Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Migrazione delle voci `aws-auth ConfigMap` esistenti alle voci di accesso

Se hai aggiunto voci aws-auth ConfigMap al tuo cluster, ti consigliamo di creare voci di accesso per le voci esistenti nel tuo aws-authConfigMap. Dopo aver creato le voci di accesso, puoi rimuovere le voci da ConfigMap. Non è possibile associare le politiche di accesso alle voci in aws-authConfigMap. Se desideri associare policy di accesso ai tuoi principali IAM, crea voci di accesso.

Importante

Quando un cluster è in modalità di API_AND_CONFIGMAP autenticazione ed è presente una mappatura per lo stesso ruolo IAM sia nelle voci che nelle voci di accesso, il ruolo utilizzerà la mappatura della voce di accesso per l'autenticazione. aws-auth ConfigMap Le voci di accesso hanno la precedenza sulle ConfigMap voci dello stesso principale IAM.
Prima di rimuovere aws-auth ConfigMap le voci esistenti create da Amazon EKS per un gruppo di nodi gestiti o un profilo Fargate nel tuo cluster, ricontrolla se nel tuo cluster Amazon EKS esistono le voci di accesso corrette per quelle risorse specifiche. Se rimuovi le voci che Amazon EKS ha creato in ConfigMap senza avere le voci di accesso equivalenti, il cluster non funzionerà correttamente.

Prerequisiti

Familiarità con le voci di accesso e le policy di accesso. Per ulteriori informazioni, consultare Concedi agli utenti IAM l'accesso a Kubernetes con le voci di accesso EKS e Associare le politiche di accesso alle voci di accesso.
Un cluster esistente con una versione della piattaforma uguale o successiva alle versioni elencate nei Prerequisiti dell'Concedi agli utenti IAM l'accesso a Kubernetes con le voci di accesso EKSargomento.
La versione 0.212.0 o quelle successive dello strumento a riga di comando eksctl deve essere installata sul dispositivo o nella AWS CloudShell. Per l'installazione o l'aggiornamento di eksctl, consulta la sezione Installation nella documentazione di eksctl.
Autorizzazioni Kubernetes per modificarle nel namespace. aws-auth ConfigMap kube-system
Un ruolo o un utente di AWS Identity and Access Management con le seguenti autorizzazioni: CreateAccessEntry eListAccessEntries. Per ulteriori informazioni, consulta Actions defined by Amazon Elastic Kubernetes Service nella Documentazione di riferimento per l'autorizzazione ai servizi.

`eksctl`

Verifica le voci esistenti in aws-auth ConfigMap. Sostituisci my-cluster con il nome del cluster.


eksctl get iamidentitymapping --cluster my-cluster

Di seguito viene riportato un output di esempio:

ARN                                                                                             USERNAME                                GROUPS                                                  ACCOUNT
arn:aws: iam::111122223333:role/EKS-my-cluster-Admins                                            Admins                                  system:masters
arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers                              my-namespace-Viewers                    Viewers
arn:aws: iam::111122223333:role/EKS-my-cluster-self-managed-ng-1                                 system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes
arn:aws: iam::111122223333:user/my-user                                                          my-user
arn:aws: iam::111122223333:role/EKS-my-cluster-fargateprofile1                                   system:node:{{SessionName}}             system:bootstrappers,system:nodes,system:node-proxier
arn:aws: iam::111122223333:role/EKS-my-cluster-managed-ng                                        system:node:{{EC2PrivateDNSName}}       system:bootstrappers,system:nodes

Creare voci di accessoper tutte le ConfigMap voci create e restituite nell'output precedente. Quando crei le voci di accesso, assicurati di specificare gli stessi valori per ARN, USERNAME, GROUPS e ACCOUNT restituiti nell'output. Nell'output di esempio, dovresti creare voci di accesso per tutte le voci tranne le ultime due, poiché tali voci sono state create da Amazon EKS per un profilo Fargate e un gruppo di nodi gestito.
Elimina le voci da ConfigMap per tutte le voci di accesso che hai creato. Se non elimini la voce daConfigMap, le impostazioni per la voce di accesso per l'ARN principale IAM hanno la precedenza sulla voce. ConfigMap Sostituiscila 111122223333 con l'ID del tuo AWS account e EKS-my-cluster-my-namespace-Viewers con il nome del ruolo nella voce del tuo. ConfigMap Se la voce che stai rimuovendo riguarda un utente IAM, anziché un ruolo IAM, role sostituiscila con user e EKS-my-cluster-my-namespace-Viewers con il nome utente.
```
eksctl delete iamidentitymapping --arn arn:aws: iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --cluster my-cluster
```

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Associa le politiche di accesso

Rivedi le politiche di accesso

Migrazione delle voci aws-auth ConfigMap esistenti alle voci di accesso

Importante

Prerequisiti

eksctl

Migrazione delle voci `aws-auth ConfigMap` esistenti alle voci di accesso

`eksctl`