKS-my-cluster-my-namespace-Viewers
--clustermy-cluster