Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Standardmäßig erstellte Kubernetes-Amazon-EKS-Rollen und -Benutzer
Wenn Sie einen Kubernetes-Cluster erstellen, werden für das ordnungsgemäße Funktionieren von Kubernetes mehrere Kubernetes Standardidentitäten auf diesem Cluster erstellt. Amazon EKS erstellt Kubernetes-Identitäten für jede seiner Standardkomponenten. Die Identitäten stellen Kubernetes rollenbasierte Autorisierungssteuerung (RBAC) für die Cluster-Komponenten bereit. Weitere Informationen finden Sie unter Using RBAC authorization
Wenn Sie optionale Add-ons zu Ihrem Cluster installieren, werden Ihrem Cluster möglicherweise zusätzliche Kubernetes-Identitäten hinzugefügt. Weitere Informationen zu Identitäten, die in diesem Thema nicht behandelt werden, finden Sie in der Dokumentation des Add-Ons.
Sie können die Liste der von Amazon EKS erstellten Kubernetes-Identitäten auf Ihrem Cluster mit dem AWS Management Console - oder kubectl
-Befehlszeilentool anzeigen. Alle Benutzeridentitäten erscheinen in den kube
Audit-Logs, die Ihnen über Amazon CloudWatch zur Verfügung stehen.
- AWS Management Console
-
Voraussetzung
Der IAM-Prinzipal, den Sie verwenden, muss über die in Erforderliche Berechtigungen beschriebenen Berechtigungen verfügen.
Um von Amazon EKS erstellte Identitäten anzuzeigen, verwenden Sie den AWS Management Console
Öffnen Sie die Amazon-EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters
. -
Wählen Sie in der Liste Clusters (Cluster) den Cluster aus, der die anzuzeigenden Identitäten enthält.
-
Wählen Sie die Registerkarte Resources (Ressourcen) aus.
-
Wählen Sie unter Resource types (Ressourcentypen) die Option Authorization (Autorisierung) aus.
-
Wählen Sie ClusterRoles, ClusterRoleBindings, Rollen oder RoleBindings. Alle Ressourcen, denen eks vorangestellt ist, wurden von Amazon EKS erstellt. Weitere von Amazon EKS erstellte Identitätsressourcen sind:
Der ClusterRoleund ClusterRoleBindingbenannte aws-node. Die aws-node-Ressourcen unterstützen das Amazon VPC CNI plugin for Kubernetes, das Amazon EKS auf allen Clustern installiert.
-
Ein ClusterRolebenannter vpc-resource-controller-roleund ein benannter. ClusterRoleBindingvpc-resource-controller-rolebinding Diese Ressourcen unterstützen den Amazon-VPC-Ressourcencontroller
, den Amazon EKS auf allen Clustern installiert.
Zusätzlich zu den Ressourcen, die Sie in der Konsole sehen, sind die folgenden speziellen Benutzeridentitäten in Ihrem Cluster vorhanden, obwohl sie in der Konfiguration des Clusters nicht sichtbar sind:
-
eks:cluster-bootstrap
– Wird fürkubectl
-Operationen während des Cluster-Bootstraps verwendet. -
eks:support-engineer
– Wird für Cluster-Management-Operationen verwendet.
-
Wählen Sie eine bestimmte Ressource aus, um Details dazu anzuzeigen. Standardmäßig werden Ihnen Informationen in der Structured view (strukturierten Ansicht) angezeigt. In der oberen rechten Ecke der Detailseite können Sie die Raw view (Rohansicht) auswählen, um alle Informationen für die Ressource anzuzeigen.
- Kubectl
-
Voraussetzung
Die Entität, mit der Sie AWS Identity and Access Management ((IAM) oder OpenID Connect (OIDC)) die Kubernetes Ressourcen im Cluster auflisten, muss von IAM oder Ihrem OIDC Identitätsanbieter authentifiziert werden. Der Entität müssen Berechtigungen zur Verwendung der Verben Kubernetes
get
undlist
für dieRole
-,ClusterRole
-,RoleBinding
-, andClusterRoleBinding
-Ressourcen in Ihrem Cluster gewährt werden, mit denen die Entität arbeiten soll. Weitere Informationen zum Gewähren von Zugriff auf IAM-Entitäten auf Ihren Cluster finden Sie unter Zugriff auf Kubernetes APIs gewähren . Weitere Informationen zum Gewähren von Zugriff auf Ihren Cluster durch Entitäten, die von Ihrem eigenen OIDC-Anbieter authentifiziert wurden, finden Sie unterr Authentifizieren Sie Benutzer für Ihren Cluster von einem OpenID Connect Identitätsanbieter.So zeigen Sie von Amazon EKS erstellte Identitäten mit dem
kubectl
anFühren Sie den Region aus, die Sie anzeigen möchten. Alle zurückgegebenen Ressourcen, denen eks vorangestellt ist, wurden von Amazon EKS erstellt. Zusätzlich zu den Ressourcen, die in der Ausgabe der Befehle zurückgegeben werden, sind die folgenden speziellen Benutzeridentitäten in Ihrem Cluster vorhanden, obwohl sie in der Konfiguration des Clusters nicht sichtbar sind:
-
eks:cluster-bootstrap
– Wird fürkubectl
-Operationen während des Cluster-Bootstraps verwendet. -
eks:support-engineer
– Wird für Cluster-Management-Operationen verwendet.
