Gérer les entrées d'accès - Amazon EKS

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer les entrées d'accès

Prérequis
  • Découverte des options d'accès au cluster pour votre cluster Amazon EKS. Pour plus d’informations, consultez Autoriser l'accès aux Kubernetes API .

  • Un cluster Amazon EKS existant. Pour en déployer un, consultez Démarrer avec Amazon EKS. Pour utiliser les entrées d'accès et modifier le mode d'authentification d'un cluster, celui-ci doit avoir une version de plateforme identique ou ultérieure à la version répertoriée dans le tableau suivant, ou une version Kubernetes postérieure aux versions répertoriées dans le tableau.

    Version de Kubernetes Version de plateforme
    1.30 eks.2
    1.29 eks.1
    1.28 eks.6
    1.27 eks.10
    1.26 eks.11
    1.25 eks.12
    1.24 eks.15
    1.23 eks.17

    Vous pouvez vérifier la version actuelle de votre Kubernetes et la version de plateforme en remplaçant my-cluster dans la commande suivante par le nom de votre cluster et en exécutant la commande modifiée : aws eks describe-cluster --name my-cluster --query 'cluster.{"Kubernetes Version": version, "Platform Version": platformVersion}'.

    Important

    Une fois qu'Amazon EKS a mis à jour votre cluster vers la version de plateforme répertoriée dans le tableau, Amazon EKS crée une entrée d'accès avec des autorisations d'administrateur au cluster pour le principal IAM qui a initialement créé le cluster. Si vous ne souhaitez pas que ce principal IAM dispose d'autorisations d'administrateur sur le cluster, supprimez l'entrée d'accès créée par Amazon EKS.

    Pour les clusters dont les versions de plateforme sont antérieures à celles répertoriées dans le tableau précédent, le créateur du cluster est toujours un administrateur de cluster. Il n'est pas possible de supprimer les autorisations d'administrateur de cluster du rôle IAM ou de l'utilisateur IAM qui a créé le cluster.

  • Un principal IAM disposant des autorisations suivantes pour votre cluster :CreateAccessEntry, ListAccessEntries, DescribeAccessEntry, DeleteAccessEntry et UpdateAccessEntry. Pour plus d'informations sur les autorisations Amazon EKS, consultez la rubrique Actions définies par Amazon Elastic Kubernetes Service dans la Référence des autorisations de service.

  • Un principal IAM existant pour lequel créer une entrée d'accès, ou une entrée d'accès existante à mettre à jour ou à supprimer.

Configuration des entrées d'accès

Pour commencer à utiliser les entrées d'accès, vous devez remplacer le mode d'authentification du cluster par les modes API_AND_CONFIG_MAP ou API. Cela ajoute l'API pour les entrées d'accès.

AWS Management Console
Pour créer une entrée d'accès
  1. Ouvrez la console Amazon EKS à l'adresse https://console.aws.amazon.com/eks/home#/clusters.

  2. Choisissez le nom du cluster pour lequel vous souhaitez créer une entrée d'accès.

  3. Choisissez l'onglet Access.

  4. Le mode d'authentification indique le mode d'authentification actuel du cluster. Si le mode indique EKS API, vous pouvez déjà ajouter des entrées d'accès et vous pouvez ignorer les étapes restantes.

  5. Choisissez Gérer l'accès.

  6. Pour le mode d'authentification du cluster, sélectionnez un mode avec l'EKS API. Notez que vous ne pouvez pas revenir à un mode d'authentification qui supprime l'EKS API et les entrées d'accès.

  7. Sélectionnez Enregistrer les modifications. Amazon EKS commence à mettre à jour le cluster, le statut du cluster passe à Updating et le changement est enregistré dans l'onglet Historique de mise à jour.

  8. Attendez que le statut du cluster revienne à Active. Lorsque le cluster est Active, vous pouvez suivre les étapes décrites dans Création d'entrées d'accès pour ajouter l'accès au cluster pour les principaux IAM.

