Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Verstehen Sie die von Amazon EKS erstellten RBAC-Rollen und -Benutzer

PDF
RSS
Fokusmodus
Verstehen Sie die von Amazon EKS erstellten RBAC-Rollen und -Benutzer - Amazon EKS
AWS Management ConsoleKubectl

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie einen Kubernetes-Cluster erstellen, werden auf diesem Cluster mehrere Standard-Kubernetes-Identitäten erstellt, damit Kubernetes ordnungsgemäß funktioniert. Amazon EKS erstellt Kubernetes-Identitäten für jede seiner Standardkomponenten. Die Identitäten bieten eine rollenbasierte Autorisierungssteuerung (RBAC) von Kubernetes für die Cluster-Komponenten. Weitere Informationen finden Sie unter Using RBAC Authorization in der Kubernetes-Dokumentation.

Wenn Sie optionale Add-Ons für Ihren Cluster installieren, werden Ihrem Cluster möglicherweise zusätzliche Kubernetes-Identitäten hinzugefügt. Weitere Informationen zu Identitäten, die in diesem Thema nicht behandelt werden, finden Sie in der Dokumentation des Add-Ons.

Sie können die Liste der von Amazon EKS erstellten Kubernetes-Identitäten auf Ihrem Cluster mit dem kubectl Befehlszeilentool AWS Management Console oder anzeigen. Alle Benutzeridentitäten erscheinen in den kube Audit-Logs, die Ihnen über Amazon CloudWatch zur Verfügung stehen.

AWS Management Console

Voraussetzung

Der von Ihnen verwendete IAM-Principal muss über die unter Erforderliche Berechtigungen beschriebenen Berechtigungen verfügen.

Um von Amazon EKS erstellte Identitäten anzuzeigen, verwenden Sie den AWS Management Console

  1. Öffnen Sie die Amazon-EKS-Konsole.

  2. Wählen Sie in der Liste Clusters (Cluster) den Cluster aus, der die anzuzeigenden Identitäten enthält.

  3. Wählen Sie die Registerkarte Resources (Ressourcen) aus.

  4. Wählen Sie unter Resource types (Ressourcentypen) die Option Authorization (Autorisierung) aus.

  5. Wählen Sie ClusterRoles, ClusterRoleBindings, Rollen oder RoleBindings. Alle Ressourcen, denen eks vorangestellt ist, wurden von Amazon EKS erstellt. Weitere von Amazon EKS erstellte Identitätsressourcen sind:

    • Der ClusterRoleund ClusterRoleBindingbenannte aws-node. Die aws-node-Ressourcen unterstützen das Amazon VPC CNI-Plugin für Kubernetes, das Amazon EKS auf allen Clustern installiert.

    • Ein benannter und ein benannter. ClusterRolevpc-resource-controller-roleClusterRoleBindingvpc-resource-controller-rolebinding Diese Ressourcen unterstützen den Amazon-VPC-Ressourcencontroller, den Amazon EKS auf allen Clustern installiert.

    Zusätzlich zu den Ressourcen, die Sie in der Konsole sehen, gibt es in Ihrem Cluster die folgenden speziellen Benutzeridentitäten, die jedoch in der Clusterkonfiguration nicht sichtbar sind:

    • eks:cluster-bootstrap— Wird für kubectl Operationen beim Cluster-Bootstrap verwendet.

    • eks:support-engineer— Wird für Clusterverwaltungsvorgänge verwendet.

  6. Wählen Sie eine bestimmte Ressource aus, um Details dazu anzuzeigen. Standardmäßig werden Ihnen Informationen in der Strukturierten Ansicht angezeigt. In der oberen rechten Ecke der Detailseite können Sie die Raw view (Rohansicht) auswählen, um alle Informationen für die Ressource anzuzeigen.

Kubectl

Voraussetzung

Die Entität, die Sie verwenden (AWS Identity and Access Management (IAM) oder OpenID Connect (OIDC)), um die Kubernetes-Ressourcen auf dem Cluster aufzulisten, muss von IAM oder Ihrem OIDC-Identitätsanbieter authentifiziert werden. Der Entität müssen Berechtigungen zur Verwendung von Kubernetes get und list Verben für die,, und Ressourcen in Ihrem Cluster erteilt werden Role ClusterRoleRoleBinding, mit denen die Entität arbeiten soll. ClusterRoleBinding Weitere Informationen zum Gewähren von Zugriff auf IAM-Entitäten auf Ihren Cluster finden Sie unter Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes APIs. Weitere Informationen darüber, wie Sie Entitäten, die von Ihrem eigenen OIDC-Anbieter authentifiziert wurden, Zugriff auf Ihren Cluster gewähren, finden Sie unter. Gewähren Sie Benutzern Zugriff auf Kubernetes mit einem externen OIDC-Anbieter

