Standardmäßig erstellte Kubernetes-Amazon-EKS-Rollen und -Benutzer

Wenn Sie einen Kubernetes-Cluster erstellen, werden für das ordnungsgemäße Funktionieren von Kubernetes mehrere Kubernetes Standardidentitäten auf diesem Cluster erstellt. Amazon EKS erstellt Kubernetes-Identitäten für jede seiner Standardkomponenten. Die Identitäten stellen Kubernetes rollenbasierte Autorisierungssteuerung (RBAC) für die Cluster-Komponenten bereit. Weitere Informationen finden Sie unter Using RBAC authorization in der Kubernetes-Dokumentation.

Wenn Sie optionale Add-ons zu Ihrem Cluster installieren, werden Ihrem Cluster möglicherweise zusätzliche Kubernetes-Identitäten hinzugefügt. Weitere Informationen zu Identitäten, die in diesem Thema nicht behandelt werden, finden Sie in der Dokumentation des Add-Ons.

Sie können die Liste der von Amazon EKS erstellten Kubernetes-Identitäten auf Ihrem Cluster mit dem AWS Management Console - oder kubectl-Befehlszeilentool anzeigen. Alle Benutzeridentitäten erscheinen in den kube Audit-Logs, die Ihnen über Amazon CloudWatch zur Verfügung stehen.

AWS Management Console

Voraussetzung

Der IAM-Prinzipal, den Sie verwenden, muss über die in Erforderliche Berechtigungen beschriebenen Berechtigungen verfügen.

Um von Amazon EKS erstellte Identitäten anzuzeigen, verwenden Sie den AWS Management Console

Öffnen Sie die Amazon-EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.
Wählen Sie in der Liste Clusters (Cluster) den Cluster aus, der die anzuzeigenden Identitäten enthält.
Wählen Sie die Registerkarte Resources (Ressourcen) aus.
Wählen Sie unter Resource types (Ressourcentypen) die Option Authorization (Autorisierung) aus.
Wählen Sie ClusterRoles, ClusterRoleBindings, Rollen oder RoleBindings. Alle Ressourcen, denen eks vorangestellt ist, wurden von Amazon EKS erstellt. Weitere von Amazon EKS erstellte Identitätsressourcen sind:
- Der ClusterRoleund ClusterRoleBindingbenannte aws-node. Die aws-node-Ressourcen unterstützen das Amazon VPC CNI plugin for Kubernetes, das Amazon EKS auf allen Clustern installiert.
- Ein ClusterRolebenannter vpc-resource-controller-roleund ein benannter. ClusterRoleBindingvpc-resource-controller-rolebinding Diese Ressourcen unterstützen den Amazon-VPC-Ressourcencontroller, den Amazon EKS auf allen Clustern installiert.
Zusätzlich zu den Ressourcen, die Sie in der Konsole sehen, sind die folgenden speziellen Benutzeridentitäten in Ihrem Cluster vorhanden, obwohl sie in der Konfiguration des Clusters nicht sichtbar sind:
- eks:cluster-bootstrap – Wird für kubectl-Operationen während des Cluster-Bootstraps verwendet.
- eks:support-engineer – Wird für Cluster-Management-Operationen verwendet.
Wählen Sie eine bestimmte Ressource aus, um Details dazu anzuzeigen. Standardmäßig werden Ihnen Informationen in der Structured view (strukturierten Ansicht) angezeigt. In der oberen rechten Ecke der Detailseite können Sie die Raw view (Rohansicht) auswählen, um alle Informationen für die Ressource anzuzeigen.

Kubectl

Voraussetzung

Die Entität, mit der Sie AWS Identity and Access Management ((IAM) oder OpenID Connect (OIDC)) die Kubernetes Ressourcen im Cluster auflisten, muss von IAM oder Ihrem OIDC Identitätsanbieter authentifiziert werden. Der Entität müssen Berechtigungen zur Verwendung der Verben Kubernetes get und list für die Role-, ClusterRole-, RoleBinding-, and ClusterRoleBinding-Ressourcen in Ihrem Cluster gewährt werden, mit denen die Entität arbeiten soll. Weitere Informationen zum Gewähren von Zugriff auf IAM-Entitäten auf Ihren Cluster finden Sie unter Zugriff auf Kubernetes APIs gewähren . Weitere Informationen zum Gewähren von Zugriff auf Ihren Cluster durch Entitäten, die von Ihrem eigenen OIDC-Anbieter authentifiziert wurden, finden Sie unterr Authentifizieren Sie Benutzer für Ihren Cluster von einem OpenID Connect Identitätsanbieter.

So zeigen Sie von Amazon EKS erstellte Identitäten mit dem `kubectl` an

Führen Sie den Region aus, die Sie anzeigen möchten. Alle zurückgegebenen Ressourcen, denen eks vorangestellt ist, wurden von Amazon EKS erstellt. Zusätzlich zu den Ressourcen, die in der Ausgabe der Befehle zurückgegeben werden, sind die folgenden speziellen Benutzeridentitäten in Ihrem Cluster vorhanden, obwohl sie in der Konfiguration des Clusters nicht sichtbar sind:

eks:cluster-bootstrap – Wird für kubectl-Operationen während des Cluster-Bootstraps verwendet.
eks:support-engineer – Wird für Cluster-Management-Operationen verwendet.