AWS CLI
Prérequis

La dernière version de la AWS CLI v1 installée et configurée sur votre appareil ou AWS CloudShell. AWS CLI La v2 ne prend pas en charge les nouvelles fonctionnalités depuis quelques jours. Vous pouvez vérifier votre version actuelle avec aws --version | cut -d / -f2 | cut -d ' ' -f1. Les gestionnaires de package, par exemple yum, apt-get, Homebrew ou macOS, sont souvent antérieurs de plusieurs versions à la AWS CLI. Pour installer la dernière version, reportez-vous à la section Installation, mise à jour et désinstallation de la AWS CLI configuration rapide aws configure dans le guide de l' AWS Command Line Interface utilisateur. La AWS CLI version installée dans le AWS CloudShell peut également être en retard de plusieurs versions par rapport à la dernière version. Pour le mettre à jour, consultez la section Installation AWS CLI dans votre répertoire personnel dans le guide de AWS CloudShell l'utilisateur.

  1. Exécutez la commande suivante. Remplacez my-cluster par le nom de votre cluster. Si vous souhaitez désactiver définitivement la méthode ConfigMap, remplacez API_AND_CONFIG_MAP par API.

    Amazon EKS commence à mettre à jour le cluster, le statut du cluster passe à UPDATING et le changement est enregistré dans aws eks list-updates.

    aws eks update-cluster-config --name my-cluster --access-config authenticationMode=API_AND_CONFIG_MAP
  2. Attendez que le statut du cluster revienne à Active. Lorsque le cluster est Active, vous pouvez suivre les étapes décrites dans Création d'entrées d'accès pour ajouter l'accès au cluster pour les principaux IAM.

Création d'entrées d'accès

Considérations

Avant de créer des entrées d'accès, tenez compte des éléments suivants :

  • Une entrée d'accès inclut l'Amazon Resource Name (ARN) d'un et d'un seul principal IAM existant. Un principal IAM ne peut pas être inclus dans plus d'une entrée d'accès. Considérations supplémentaires concernant l'ARN que vous spécifiez :

    • Les bonnes pratiques IAM recommandent d'accéder à votre cluster en utilisant des rôles IAM dotés d'informations d'identification à court terme, plutôt que des utilisateurs IAM dotés d'informations d'identification à long terme. Pour plus d'informations, voir Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires dans le guide de l'utilisateur IAM.

    • Si l'ARN est destiné à un rôle IAM, il peut inclure un chemin. Les ARN dans les entrées ConfigMap aws-auth ne peuvent pas inclure de chemin. Par exemple, votre ARN peut être arn:aws:iam::111122223333:role/development/apps/my-role ouarn:aws:iam::111122223333:role/my-role.

    • Si le type de l'entrée d'accès est autre que STANDARD (voir la prochaine considération concernant les types), l'ARN doit être identique à celui dans Compte AWS lequel se trouve votre cluster. Si c'est le casSTANDARD, l'ARN peut être identique ou Compte AWS différent du compte dans lequel se trouve votre cluster.

    • Vous ne pouvez pas modifier le principal IAM une fois l'entrée d'accès créée.

    • Si vous supprimez le principal IAM avec cet ARN, l'entrée d'accès n'est pas automatiquement supprimée. Nous vous recommandons de supprimer l'entrée d'accès avec un ARN pour un principal IAM que vous supprimez. Si vous ne supprimez pas l'entrée d'accès et que vous recréez le principal IAM, même s'il possède le même ARN, l'entrée d'accès ne fonctionnera pas. En effet, même si l'ARN est le même pour le principal IAM recréé, le roleID or userID (vous pouvez le constater avec la aws sts get-caller-identity AWS CLI commande) est différent pour le principal IAM recréé de ce qu'il était pour le principal IAM d'origine. Même si vous ne voyez pas l'roleID ou l'userID du principal IAM d'une entrée d'accès, Amazon EKS la stocke avec l'entrée d'accès.