So zeigen Sie von Amazon EKS erstellte Identitäten mit dem kubectl an

Führen Sie den Region aus, die Sie anzeigen möchten. Alle zurückgegebenen Ressourcen, denen eks vorangestellt ist, wurden von Amazon EKS erstellt. Zusätzlich zu den Ressourcen, die in der Ausgabe der Befehle zurückgegeben wurden, sind die folgenden speziellen Benutzeridentitäten in Ihrem Cluster vorhanden, obwohl sie in der Clusterkonfiguration nicht sichtbar sind:

  • eks:cluster-bootstrap— Wird für kubectl Operationen beim Cluster-Bootstrap verwendet.

  • eks:support-engineer— Wird für Clusterverwaltungsvorgänge verwendet.

ClusterRolesClusterRoles sind auf Ihren Cluster beschränkt, sodass alle einer Rolle erteilten Berechtigungen für Ressourcen in jedem Kubernetes-Namespace auf dem Cluster gelten.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes ClusterRoles auf Ihrem Cluster zurück.

kubectl get clusterroles | grep eks

Zusätzlich zu dem in der Ausgabe zurückgegebenen ClusterRoles, dem etwas vorangestellt ist, sind die folgenden ClusterRoles vorhanden.

Um die Spezifikation für a zu sehenClusterRole, ersetzen Sie eks:k8s-metrics den folgenden Befehl durch einen, der in der Ausgabe des vorherigen Befehls ClusterRole zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für die zurück eks:k8s-metricsClusterRole.

kubectl describe clusterrole eks:k8s-metrics

Eine Beispielausgabe sieht wie folgt aus.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names  Verbs
  ---------         -----------------  --------------  -----
                    [/metrics]         []              [get]
  endpoints         []                 []              [list]
  nodes             []                 []              [list]
  pods              []                 []              [list]
  deployments.apps  []                 []              [list]

ClusterRoleBindingsClusterRoleBindings sind auf Ihren Cluster beschränkt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes ClusterRoleBindings auf Ihrem Cluster zurück.

kubectl get clusterrolebindings | grep eks

Zusätzlich zu dem in der Ausgabe zurückgegebenen ClusterRoleBindings, sind die folgenden ClusterRoleBindings vorhanden.

Um die Spezifikation für a zu sehenClusterRoleBinding, ersetzen Sie eks:k8s-metrics den folgenden Befehl durch einen, der in der Ausgabe des vorherigen Befehls ClusterRoleBinding zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für die zurück eks:k8s-metricsClusterRoleBinding.

kubectl describe clusterrolebinding eks:k8s-metrics

Eine Beispielausgabe sieht wie folgt aus.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

RollenRoles sind auf einen Kubernetes-Namespace beschränkt. Alle mit Roles erstellten Amazon EKS sind auf den kube-system-Namespace beschränkt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes Roles auf Ihrem Cluster zurück.

kubectl get roles -n kube-system | grep eks

Um die Spezifikation für a zu sehenRole, ersetzen Sie eks:k8s-metrics den folgenden Befehl durch den Namen von a, der in der Ausgabe des vorherigen Befehls Role zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für die zurück eks:k8s-metricsRole.

kubectl describe role eks:k8s-metrics -n kube-system

Eine Beispielausgabe sieht wie folgt aus.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names             Verbs
  ---------         -----------------  --------------             -----
  daemonsets.apps   []                 [aws-node]                 [get]
  deployments.apps  []                 [vpc-resource-controller]  [get]

RoleBindingsRoleBindings sind auf einen Kubernetes-Namespace beschränkt. Alle mit RoleBindings erstellten Amazon EKS sind auf den kube-system-Namespace beschränkt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes RoleBindings auf Ihrem Cluster zurück.

kubectl get rolebindings -n kube-system | grep eks

Um die Spezifikation für a zu sehenRoleBinding, ersetzen Sie eks:k8s-metrics den folgenden Befehl durch einen, der in der Ausgabe des vorherigen Befehls RoleBinding zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für die zurück eks:k8s-metricsRoleBinding.

kubectl describe rolebinding eks:k8s-metrics -n kube-system

Eine Beispielausgabe sieht wie folgt aus.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.