Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Comprendi i ruoli e gli utenti RBAC creati da Amazon EKS

PDF
RSS
Modalità Focus
Comprendi i ruoli e gli utenti RBAC creati da Amazon EKS - Amazon EKS
AWS Management ConsoleKubectl

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Quando crei un cluster Kubernetes, su quel cluster vengono create diverse identità Kubernetes predefinite per il corretto funzionamento di Kubernetes. Amazon EKS crea identità Kubernetes per ciascuno dei suoi componenti predefiniti. Le identità forniscono il controllo di autorizzazione basato sui ruoli (RBAC) di Kubernetes per i componenti del cluster. Per ulteriori informazioni, consulta Utilizzo dell'autorizzazione RBAC nella documentazione di Kubernetes.

Quando installi componenti aggiuntivi opzionali nel cluster, è possibile che vengano aggiunte altre identità Kubernetes al cluster. Per ulteriori informazioni sulle identità non trattate in questo argomento, consulta la documentazione del componente aggiuntivo.

Puoi visualizzare l'elenco delle identità Kubernetes create da Amazon EKS sul tuo cluster utilizzando lo strumento AWS Management Console o kubectl la riga di comando. Tutte le identità degli utenti vengono visualizzate nei registri di kube controllo disponibili tramite Amazon. CloudWatch

AWS Management Console

Prerequisito

Il principale IAM che utilizzi deve disporre delle autorizzazioni descritte in Autorizzazioni richieste.

Per visualizzare le identità create da Amazon EKS utilizzando AWS Management Console

  1. Aprire la Console Amazon EKS.

  2. Nell'elenco Cluster, seleziona il cluster contenente le identità da visualizzare.

  3. Scegliere la scheda Resources (Risorse).

  4. In Resource types (Tipi di risorse), scegli Authorization (Autorizzazione).

  5. Scegli, ClusterRoles, ClusterRoleBindings, Ruoli o RoleBindings. Tutte le risorse con il prefisso eks sono create da Amazon EKS. Le risorse di identità supplementari create da Amazon EKS sono:

    • La band ClusterRolesi ClusterRoleBindingchiama aws-node. Le risorse aws-node supportano il plug-in Amazon VPC CNI per Kubernetes, che Amazon EKS installa su tutti i cluster.

    • ClusterRolevpc-resource-controller-roleUn ClusterRoleBindingvpc-resource-controller-rolebindingnome e un nome. Queste risorse supportano il Amazon VPC resource controller (Controller risorse Amazon VPC), che Amazon EKS installa su tutti i cluster.

    Oltre alle risorse visualizzate nella console, nel cluster esistono le seguenti identità utente speciali, sebbene non siano visibili nella configurazione del cluster:

    • eks:cluster-bootstrap— Utilizzato per kubectl le operazioni durante il bootstrap del cluster.

    • eks:support-engineer— Utilizzato per le operazioni di gestione dei cluster.

  6. Scegli una risorsa specifica per visualizzarne i dettagli. Per impostazione predefinita, le informazioni vengono mostrate nella visualizzazione strutturata. Nell'angolo superiore destro della pagina dei dettagli puoi scegliere la Raw view (Visualizzazione non elaborata) per vedere tutte le informazioni per la risorsa.

Kubectl

Prerequisito

L'entità che utilizzi (AWS Identity and Access Management (IAM) o OpenID Connect (OIDC)) per elencare le risorse Kubernetes nel cluster deve essere autenticata da IAM o dal tuo provider di identità OIDC. All'entità devono essere concesse le autorizzazioni per utilizzare Kubernetes get e i list verbi perRole,, e le risorse del cluster con cui desideri che l'entità ClusterRole lavoriRoleBinding. ClusterRoleBinding Per ulteriori informazioni sulla concessione alle entità IAM dell'accesso al tuo cluster, consulta Concedi agli utenti e ai ruoli IAM l'accesso a Kubernetes APIs. Per ulteriori informazioni su come concedere alle entità autenticate dal proprio provider OIDC l'accesso al cluster, consulta. Concedi agli utenti l'accesso a Kubernetes con un provider OIDC esterno