  • Chaque entrée d'accès possède un type. Vous pouvez spécifier EC2 Linux (pour un rôle IAM utilisé avec des nœuds autogérés Linux ou Bottlerocket), EC2 Windows (pour un rôle IAM utilisé avec des nœuds autogérés Windows), FARGATE_LINUX (pour un rôle IAM utilisé avec) ou en tant que type. AWS Fargate (Fargate)STANDARD Si vous ne spécifiez pas de type, Amazon EKS définit automatiquement le type sur STANDARD. Il n'est pas nécessaire de créer une entrée d'accès pour un rôle IAM utilisé pour un groupe de nœuds gérés ou un profil Fargate, car Amazon EKS ajoute des entrées pour ces rôles à la ConfigMap aws-auth, quelle que soit la version de plateforme utilisée par votre cluster.

    Vous ne pouvez pas modifier le type une fois l'entrée d'accès créée.

  • Si le type d'entrée d'accès est STANDARD, vous pouvez spécifier un nom d'utilisateur pour l'entrée d'accès. Si vous ne spécifiez aucune valeur pour le nom d'utilisateur, Amazon EKS définit l'une des valeurs suivantes pour vous, en fonction du type d'entrée d'accès et du fait que le principal IAM que vous avez spécifié est un rôle IAM ou un utilisateur IAM. À moins que vous n'ayez une raison précise de spécifier votre propre nom d'utilisateur, nous vous recommandons de ne pas en indiquer et de laisser Amazon EKS le générer automatiquement pour vous. Si vous spécifiez votre propre nom d'utilisateur :

    • Il ne peut pas commencer par system:, eks:, aws:, amazon: ou iam:.

    • Si le nom d'utilisateur correspond à un rôle IAM, nous vous recommandons d'ajouter {{SessionName}} à la fin de votre nom d'utilisateur. Si vous ajoutez un nom d'utilisateur {{SessionName}} à votre nom d'utilisateur, celui-ci doit inclure deux points avant {{SessionName}}. Lorsque ce rôle est assumé, le nom de la session spécifiée lors de l'attribution du rôle est automatiquement transmis au cluster et apparaît dans CloudTrail les journaux. Par exemple, vous ne pouvez pas avoir le nom d'utilisateur john{{SessionName}}. Le nom d'utilisateur doit être :john{{SessionName}} ou jo:hn{{SessionName}}. Il suffit que les deux-points soient devant {{SessionName}}. Le nom d'utilisateur généré par Amazon EKS dans le tableau suivant inclut un ARN. Comme un ARN inclut les deux-points, il répond à cette exigence. Les deux-points ne sont pas obligatoires si vous n'incluez pas {{SessionName}} dans votre nom d'utilisateur.

    Type du principal IAM Type Valeur du nom d'utilisateur définie automatiquement par Amazon EKS
    Utilisateur STANDARD

    ARN de l'utilisateur IAM. Exemple : arn:aws:iam::111122223333:user/my-user

    Rôle STANDARD

    L'ARN STS du rôle lorsqu'il est assumé. Amazon EKS ajoute {{SessionName}} au rôle.

    Exemple : arn:aws:sts::111122223333:assumed-role/my-role/{{SessionName}}

    Si l'ARN du rôle que vous avez spécifié contenait un chemin, Amazon EKS le supprime dans le nom d'utilisateur généré.

    Rôle EC2 Linux ou EC2 Windows

    system:node:{{EC2PrivateDNSName}}

    Rôle FARGATE_LINUX

    system:node:{{SessionName}}

    Vous ne pouvez pas modifier le nom d'utilisateur une fois l'entrée d'accès créée.