ClusterRoles— ClusterRoles sind auf Ihren Cluster beschränkt, sodass alle einer Rolle erteilten Berechtigungen für Ressourcen in jedem Kubernetes Namespace des Clusters gelten.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes ClusterRoles auf Ihrem Cluster zurück.


kubectl get clusterroles | grep eks

Zusätzlich zu dem in der Ausgabe zurückgegebenen ClusterRoles, dem etwas vorangestellt ist, sind die folgenden ClusterRoles vorhanden.

aws-node – Diese ClusterRole unterstützt die Amazon VPC CNI plugin for Kubernetes, die Amazon EKS auf allen Clustern installiert.
vpc-resource-controller-role – Diese ClusterRole unterstützt den Amazon-VPC-Ressourcencontroller, den Amazon EKS auf allen Clustern installiert.

Um die Spezifikation für ein ClusterRole anzuzeigen, ersetzen Sie eks:k8s-metrics im folgenden Befehl durch eine ClusterRole, die in der Ausgabe des vorherigen Befehls zurückgegeben wird. Das folgende Beispiel gibt die Spezifikation für die eks:k8s-metrics ClusterRole zurück.


kubectl describe clusterrole eks:k8s-metrics

Eine Beispielausgabe sieht wie folgt aus.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names  Verbs
  ---------         -----------------  --------------  -----
                    [/metrics]         []              [get]
  endpoints         []                 []              [list]
  nodes             []                 []              [list]
  pods              []                 []              [list]
  deployments.apps  []                 []              [list]

ClusterRoleBindings— ClusterRoleBindings sind auf Ihren Cluster beschränkt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes ClusterRoleBindings auf Ihrem Cluster zurück.


kubectl get clusterrolebindings | grep eks

Zusätzlich zu dem in der Ausgabe zurückgegebenen ClusterRoleBindings, sind die folgenden ClusterRoleBindings vorhanden.

aws-node – Diese ClusterRoleBinding unterstützt die Amazon VPC CNI plugin for Kubernetes, die Amazon EKS auf allen Clustern installiert.
vpc-resource-controller-rolebinding – Diese ClusterRoleBinding unterstützt den Amazon-VPC-Ressourcencontroller, den Amazon EKS auf allen Clustern installiert.

Um die Spezifikation für ein ClusterRoleBinding anzuzeigen, ersetzen Sie eks:k8s-metrics im folgenden Befehl durch eine ClusterRoleBinding, die in der Ausgabe des vorherigen Befehls zurückgegeben wird. Das folgende Beispiel gibt die Spezifikation für die eks:k8s-metrics ClusterRoleBinding zurück.


kubectl describe clusterrolebinding eks:k8s-metrics

Eine Beispielausgabe sieht wie folgt aus.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

Rollen – Roles sind auf einen Kubernetes-Namespace beschränkt. Alle mit Roles erstellten Amazon EKS sind auf den kube-system-Namespace beschränkt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes Roles auf Ihrem Cluster zurück.


kubectl get roles -n kube-system | grep eks

Um die Spezifikation für ein Role anzuzeigen, ersetzen Sie eks:k8s-metrics im folgenden Befehl durch den Namen eines Role, das in der Ausgabe des vorherigen Befehls zurückgegeben wird. Das folgende Beispiel gibt die Spezifikation für die eks:k8s-metrics Role zurück.


kubectl describe role eks:k8s-metrics -n kube-system

Eine Beispielausgabe sieht wie folgt aus.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names             Verbs
  ---------         -----------------  --------------             -----
  daemonsets.apps   []                 [aws-node]                 [get]
  deployments.apps  []                 [vpc-resource-controller]  [get]

RoleBindings— RoleBindings sind auf einen Namespace beschränkt. Kubernetes Alle mit RoleBindings erstellten Amazon EKS sind auf den kube-system-Namespace beschränkt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes RoleBindings auf Ihrem Cluster zurück.


kubectl get rolebindings -n kube-system | grep eks

Um die Spezifikation für ein RoleBinding anzuzeigen, ersetzen Sie eks:k8s-metrics im folgenden Befehl durch eine RoleBinding, die in der Ausgabe des vorherigen Befehls zurückgegeben wird. Das folgende Beispiel gibt die Spezifikation für die eks:k8s-metrics RoleBinding zurück.


kubectl describe rolebinding eks:k8s-metrics -n kube-system

Eine Beispielausgabe sieht wie folgt aus.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Fehlerbehebung

Compliance-Validierung

Standardmäßig erstellte Kubernetes-Amazon-EKS-Rollen und -Benutzer

Voraussetzung

Um von Amazon EKS erstellte Identitäten anzuzeigen, verwenden Sie den AWS Management Console

Voraussetzung

So zeigen Sie von Amazon EKS erstellte Identitäten mit dem kubectl an

So zeigen Sie von Amazon EKS erstellte Identitäten mit dem `kubectl` an