Come visualizzare le identità create da Amazon EKS tramite kubectl

Esegui il comando per il tipo di risorsa da visualizzare. Tutte le risorse restituite con il prefisso eks sono create da Amazon EKS. Oltre alle risorse restituite nell'output dei comandi, nel cluster esistono le seguenti identità utente speciali, sebbene non siano visibili nella configurazione del cluster:

  • eks:cluster-bootstrap— Utilizzato per kubectl le operazioni durante il bootstrap del cluster.

  • eks:support-engineer— Utilizzato per le operazioni di gestione dei cluster.

ClusterRolesClusterRoles sono limitati al cluster, quindi qualsiasi autorizzazione concessa a un ruolo si applica alle risorse in qualsiasi spazio dei nomi Kubernetes del cluster.

Il comando seguente restituisce tutti i Kubernetes creati da Amazon EKS ClusterRoles sul tuo cluster.

kubectl get clusterroles | grep eks

Oltre ai ClusterRoles restituiti nell'output con prefisso, esistono i seguenti ClusterRoles.

Per visualizzare le specifiche di aClusterRole, sostituiscilo eks:k8s-metrics nel comando seguente con un valore ClusterRole restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metricsClusterRole.

kubectl describe clusterrole eks:k8s-metrics

Di seguito viene riportato un output di esempio:

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names  Verbs
  ---------         -----------------  --------------  -----
                    [/metrics]         []              [get]
  endpoints         []                 []              [list]
  nodes             []                 []              [list]
  pods              []                 []              [list]
  deployments.apps  []                 []              [list]

ClusterRoleBindingsClusterRoleBindings rientrano nell'ambito del cluster.

Il comando seguente restituisce tutti i Kubernetes creati da Amazon EKS ClusterRoleBindings sul tuo cluster.

kubectl get clusterrolebindings | grep eks

Oltre ai ClusterRoleBindings restituiti nell'output, esistono i seguenti ClusterRoleBindings.

Per visualizzare le specifiche di aClusterRoleBinding, sostituiscilo eks:k8s-metrics nel comando seguente con un valore ClusterRoleBinding restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metricsClusterRoleBinding.

kubectl describe clusterrolebinding eks:k8s-metrics

Di seguito viene riportato un output di esempio:

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

Ruoli: Roles rientrano nell'ambito di uno spazio dei nomi Kubernetes. Tutti i Roles creati da Amazon EKS rientrano nell'ambito dello spazio nomi kube-system.

Il comando seguente restituisce tutti i Kubernetes creati da Amazon EKS Roles sul tuo cluster.

kubectl get roles -n kube-system | grep eks

Per visualizzare le specifiche di aRole, eks:k8s-metrics sostituiscilo nel comando seguente con il nome di a Role restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metricsRole.

kubectl describe role eks:k8s-metrics -n kube-system

Di seguito viene riportato un output di esempio:

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names             Verbs
  ---------         -----------------  --------------             -----
  daemonsets.apps   []                 [aws-node]                 [get]
  deployments.apps  []                 [vpc-resource-controller]  [get]

RoleBindingsRoleBindings sono riconducibili a uno spazio dei nomi Kubernetes. Tutti i RoleBindings creati da Amazon EKS rientrano nell'ambito dello spazio nomi kube-system.

Il comando seguente restituisce tutti i Kubernetes creati da Amazon EKS RoleBindings sul tuo cluster.

kubectl get rolebindings -n kube-system | grep eks

Per visualizzare le specifiche di aRoleBinding, eks:k8s-metrics sostituiscilo nel comando seguente con un RoleBinding restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metricsRoleBinding.

kubectl describe rolebinding eks:k8s-metrics -n kube-system

Di seguito viene riportato un output di esempio:

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.