  • Si le type d'entrée d'accès est STANDARD et que vous souhaitez utiliser l'autorisation Kubernetes RBAC, vous pouvez ajouter un ou plusieurs noms de groupe à l'entrée d'accès. Après avoir créé une entrée d'accès, vous pouvez ajouter et supprimer des noms de groupes. Pour que le principal IAM ait accès aux objets Kubernetes de votre cluster, vous devez créer et gérer des objets d'autorisation basée sur les rôles (RBAC) Kubernetes. Créez des objets Kubernetes RoleBinding ou ClusterRoleBinding sur votre cluster qui spécifient le nom du groupe sous forme de subject pour kind: Group. Kubernetes autorise le principal IAM à accéder à tous les objets de cluster que vous avez spécifiés dans un objet Kubernetes Role ou ClusterRole que vous avez également spécifié dans roleRef de votre liaison. Si vous spécifiez des noms de groupe, nous vous recommandons de bien connaître les objets d'autorisation basée sur les rôles (RBAC) Kubernetes. Pour plus d'informations, consultez Utilisation de l'autorisation RBAC dans la documentation Kubernetes.

    Important

    Amazon EKS ne confirme pas que les objets RBAC Kubernetes qui existent sur votre cluster incluent les noms de groupe que vous spécifiez.

    Au lieu, ou en plus, de Kubernetes autorisant l'accès principal IAM aux objets Kubernetes de votre cluster, vous pouvez associer les politiques d'accès Amazon EKS à une entrée d'accès. Amazon EKS autorise les principaux IAM à accéder aux objets Kubernetes de votre cluster avec les autorisations définies dans la stratégie d'accès. Vous pouvez étendre les autorisations d'une stratégie d'accès aux espaces de noms Kubernetes que vous spécifiez. L'utilisation de stratégies d'accès ne vous oblige pas à gérer les objets RBAC Kubernetes. Pour plus d’informations, consultez Associer les stratégies d'accès aux entrées d'accès et les dissocier des entrées d'accès.

  • Si vous créez une entrée d'accès avec le type EC2 Linux ou EC2 Windows, le principal IAM qui crée l'entrée d'accès doit avoir l'autorisation iam:PassRole. Pour plus d'informations, consultez Octroi d'autorisations à un utilisateur pour transférer un rôle à un Service AWS dans le Guide de l'utilisateur IAM.

  • À l'instar du comportement IAM standard, la création et les mises à jour des entrées d'accès sont finalement cohérentes et prennent effet au bout de plusieurs secondes après que l'appel API initial a été renvoyé avec succès. Vous devez concevoir vos applications de sorte qu'elles tiennent compte de ces retards potentiels. Nous vous recommandons de ne pas inclure les créations ou mises à jour des entrées d'accès dans les chemins de code critique et haute disponibilité de votre application. Au lieu de cela, procédez aux modifications dans une routine d'initialisation ou d'installation distincte que vous exécutez moins souvent. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent.

  • Les entrées d'accès ne prennent pas en charge les rôles liés aux services. Vous ne pouvez pas créer d'entrées d'accès dont l'ARN principal est un rôle lié à un service. Vous pouvez identifier les rôles liés à un service par leur ARN, qui est au formatarn:aws:iam::*:role/aws-service-role/*.

Vous pouvez créer une entrée d'accès à l'aide du AWS Management Console ou du AWS CLI.

AWS Management Console
Pour créer une entrée d'accès
  1. Ouvrez la console Amazon EKS à l'adresse https://console.aws.amazon.com/eks/home#/clusters.

  2. Choisissez le nom du cluster pour lequel vous souhaitez créer une entrée d'accès.

  3. Choisissez l'onglet Access.

  4. Choisissez Créer une entrée d'accès.

  5. Pour le principal IAM, sélectionnez un utilisateur ou un rôle IAM existant. Les bonnes pratiques IAM recommandent d'accéder à votre cluster en utilisant des rôles IAM dotés d'informations d'identification à court terme, plutôt que des utilisateurs IAM dotés d'informations d'identification à long terme. Pour plus d'informations, voir Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires dans le guide de l'utilisateur IAM.