ClusterRoles—
ClusterRoles
sind auf Ihren Cluster beschränkt, sodass alle einer Rolle erteilten Berechtigungen für Ressourcen in jedem Kubernetes Namespace des Clusters gelten.Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes
ClusterRoles
auf Ihrem Cluster zurück.kubectl get clusterroles | grep eks
Zusätzlich zu dem in der Ausgabe zurückgegebenen
ClusterRoles
, dem etwas vorangestellt ist, sind die folgendenClusterRoles
vorhanden.-
aws-node
– DieseClusterRole
unterstützt die Amazon VPC CNI plugin for Kubernetes, die Amazon EKS auf allen Clustern installiert. -
vpc-resource-controller-role
– DieseClusterRole
unterstützt den Amazon-VPC-Ressourcencontroller, den Amazon EKS auf allen Clustern installiert.
Um die Spezifikation für ein
ClusterRole
anzuzeigen, ersetzen Sieeks:k8s-metrics
im folgenden Befehl durch eineClusterRole
, die in der Ausgabe des vorherigen Befehls zurückgegeben wird. Das folgende Beispiel gibt die Spezifikation für dieeks:k8s-metrics
ClusterRole
zurück.kubectl describe clusterrole
eks:k8s-metrics
Eine Beispielausgabe sieht wie folgt aus.
Name: eks:k8s-metrics Labels: <none> Annotations: <none> PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- [/metrics] [] [get] endpoints [] [] [list] nodes [] [] [list] pods [] [] [list] deployments.apps [] [] [list]
ClusterRoleBindings—
ClusterRoleBindings
sind auf Ihren Cluster beschränkt.Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes
ClusterRoleBindings
auf Ihrem Cluster zurück.kubectl get clusterrolebindings | grep eks
Zusätzlich zu dem in der Ausgabe zurückgegebenen
ClusterRoleBindings
, sind die folgendenClusterRoleBindings
vorhanden.-
aws-node
– DieseClusterRoleBinding
unterstützt die Amazon VPC CNI plugin for Kubernetes, die Amazon EKS auf allen Clustern installiert. -
vpc-resource-controller-rolebinding
– DieseClusterRoleBinding
unterstützt den Amazon-VPC-Ressourcencontroller, den Amazon EKS auf allen Clustern installiert.
Um die Spezifikation für ein
ClusterRoleBinding
anzuzeigen, ersetzen Sieeks:k8s-metrics
im folgenden Befehl durch eineClusterRoleBinding
, die in der Ausgabe des vorherigen Befehls zurückgegeben wird. Das folgende Beispiel gibt die Spezifikation für dieeks:k8s-metrics
ClusterRoleBinding
zurück.kubectl describe clusterrolebinding
eks:k8s-metrics
Eine Beispielausgabe sieht wie folgt aus.
Name: eks:k8s-metrics Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: eks:k8s-metrics Subjects: Kind Name Namespace ---- ---- --------- User eks:k8s-metrics
Rollen –
Roles
sind auf einen Kubernetes-Namespace beschränkt. Alle mitRoles
erstellten Amazon EKS sind auf denkube-system
-Namespace beschränkt.Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes
Roles
auf Ihrem Cluster zurück.kubectl get roles -n kube-system | grep eks
Um die Spezifikation für ein
Role
anzuzeigen, ersetzen Sieeks:k8s-metrics
im folgenden Befehl durch den Namen einesRole
, das in der Ausgabe des vorherigen Befehls zurückgegeben wird. Das folgende Beispiel gibt die Spezifikation für dieeks:k8s-metrics
Role
zurück.kubectl describe role
eks:k8s-metrics
-n kube-systemEine Beispielausgabe sieht wie folgt aus.
Name: eks:k8s-metrics Labels: <none> Annotations: <none> PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- daemonsets.apps [] [aws-node] [get] deployments.apps [] [vpc-resource-controller] [get]
RoleBindings—
RoleBindings
sind auf einen Namespace beschränkt. Kubernetes Alle mitRoleBindings
erstellten Amazon EKS sind auf denkube-system
-Namespace beschränkt.Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes
RoleBindings
auf Ihrem Cluster zurück.kubectl get rolebindings -n kube-system | grep eks
Um die Spezifikation für ein
RoleBinding
anzuzeigen, ersetzen Sieeks:k8s-metrics
im folgenden Befehl durch eineRoleBinding
, die in der Ausgabe des vorherigen Befehls zurückgegeben wird. Das folgende Beispiel gibt die Spezifikation für dieeks:k8s-metrics
RoleBinding
zurück.kubectl describe rolebinding
-n kube-systemeks:k8s-metrics
Eine Beispielausgabe sieht wie folgt aus.
Name: eks:k8s-metrics Labels: <none> Annotations: <none> Role: Kind: Role Name: eks:k8s-metrics Subjects: Kind Name Namespace ---- ---- --------- User eks:k8s-metrics
-