  6. Pour Type, si l'entrée d'accès concerne le rôle de nœud utilisé pour les nœuds Amazon EC2 autogérés, sélectionnez EC2 Linux ou EC2 Windows. Dans le cas contraire, acceptez le type par défaut (Standard).

  7. Si le type que vous avez choisi est Standard et que vous souhaitez spécifier un nom d'utilisateur, saisissez-le.

  8. Si le type que vous avez choisi est Standard et que vous souhaitez utiliser l'autorisation Kubernetes RBAC pour le principal IAM, spécifiez un ou plusieurs noms pour Groupes. Si vous ne spécifiez aucun nom de groupe et que vous souhaitez utiliser l'autorisation Amazon EKS, vous pouvez associer une stratégie d'accès ultérieurement ou une fois l'entrée d'accès créée.

  9. (Facultatif) Pour Balises, attribuez des étiquettes à l'entrée d'accès. Par exemple, pour faciliter la recherche de toutes les ressources portant la même balise.

  10. Choisissez Suivant.

  11. Sur la page Ajouter une stratégie d'accès, si le type que vous avez choisi était Standard et que vous souhaitez qu'Amazon EKS autorise le principal IAM à avoir des autorisations sur les objets Kubernetes de votre cluster, effectuez les étapes suivantes. Sinon, choisissez Next (Suivant).

    1. Pour Nom de la politique, choisissez une stratégie d'accès. Vous ne pouvez pas consulter les autorisations des stratégies d'accès, mais celles-ci incluent des autorisations similaires à celles des objets ClusterRole destinés aux utilisateurs Kubernetes. Pour plus d'informations, consultez la section Rôles destinés aux utilisateurs dans la documentation Kubernetes.

    2. Choisissez l'une des options suivantes :

      • Cluster : choisissez cette option si vous souhaitez qu'Amazon EKS autorise le principal IAM à disposer des autorisations définies dans la stratégie d'accès pour tous les objets Kubernetes de votre cluster.

      • Espace de noms Kubernetes : choisissez cette option si vous souhaitez qu'Amazon EKS autorise le principal IAM à disposer des autorisations définies dans la stratégie d'accès pour tous les objets Kubernetes dans un espace de nom Kubernetes spécifique de votre cluster. Pour Espace de noms, entrez le nom de l'espace de noms Kubernetes de votre cluster. Si vous souhaitez ajouter des espaces de noms supplémentaires, choisissez Ajouter un nouvel espace de noms et entrez son nom.

    3. Pour ajouter des politiques supplémentaires, Sélectionnez Ajouter une politique. Vous pouvez définir la portée de chaque politique différemment, mais vous ne pouvez ajouter chaque politique qu'une seule fois.

    4. Choisissez Suivant.

  12. Vérifiez la configuration de votre entrée d'accès. Si quelque chose semble incorrect, choisissez Précédent pour revenir en arrière et corriger l'erreur. Si la configuration est correcte, choisissez Créer.

AWS CLI
Prérequis

La dernière version de la AWS CLI v1 installée et configurée sur votre appareil ou AWS CloudShell. AWS CLI La v2 ne prend pas en charge les nouvelles fonctionnalités depuis quelques jours. Vous pouvez vérifier votre version actuelle avec aws --version | cut -d / -f2 | cut -d ' ' -f1. Les gestionnaires de package, par exemple yum, apt-get, Homebrew ou macOS, sont souvent antérieurs de plusieurs versions à la AWS CLI. Pour installer la dernière version, reportez-vous à la section Installation, mise à jour et désinstallation de la AWS CLI configuration rapide aws configure dans le guide de l' AWS Command Line Interface utilisateur. La AWS CLI version installée dans le AWS CloudShell peut également être en retard de plusieurs versions par rapport à la dernière version. Pour le mettre à jour, consultez la section Installation AWS CLI dans votre répertoire personnel dans le guide de AWS CloudShell l'utilisateur.

Pour créer une entrée d'accès

Vous pouvez utiliser l'un des exemples suivants pour créer des entrées d'accès :

  • Créez une entrée d'accès pour un groupe de nœuds Linux Amazon EC2 autogéré. Remplacez my-cluster par le nom de votre cluster, 111122223333 par votre Compte AWS identifiant et eks-my-cluster-self-managed-NG-1 par le nom du rôle IAM de votre nœud. Si votre groupe de nœuds est un groupe de nœuds Windows, remplacez EC2_Linux par EC2_Windows.

    aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1 --type EC2_Linux

    Vous ne pouvez pas utiliser l'option --kubernetes-groups lorsque vous spécifiez un type autre que STANDARD. Vous ne pouvez pas associer de stratégie d'accès à cette entrée d'accès, car son type est une valeur autre que STANDARD.

  • Créez une entrée d'accès qui autorise un rôle IAM qui n'est pas utilisé pour un groupe de nœuds autogérés Amazon EC2, avec lequel vous souhaitez que Kubernetes autorise l'accès à votre cluster. Remplacez my-cluster par le nom de votre cluster, 111122223333 par votre Compte AWS ID et my-role par le nom de votre rôle IAM. Remplacez Utilisateurs par le nom d'un groupe que vous avez spécifié dans un objet Kubernetes RoleBinding ou ClusterRoleBinding de votre cluster.

    aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role --type STANDARD --user Viewers --kubernetes-groups Viewers
  • Créez une entrée d'accès qui permet à un utilisateur IAM de s'authentifier auprès de votre cluster. Cet exemple est fourni car c'est possible, bien que les bonnes pratiques IAM recommandent d'accéder à votre cluster en utilisant des rôles IAM dotés d'informations d'identification à court terme, plutôt que des utilisateurs IAM dotés d'informations d'identification à long terme. Pour plus d'informations, voir Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires dans le guide de l'utilisateur IAM.

    aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:user/my-user --type STANDARD --username my-user

    Si vous souhaitez que cet utilisateur dispose d'un accès à votre cluster supérieur aux autorisations associées aux rôles de découverte d'API Kubernetes, vous devez associer une stratégie d'accès à l'entrée d'accès, car l'option --kubernetes-groups n'est pas utilisée. Pour plus d'informations, consultez Associer les stratégies d'accès aux entrées d'accès et les dissocier des entrées d'accès et les rôles de découverte d'API dans la documentation Kubernetes.

Mise à jour des entrées d'accès

Vous pouvez mettre à jour une entrée d'accès à l'aide du AWS Management Console ou du AWS CLI.

AWS Management Console
Pour mettre à jour une entrée d'accès
  1. Ouvrez la console Amazon EKS à l'adresse https://console.aws.amazon.com/eks/home#/clusters.

  2. Choisissez le nom du cluster pour lequel vous souhaitez créer une entrée d'accès.

  3. Choisissez l'onglet Access.

  4. Choisissez l'entrée d'accès que vous voulez mettre à jour.

  5. Choisissez Modifier.

  6. Pour Nom d'utilisateur, vous pouvez modifier la valeur existante.

  7. Pour Groupes, vous pouvez supprimer les noms de groupes existants ou en ajouter de nouveaux. Si les noms de groupes suivants existent, ne les supprimez pas : system:nodes ou system:bootstrappers. La suppression de ces groupes peut entraîner un dysfonctionnement de votre cluster. Si vous ne spécifiez aucun nom de groupe et que vous souhaitez utiliser l'autorisation Amazon EKS, associez une stratégie d'accès ultérieurement.

  8. Pour Balises, vous pouvez attribuer des étiquettes à l'entrée d'accès. Par exemple, pour faciliter la recherche de toutes les ressources portant la même balise. Vous pouvez également supprimer des balises existantes.

  9. Sélectionnez Enregistrer les modifications.

  10. Si vous souhaitez associer une stratégie d'accès à l'entrée, consultez Associer les stratégies d'accès aux entrées d'accès et les dissocier des entrées d'accès.

AWS CLI
Prérequis

Version 2.12.3 ou version ultérieure 1.27.160 ou version ou ultérieure du AWS Command Line Interface (AWS CLI) installé et configuré sur votre appareil ou AWS CloudShell. Pour vérifier votre version actuelle, utilisez aws --version | cut -d / -f2 | cut -d ' ' -f1. Les gestionnaires de package, par exemple yum, apt-get, Homebrew ou macOS, sont souvent antérieurs de plusieurs versions à la AWS CLI. Pour installer la dernière version, consultez Installation, mise à jour et désinstallation de l’ AWS CLI et Configuration rapide avec aws configure dans le Guide de l’utilisateur AWS Command Line Interface . La AWS CLI version installée AWS CloudShell peut également avoir plusieurs versions de retard par rapport à la dernière version. Pour le mettre à jour, consultez la section Installation AWS CLI dans votre répertoire personnel dans le guide de AWS CloudShell l'utilisateur.

Pour mettre à jour une entrée d'accès

Remplacez my-cluster par le nom de votre cluster, 111122223333 par votre Compte AWS ID et EKS-my-cluster-my-namespace-Viewers par le nom d'un rôle IAM.

aws eks update-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --kubernetes-groups Viewers

Vous ne pouvez pas utiliser l'option --kubernetes-groups si le type de l'entrée d'accès est une valeur autre que STANDARD. Vous ne pouvez pas non plus associer une stratégie d'accès à une entrée d'un type autre que STANDARD.

Suppression d'entrées d'accès

Si vous découvrez que vous avez supprimé une entrée d'accès par erreur, vous pouvez toujours la recréer. Si l'entrée d'accès que vous supprimez est associée à des stratégies d'accès, les associations sont automatiquement supprimées. Il n'est pas nécessaire de dissocier les stratégies d'accès d'une entrée d'accès avant de supprimer cette entrée d'accès.

Vous pouvez supprimer une entrée d'accès à l'aide du AWS Management Console ou du AWS CLI.

AWS Management Console
Pour supprimer une entrée d'accès
  1. Ouvrez la console Amazon EKS à l'adresse https://console.aws.amazon.com/eks/home#/clusters.

  2. Choisissez le nom du cluster dont vous souhaitez supprimer une entrée d'accès.

  3. Choisissez l'onglet Access.

  4. Dans la liste des entrées d'accès, choisissez l'entrée d'accès que vous souhaitez supprimer.

  5. Sélectionnez Delete (Supprimer).

  6. Dans la boîte de dialogue de confirmation, choisissez Delete (Supprimer).

AWS CLI
Prérequis

Version 2.12.3 ou version ultérieure 1.27.160 ou version ou ultérieure du AWS Command Line Interface (AWS CLI) installé et configuré sur votre appareil ou AWS CloudShell. Pour vérifier votre version actuelle, utilisez aws --version | cut -d / -f2 | cut -d ' ' -f1. Les gestionnaires de package, par exemple yum, apt-get, Homebrew ou macOS, sont souvent antérieurs de plusieurs versions à la AWS CLI. Pour installer la dernière version, consultez Installation, mise à jour et désinstallation de l’ AWS CLI et Configuration rapide avec aws configure dans le Guide de l’utilisateur AWS Command Line Interface . La AWS CLI version installée AWS CloudShell peut également avoir plusieurs versions de retard par rapport à la dernière version. Pour le mettre à jour, consultez la section Installation AWS CLI dans votre répertoire personnel dans le guide de AWS CloudShell l'utilisateur.

Pour supprimer une entrée d'accès

Remplacez my-cluster par le nom de votre cluster, 111122223333 par votre Compte AWS ID et my-role par le nom du rôle IAM auquel vous ne souhaitez plus avoir accès à votre cluster.

aws eks delete-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role